" Wat kost een aanval mij eigenlijk (imago schade, manuren
etc, rechtszaken etc.)?"

Er is geen enkel rechtzaak geweest (ook niet waar
multinationals bij betrokken waren) waarbij er met
objectieve cijfermatige onderbouwing is geweest van de
schade, manuren en overige kosten die de rechter heeft
geaccepteerd.

Zelfs in een zaak waarin de FBI een bedrag had genoemd maar
niet had onderbouwd is door een Nederlandse rechter verworpen.

Ik denk dat je dit goed moet realiseren voordat je dit als
steekhoudende argument gaat gebruiken bij je selectie.

Die schade is er wel degelijk maar om het objectief te
onderbouwen zodat een rechter het accepteerd gaat je niet
zomaar lukken, daarom zou je dit arguement alleen moeten
gebruiken indien preventie je doel is.

Verder "4. Training en awareness"

Ongeacht waar je voor kiest, indien je een interne security
officer neemt zal hij er niet onderuit komen om dergelijke
programma's op te zetten.

Echter vraag ik me af of je wel bij een externe bedrijf je
security officer wilt betrekken.
Immers een security officer is voor zowel je personeel als
management de aanspreekpunt voor beveiligings en juridische
zaken (met overlapping met je legal afdeling uiteraard), je
wilt wel zeker weten dat deze man/vrouw 100% company minded
is en niet over commercieële belangen beschikt.

Los hiervan indien je een derde partij inhuurd voor bepaalde
diensten is het aan de security officer om dat traject te
begeleiden en te controleren, het kan dus niet zo zijn dat
je en een security officer bij een derde partij betrekt als
ook de diensten.

Ik vraag me dan ook wat Marvin met dit artikel probeerd
duidelijk te maken.

Immers voor het los inhuren van een security-expert zoals
titel suggereert moet je al reeds je eigen officer in dienst
hebben.
Deze zal dan de afwegingen moeten maken voor de overige
diensten en expertise die men intern nodig heeft en
uiteraard zal hij alleen dingen kunnen doen waarvan het
management ook van overtuigd is.

Dus ik denk dat indien je als management een security
officer aanneemt je vooral moet kijken naar zijn
overreding/overtuigingkracht, kennis van zake en zijn
positie gezien de markt, immers indien niemand hem in de
markt kent dan zal het vast wel een ongeschikte persoon
zijn. Indien iedereen hem kent dan zul je op het gebied van
kennis en respect hem nooit laten vallen en vierkant achter
zijn voorstellen zijn mits andere criteria's ook conform het
geen valt van wat de organisatie wil dragen.

Als reactie op het de bovenstaande post van Anoniem;

Het gaat niet zozeer om de kosten te verhalen op een
aanvaller o.i.d. Denk eens aan de uren die het intern zou
kosten om mensen de rotzooi te laten opruimen van een
dergelijke aanval. Dit kan behoorlijk wat werk zijn. Met
rechtszaken doelde ik meer op commerciele bedrijven die een
rechtszaak aan hun broek krijgen omdat NAW gegevens van
klanten worden gestolen. Dit sluit ook meteen goed aan bij
de imagoschade.

Er zijn op dit moment zat bedrijven die beveiliging extern
inhuren zonder intern een dedicated security officer te
hebben. Dit artikel is dan ook puur bedoeld als tip alvorens
over te gaan op implementatie van beveiligings methodieken.

Bedankt voor de aanvulling.

Groet,
Marvin

Beste Marvin,


Hier Anoniem weer,
er is nog nooit een rechtstzaak geweest in Nederland waarbij gestolen
NAW gegevens als inzet is gebruikt.
Tevens is er ook geen wetgeving die dergelijke nalatigheid juridisch
vervolgbaar maakt.

De enige partij in Nederland die hierop toeziet is College
persoonbescherming maar die had (2004) maar twee auditors los hiervan
hebben zij nog nooit actief een ondernemer vervolgt.

