image

Column: Een papieren tijger in een zilveren lijstje

vrijdag 20 oktober 2006, 13:10 door Redactie, 33 reacties

Heeft alle aandacht voor Security geleid tot meer veiligheid? Tot een jaar of drie, vier terug was er in de Security geen droog brood te verdienen; nu rollen de CISSPs van de lopende band zoals vroeger de CCNA's en MCSE-ers. Gewapend met een massa kennis zoals dat http-verkeer poort 80 moet gebruiken, vinden ze een goedbetaalde baan. Naast deze grote groep gecertificeerde specialisten is er een reeks bindende voorschriften gekomen die organisaties dwingen nu eindelijk allerhande zaken te regelen. Zelfs de schone slaper VIR kreeg na 2003 opeens allerlei vormen van aandacht. En om het allemaal nog mooier te maken werden technieken als enterprise patch management, Intrusion Detection, Identity Management en laag 7 firewalls in een bloedstollend tempo volwassen. Al met al zou de spullenboel dus een stuk beter moeten zijn.

Er is geld en aandacht, er zijn mensen en bruikbare oplossingen. Toch is het hoofdzakelijk puin, als vanouds. En als je nadenkt over de ROSI, de Return On Security Investment, wordt je al helemaal niet vrolijk.

Tabaksblat, Sox en NEN7510 zijn wellicht de bekendste voorbeelden van opgelegde beveiligingsinspanningen. Deze formaliseren de best practices van BS7799, VIR en CVIB, die dateren uit de vroege jaren negentig. De enterprise automatisering was toen nog pre-Internet en zelfs pre-Windows. En dus richten de voorschriften zich primair op informatiebeveiliging conform het aloude - en alleen voor infosec valide - adagium dat aanvallen grotendeels van binnenuit komen. Terwijl de problemen waardoor er meer aandacht voor beveiliging kwam (zoals Melisa, Iloveyou en code red volledig uit de hoek van de Compusec kwamen. Een virus kijkt heus niet naar de informatie op een systeem voor het besluit te nemen al dan niet te infecteren. De voorschriften hebben 15 jaar oude
oplossingen voor een ánder probleem tot wettelijke norm verheven. Is er dan geen vooruitgang?

Eens even denken. Dit jaar zag ISO27001 het levenslicht: het Information Security Management Systeem. Eindelijk kunnen we beveiligen met een druk op de knop. Een weelde van informatie van alle incidenten, anomalieën in de logs, actuele patchlevels van systemen, einddatums van SSL certificaten, zombie machines, wat je maar wilt.

Stop met dromen We krijgen dus een database waarin alle getroffen maatregelen opgeslagen worden. Dat noemen wij boekhouden. Daar vang je echt geen virus mee. Dit is Compliancy, en heeft met het verder verouderen van de regelsets iedere dag minder te maken met de realiteit van Security.

We hadden een Compusec probleem en de specialisten kwamen met een oplossing voor een ander probleem wat ze blijkbaar interessanter vonden: Informatiebeveiliging. Wat de jongste ISO telg ons brengt is een boekhoudkundig sluitstuk om aan te tonen of je aan de aloude voorschriften voldoet. Voor je het weet bereik je Security Maturity Level 3 en kun je onder het genot van een Cola Light een certificaat in de hal ophangen naast je ISO 9000. De papieren tijgers fokken papieren tijgers zodat je ingelijste papieren tijgers aan de muur kunt hangen. Intussen is driekwart van alle computers in het gemiddelde bedrijf van boven tot onder verziekt, verliezen we het gevecht tegen spam en heeft niemand een idee wat er op het netwerk gebeurd. Want ja, dát moet Beheer maar doen: beveiligingsspecialisten vinden techniek tegenwoordig maar vies.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

  • Een goed idee is niet goed genoeg
  • Uit de loopgraven
  • Waarom beveiligingsbeleid faalt
  • Groot slaat dood
  • Reacties (33)
    20-10-2006, 14:33 door egeltje
    CompuSec is een onderdeel van InfoSec, net als PhysiSec en HumaSec.
    Door dat niet in te zien ("We hadden een Compusec probleem en de
    specialisten kwamen met een oplossing voor een ander probleem wat ze
    blijkbaar interessanter vonden: Informatiebeveiliging.
    "), blijft het lastig
    maatregelen nemen en verantwoorden aan een business waar informatie
    de kern is en computer slechts een middel.
    20-10-2006, 14:49 door Anoniem
    Gewapend met een massa kennis zoals dat http-verkeer
    poort 80 moet gebruiken, vinden ze een goedbetaalde baan

