De mensen aan de top moeten de boodschap dan ook
verspreiden, zo laat Jan Babiak van Ernst & Young in dit
artikel weten.

hmm, dit is toch wel erg oud nieuws heer Babiak, ga me ook
nog even vertellen dat je gigantisch beloond wordt voor deze
fascinerende conclusie.

Ernst & Young wil natuurlijk graag tegen een tariefje van 200 Euro per uur
aan het management uitleggen hoe ze dat moeten.

Heeft Ernst & Young ook een cissp boek gelezen? (due care?!)

Mensen aan de top moeten de boodschap verspreiden?! Als je het mij vraagt
zijn ze uiteindelijk verantwoordelijk voor de security binnen hun bedrijf...

Risk and Continuity Management anyone?

die is voor morgen denk ik. Chapter 1 is dikwijls security
management :)

Over het intrappen van open deuren gesproken....zo schijnt de top ook erg
belangrijk te zijn in het stimuleren van een klantgerichte cultuur, het creëren
van een cultuur die sexuele intimidatie ontmoedigd, een cultuur waarin
zelfverrijking wordt ontmoedigd, een cultuur..., enzovoorts, enzovoorts.

Volgens mij is de top in de meeste organisaties vooral onmachtig om
iemand voldoende mandaat en budget te geven om de benodigde
maatregelen te identificeren en te nemen. Men zegt het belangrijk te vinden
maar heeft er als puntje bij paaltje komt geen cent voor over om het echt
goed te regelen en maakt zichzelf wijs met een virusscanner, firewall en
backup wel klaar te zijn.

UIteindelijk is het namelijk ook vooral een kwestie van geld (wie betaalt
bepaalt) of het wel of niet gebeurt. Ik benijd niet al die Security Officers
(meestal iemand bij de dienst ICT) die met de handen op de rug gebonden
moeten roeien met de riemen die ze beloofd zijn....geen bevoegdheden,
geen budget en gedoemd roepende in de woestijn te blijven.

Hoe vorstelijk zou E&Y zich voor dit flut advies hebben laten belonen?

Managers zijn doorgaans meer geneigd te luisteren naar
(flut)adviezen van dure externe bureau's dan naar de
aanbevelingen van hun eigen systeembeheerders. Dus als meer
sjieke raadbedrijfjes dit soort opmerkingen plaatst, gaat er
misschien een lampje branden bij veel managers.
Want managers gaan doorgaans over de centen en die zijn hard
nodig voor veiligheid. In ander artikeltje op
http://www.security.nl dat geheimen van goed beveiligde bedrijven
verklapte, las ik dat er meer geld uitgegeven moet worden.

Toch ben ik blij dat gebruikers hier met hun bewustzijn van
informatiebeveiliging zélf virussen verwijderen, spammers backtracen en de
ISP inseinen, buffer overflows uit applicatiecode halen en buggye apps als
IE van hun PC gooien. Niet dus, want van datzelfde beleid mógen ze niks. En
terecht overigens.

Dat hele gebeuren van bewustzijn is dan ook voor leuk voor de 27 jarige
principal consultant of 23 jarige security architect van CGEY of een andere
prutserstoko, die uurtjes moet schrijven. Maar als puntje bij paaltje komt is
dat dan ook het enige nut.