Dus deze risico is meteen al geen steekhoudende argument.

Je moet niet vergeten dat de oordeel van een security professioneel
meestal niet zonder meer door management geaccepteerd zal worden.
Zeker indien er grote investeringen noodzakelijk zijn zal het management
gewoon juridisch je oordeel ter toetsing worden doorgelicht en dan pas zal
blijken in hoeverre de noodzaak bestaat om bepaalde elementen uit de
oordeel over te nemen.
Maar het ernstigste wat er kan gebeuren is dat de oordeel van de security
professioneel (intern of extern) fouten bevat zoals op juridische vlak, want
vanaf het moment dat dit naar voren komt is de relatie beschadigd en zal
de security professioneel nooit serieus genomen worden.

Vandaar dat ik een juridische opleiding ben begonnen, omdat de toekomst
van informatie beveiliging amper een technische aangelegenheid meer zal
zijn.
De toekomstige security professional zal HBO geschoold zijn op het
gebied van management, economie, rechten en ICT.

Aangezien het ICT component door steeds lager opgeleiden kan doen, zal
deze professional alleen in hoofdlijnen erop toezien dat een ontwerp op de
juiste manier geïmplementeerd word en zal het vrijwel nooit voorkomen
dat hij achter de knoppen zit.


mvg,
GM

Beste Marvin,

Je hebt gelijk dat de meeste MKB bedrijven geen security officer hebben.
Tevens zullen de meeste MKB bedrijven ook niet weten aan welke
wettelijke verplichtingen ze moeten voldoen mbt informatie verwerking,
laatstaan dat ze op de hoogte zijn van welke beveiligingsmethodieken er
zijn.
Indien men al zo ver is dat men van de verschillende
beveiligingsmethodieken op de hoogte zijn heeft men kennelijk al genoeg
kennis in huis (en/of een security officer) om afdoende maatregelen te
nemen, dus ook selectie te maken van de juiste security professionals.

Verder zou ik je artikel niet beschouwen als tip om over te gaan tot
implementatie van een beveiligingsmethodiek, er staat namelijk niets
relevant (naast wat loze kreten) over de pro's en contra's van elke
methodiek.
Los hiervan is er nog (formeel) geen enkele standpunt vanuit overheid
(o.a. justitie) en bedrijfsleven (banken en verzekeringsmaatschappijen)
over welke beveiligingsmethodiek men minimaal aan moet voldoen.

Wel is het zo dat ISO 17799 ( http://www.cvib.nl ) bij sommige verzekeraars
te verzekeren is, bij sommige partijen hiervoor certificatie aan te vragen is
en je de beste waarborgen geeft als management indien volledige
complaince met code Tabaksblad (corporate governance).

Het losjes beveiligingsmethodieken strooien lijkt mij een kwalijke zaak, los
hiervan is het maar de vraag of je zomaar een security specialist in wilt
huren om een dergelijke compliance te bereiken, je zult het eerder als
project moeten zien die impact heeft op de gehele organisatie en hierdoor
voor het MKB neit zonder meer door een paar security specialisten te doen
is.
In het project team moet het management zitten, juristen en als hekken
sluiter de security specialisten.

Voor het doen van losse audits zie ik in jou artikel te weinig tips waar men
zo zijn voordeel mee kan doen.
De vraag hierna zal ontstaan zodra iemand in een organisatie zich wil
indekken en/of ergens zijn vraagtekens bij zet, zodra men zover is om dat
uit te besteden zal men eerst de doelstelling moeten formuleren en aan de
hand daarvan naar de partij moeten zoeken die het best deze doelstelling
kan verwezelijken.