    Nou mensen, dit geeft dus precies aan hoe slecht het gesteld
    is met die "massa kennis" omdat de .sec industrie steeds een
    boekhoud/bla bla fabeltje wordt >.> HTTP verkeer kan over
    iedere poort, zolang de ontvanger het protocol maar goed
    interpreteerd .....
    20-10-2006, 15:21 door Anoniem
    PhysiSec is triviaal en HumaSec onoplosbaar.
    20-10-2006, 15:32 door Anoniem
    'k Zou er toch van uitgaan dat een senior security
    consultant de Nederlandse taal voldoende beheerst voor
    hij/zij een column ter publicatie aanlevert, hetgeen niet
    bepaald blijkt uit de column.
    En een column wordt traditioneel geacht een boodschap te
    hebben. Waarom dat hier niet het geval is of wat de
    boodschap zou zijn, blijft onduidelijk.
    Waarmee de column hinderlijk en nutteloos wordt...
    En inhoudelijk: Om te beweren dat Tabaksblat en SOx het
    formaliseren van best practices uit een miniem hoekje van
    bedrijfsvoering namelijk informatiebeveiliging zou zijn
    gekoppeld aan al of niet 'pre-Windows enterprise
    automatisering', is een nogal belachelijke opmerking die
    duidt op een verregaand minkukelig begrip (quod non) van de
    ten onrechte bij elkaar geveegde problematieken.
    Kortom: Traxion, daar wil je niet mee worden geassocieerd...
    20-10-2006, 15:45 door fubar
    Het gaat hier om kwaliteit. Wie met de Franse slag omgaat
    met het implementeren van controls c.q.
    beveiligingsmaatregelen hoeft ook geen resultaten te
    verwachten.

    Het monitoren van wat er werkelijk gebeurd op het netwerk is
    een kunst op zich. In het verleden is gebleken dat tijdens
    peneratietesten zelfs grote namen die met IDS-en de
    netwerken van klanten in de gaten hielden onze verichtingen
    op het netwerk niet detecteerden. Terwijl we ongeveer root
    c.q. admin rechten hadden verzameld op ALLE servers!

    Standaarden zoals ISO 17799 en 27001 werken alleen als men
    daadwerkelijk de onderliggende technische kennis in huis
    haalt voor wat betreft de implementatie van de
    beveiligingsmaatregelen. Als je bijvoorbeeld denkt dat je
    met een gammel afgesteld IDS resultaten zult behalen kom je
    bedrogen uit. Wel of niet resultaten behalen zit vaak in de
    details.

    Ook het inhuren van mensen met goede up-to-date kennis moet
    gedaan worden door mensen die weten waar ze mee bezig zijn.
    Het oude Engelse gezegde "pay peanuts get monkeys" gaat hier
    op. Verder zijn certificeringen zoals CISSP en dergelijke
    inderdaad geen garantie voor de noodzakelijke diepgaande
    technische kennis. Zonder deze is er inderdaad geen
    daadwerkelijke begripsvorming mogelijk op het detail niveau
    waar vaak juist de hacks plaats vinden. Maar dat is in alle
    eerlijkheid ook niet de rol van een CISSP.

    Voor het bepalen van een overall beveiligingsstrategie geven
    de standaarden een duidelijke context waarbinnen de
    beveiligingswerkzaamheden gestructureerd dienen te worden.
    Hier kan een CISSP of gelijkwaardig geschoolde c.q. ervaren
    persoon een meerwaarde hebben door op gepaste wijze te
    communiceren met de organisatie. Iets wat je uiteraard niet
    in handen van een techneut kunt laten. Simpelweg omdat de
    praktijk al jarenlang heeft uitgewezen dat dit niet werkt om
    vele verschillende redenen. Al was het maar omdat er aan de
    businesskant bij organisaties vaak leterlijk een ander
    communicatiemodel gebruikt wordt dan in de IT technische
    afdelingen.

    Conclusie is dus dat voor een goed werkend
    beveiligingssysteem er hoogwaardig gekwalificeerde
    specialisten nodig zijn voor de invulling van de techniek.
    Daarnaast is het noodzakelijk om ook op politiek niveau een
    communicator in te stellen (security officer) die in staat
    is op de juiste manier te communiceren met de business. Je
    hebt ze dus allebei nodig.

    Carlo Seddaiu
    http://www.pragmasec.com
    20-10-2006, 15:47 door Anoniem
    Maakt Security.nl Nederland dan niet veilig(er)? :)
    20-10-2006, 16:02 door Anoniem
    Door fubar
    Het gaat hier om kwaliteit. Wie met de Franse slag omgaat
    met het implementeren van controls c.q.
    beveiligingsmaatregelen hoeft ook geen resultaten te
    verwachten.

    Standaarden zoals ISO 17799 en 27001 werken alleen als men
    daadwerkelijk de onderliggende technische kennis in huis
    haalt voor wat betreft de implementatie van de
    beveiligingsmaatregelen. Als je bijvoorbeeld denkt dat je
    met een gammel afgesteld IDS resultaten zult behalen kom je
    bedrogen uit. Wel of niet resultaten behalen zit vaak in de
    details.

    Carlo Seddaiu
    http://www.pragmasec.com

    Beste Carlo,

    Ik heb zo het idee dat je het niet helemaal begrepen hebt
    als je iets als ISO 17799 en technische kennis in éé zin
    durft te noemen. ISO 17799 is helemaal geen technische
    standaard, integendeel. ISO 17799 beoogt organisatiekundig
    zaken rondom informatiebeveiliging te regelen, en dat gaat
    veel verder and een IDS of een penetratietest, of om het
    even welke technische maatregel dan ook.
    20-10-2006, 16:12 door [Account Verwijderd]
    [Verwijderd]
    20-10-2006, 16:21 door Anoniem
    Door rookie
    Ik weet het niet meer, naar mijn idee is beveiliging:
    Challenge/Response, encryptie, vpn, PF(OpenBSD), backup, het
    up2date houden van systeem && software, het
    monitoren van
    netwerkverkeer en systeemprocessen.
    En daarom heen moeten verschillende dichtgetimmerde policies
    komen voor de verschillende niveaus van beveiliging waarop
    een gebruiker/beheerder opereert.
    En dan moet het geen moeilijk bureaucratisch politiek
    verhaal zijn dat is geschreven door 1 of andere pennelikker
    die ver van het front staat, want sommige mensen weten iets
    bijvoorbeeld in 1 a4tje te beschrijven wat ook in 3 regels
    te beschrijven is. (Hier ontstaan veel problemen)
    En dan kom je een eind denk ik.

    En dat is dus precies wat je niet wilt.

    Jij wilt niet die gozer zijn die altijd nee zegt, die altijd
    stennis maakt en die altijd die marketingjongens in de weg
    zit als zij een te gek idee hebben. Dat is het fundamentele
    probleem aan security.nl, en heel veel security
    specialisten. Techneuten zonder een greintje gevoel voor
    waar het in een organisatie om gaat. Techneuten met een
    groot gebrek aan sociale skills om hun verhaal ook aan het
    management te verkopen.

    Wat denk je dat beter werkt? Aan senior management
    demonstreren wat de gevolgen zijn van falend beleid of als
    roepende in de woestijn volhouden dat encryptie belangrijk
    is omdat derden op internet wel eens zouden kunnen lezen wat
    er gemaild wordt?

    Iedere vorm van technologie is slechts een middel om een
    bepaald doel te breiken. Security is het onderkennen,
    afdekken en vervolgens managen van risico's. Dat heeft alles
    met organisatiekunde en eigenlijk heel weinig met
    technologie te maken. Dat is ook wat het gros van de
    security specialisten niet snapt.
    20-10-2006, 16:37 door [Account Verwijderd]
    [Verwijderd]
    20-10-2006, 16:45 door Anoniem
    Door Anoniem
    Door rookie
    Ik weet het niet meer, naar mijn idee is beveiliging:
    Challenge/Response, encryptie, vpn, PF(OpenBSD), backup, het
    up2date houden van systeem && software, het
    monitoren van
    netwerkverkeer en systeemprocessen.
    En daarom heen moeten verschillende dichtgetimmerde policies
    komen voor de verschillende niveaus van beveiliging waarop
    een gebruiker/beheerder opereert.
    En dan moet het geen moeilijk bureaucratisch politiek
    verhaal zijn dat is geschreven door 1 of andere pennelikker
    die ver van het front staat, want sommige mensen weten iets
    bijvoorbeeld in 1 a4tje te beschrijven wat ook in 3 regels
    te beschrijven is. (Hier ontstaan veel problemen)
    En dan kom je een eind denk ik.