Echter kan het ook zijn dat er op een lager nivo (systeembeheerders) snel
iets gecontroleerd wil hebben, de bedrijven die getekende contracten van
dergelijke systeembeheerders accepteren zijn 100% verantwoordelijk voor
de schade die ze aanrichten, daar de systeembeheerder in vrijwel geen
enkele geval gemachtigd is om een dergelijke opdracht te verstrekken.
Een goed bedrijf zal dan ook verzoeken dat het bevoegde management de
opdracht verstrekt, dit is dan ook een goede test om te zien hoe
professioneel de security partij is.

Laat gewoon je systeembeheerder of je secretaresse de opdracht
uitzetten, indien men dit accepteerd, ga dan NIET met deze partij in zee.

Verder kun je naar referenties vragen, vaak zullen ze daar moeilijk over
doen, echter kunnen zij wel bij eerdere opdrachtgevers het verzoek
neerleggen om contact op te nemen met de nieuwe klant, indien zij geen
enkele klant kunnen vinden die uit eigen beweging contact met je opzoekt,
dan zul je genoeg weten over welke relaties ze erop na houden.
Zodra je een voormalige klant aan de lijn hebt informeer dan naar de
doelstelling die zij hadden en hoeverre het security bedrijf hieraan heeft
geconformeerd. Vraag ook in hoeverre de rapportage praktisch toepasbaar
bleek.

Veel security bedrijfjes (ook grote) leveren dusdanige rapportages op dat
je hen nodig hebt voor uitleg of om verdere stappen te kunnen nemen.

Denk er ook aan dat je nooit het bedrijf dat je heeft geaudit inhuurt voor
aanpassingen en/of verbeteringen.
Dit klinkt tegenstrijdig, immers zij hebben na audit het beste inzicht zou je
kunnen stellen.

Echter zij hebben vanaf dat moment een economisch belang en zal elk
advies niet objectief hoeven te blijken.
Deze opmerking geldt ook voor indien u uw auto laat APK keuren en hij
afgekeurd zou worden en de APK keuringstations u aanbied de reparaties
voor u uit te voeren en in talloze andere situaties.

Indien u van te voren aangeeft (hoeft niet) dat hun de audits mogen doen,
en een derde de verbeteringen zullen ze daar altijd begrip voor hebben.
Maar beter is het indien zij het zelf zouden aangeven, ik heb zelf zelden
meegemaakt dat een security bedrijf aangaf dat het beter was indien zij
niet de zowel audits als ook de vervolg opdrachten zoals verbeteringen
voor hun rekening zouden nemen.

Dit geldt overigens ook voor partijen die certificeren, er zijn partijen die u
afkeuren en u door verwijzen naar een andere afdeling van dezelfde
onderneming voor de verbeteringen (zie APK verhaal), u zult uiteraard niet
verbaast zijn dat na de verbeteringen u opeens wel door de certificatie
proces komt. Dit is handig indien u de certificatie voor commercieële
doeleinden gaat gebruiken (wat helaas te vaak voorkomt), maar bied uw
organisatie geen enkele waarborg dat het daadwerkelijk goed zit. En zoals
met u auto, wenst u wel zeker te weten dat hij veilig genoeg is, en niet
omwille van economische belangen van derden net aan voldoet.

Verder met betrekking of u eigen personeel wordt betrokken bij een audit,
afhankelijk van de doelstelling kan het zijn dat zonder de betrokkenheid
van het personeel de gehele audit niet plaats kan vinden.
Het is dus heel belangrijk om van te voren te weten wat je wenst te
bereiken en wat je wenst te zien.
Maar indien het om simpele testen gaat waarbij het als doel is om te zien
in hoeverre buitenstaanders toegang kunnen verschaffen tot
bedrijfsgeheimen is het verstandig om u personeel niet te informeren.
Hiermee ziet u ook meteen in hoeverre u personeel iets opvalt alsook hoe
men handeld. Indien men niets opvalt of niet handeld heeft u een groter
probleem dan het geen in de rapportage van security bedrijf te vinden zal
zijn.

Baken ook af hoever de security bedrijf mag gaan, het laatste wat je wilt dat
men ongewenst fysiek bij personeel inbreken om zodoende een notebook
te stelen waarmee een VPN verbinding opgezet kan worden om zodoende
aan de doelstelling te conformeren.

Kijk hier niet vreemd van op, u zult niet de eerste organisatie zijn waarbij
gestolen (of gekaapte) computers tegen organisatie gebruikt worden.

Kijk of men dergelijke diensten leveren en informeer of ze ook electronic
surveillance counter measures (TSCM) diensten leveren.

Veel bedrijven kunnen u alleen maar "wired" van dienst zijn, dus zodra het
TCP/IP over een kabel is kunnen ze een technische audit doen. Vaak met
standaard test pakketen, immers "hackers" in dienst kosten veel geld als
ook is manueel auditten arbeidsintensief.
De kosten die u aan dergelijke bedrijfjes kwijt bent, is vaak meer als wat zij
voor het software pakket hebben betaald dat automatisch de audit doet als
ook de rapportage afdrukt. (dus kun je dat net zo goed zelf doen)

De bedrijven die daadwerkelijk ook op fysieke beveiliging diensten leveren
als ook TSCM diensten leveren hebben wel degelijk mensen met veel
kennis in huis.
Los hiervan zullen deze specialisten u ook een dienst kunnen bewijzen
indien u ook andere niet TCP/IP protocollen gebruikt en/of infrastructuur
dat niet koper is.
Het minste wat men kan zeggen dat ze ook op WIFI kunnen controleren, dit
zegt totaal NIETS.
TSCM apparatuur kost tonnen en degene die er mee over weg kan is een
electronicus en is dus ook in staat om op fysiek nivo uw datacommunicatie
te beveiligen en onregelmatigheden te detecteren.
Iets voorzover ik weet geen enkele security bedrijfje in Nederland nog voor
u kan doen. Vaak zie je wel dat netwerk installatie bedrijfjes apparatuur bij
zich hebben waarmee ze bekabeling kunnen doormeten, echter is deze
vaka niet bedoelt om een aftakking (tap) te kunnen meten op je
bekabeling.

Nu gaat dit wel erg ver, maar zoals zal blijken, indien je procedureel iets
wilt beveiligen, zal dit goed lukken, zolang er maar geen technische
garanties op nivo aan verbonden hoeven te worden, want in een tijd dat
men met shovels door gevels heen rijd, hoeven we niet de illusie te
hebben dat iets wat echt belangrijk is te beschermen valt tegen een
redelijke investering.

mvg,
Gerrie Mansur

aldus Gerrie Mansur, die soms een witte en dan weer een
zwarte hoed lijkt te dragen.

Hallo Pipo,

Als je daadwerkelijk iemand zou kennen zou je weten dat de persoon
waaraan jij refereert nooit een zwarte hoed heeft gedragen.

Alleen mensen met een gebrek aan inzicht denken in hokjes.

Aangezien men dat al bijna 5000 jaar geleden ook al wist, hebben ze het
speciaal voor jou in steen uitgeschreven en heeft een ene Mozes het
gepubliceerd. . Gij zult geen valse getuigenis spreken tegen uw naaste.
AKA Gij zult niet oordelen.

Gerrie,

Zie het artikel ook niet als leidraad of als To-Do lijst.
Meer voor het stimuleren van het nadenken over security. De
oorspronkelijke titel was dan ook anders. Maar ja, ik heb
getracht een bijdrage te leveren aan de vaak te makkelijke
denkwijze betreffende security.

Groet,
Marvin

Marvin,

Je hebt inderdaad een mooie bijdrage geleverd.

Echter om het nu tot drie keer anders te noemen maakt toch echt wel iets
duidelijk.

Overigens is het slechts positief bedoeld, immers artikel+thread zal voer
tot denken geven.

mvg,
G.