    En dat is dus precies wat je niet wilt.

    Jij wilt niet die gozer zijn die altijd nee zegt, die altijd
    stennis maakt en die altijd die marketingjongens in de weg
    zit als zij een te gek idee hebben. Dat is het fundamentele
    probleem aan security.nl, en heel veel security
    specialisten. Techneuten zonder een greintje gevoel voor
    waar het in een organisatie om gaat. Techneuten met een
    groot gebrek aan sociale skills om hun verhaal ook aan het
    management te verkopen.

    Wat denk je dat beter werkt? Aan senior management
    demonstreren wat de gevolgen zijn van falend beleid of als
    roepende in de woestijn volhouden dat encryptie belangrijk
    is omdat derden op internet wel eens zouden kunnen lezen wat
    er gemaild wordt?

    Iedere vorm van technologie is slechts een middel om een
    bepaald doel te breiken. Security is het onderkennen,
    afdekken en vervolgens managen van risico's. Dat heeft alles
    met organisatiekunde en eigenlijk heel weinig met
    technologie te maken. Dat is ook wat het gros van de
    security specialisten niet snapt.

    Vertel eens jongetje, heb je wel eens een penetration test
    gedaan? En was het leuk, spelen met nessus? Spelen met een
    prefab exploitje om de "management jongens" bang te maken en
    zo dat leuke contractje binnen te slepen? Kom op, ga spelen
    ofzo. Iets technisch is en blijft iets technisch, en daar
    kun je bullshit standaarden omheen bouwen en een hoop gelul
    rondomheen spijkeren maar dat maakt de boel nog niet
    veiliger. Maar ach ja, kan ik het iemand die nog niet weet
    wat een heap overflow is het kwalijk nemen?
    20-10-2006, 16:54 door Anoniem
    Door Anoniem
    Iedere vorm van technologie is slechts een middel om een
    bepaald doel te breiken. Security is het onderkennen,
    afdekken en vervolgens managen van risico's. Dat heeft alles
    met organisatiekunde en eigenlijk heel weinig met
    technologie te maken. Dat is ook wat het gros van de
    security specialisten niet snapt.

    Nu mis je toch een paar belangrijke zaken. Als jij je
    security manged door het onderkennen, afdekken en managen
    van risicio's zonder of slechts weinig rekening te houden
    met techniek begrijp je niet waarom die techneut/beheerder
    zo moeilijk doet.
    Het gaat er meer om om de technische beperkingen van je
    maatregelen te vertalen naar organisatorische consequenties.
    Dat is niet iedere techneut/beheerder gegeven, dat klopt.
    Dat betekent echter niet dat wat hij zegt geen consequenties
    heeft. ICT en beveiliging zijn middelen om organisatorische
    doelen te bereiken. Bij bedrijven gaat het tenslotte om geld
    te verdienen. Als je de doelen veranderd, lees een
    briljante marketing stunt, kan het zijn dat je middelen niet
    meer voldoen. Met een hamer alleen is het moeilijk om een
    bakstenen huis te bouwen.
    20-10-2006, 17:09 door Anoniem
    Peter,
    Ik vraag me af of je de zelfde type tekst gebruikt als consultant bij je bedrijf
    om te adviseren op security vlak. Op al je columns rust namelijk een
    negatieve lading waar ik niet vrolijk van wordt en in mijn beleving geeft dit
    geen positieve image aan je bedrijf waar je werkt en aan security.nl

    Van een Senior Consultant verwacht ik juist het tegenovergestelde om de
    problematiek die je aankaart te verbeteren. Jouw verhalen geven aan dat
    je beter kan stoppen met beveiliging want het helpt toch niet.

    Als iedereen dit deed, dan zijn de gevolgen niet te overzien. Met jouw
    verhalen kan je de deur van je huis ook wel open laten staan of van je auto.
    Inbreken doet men ook nog steeds onegacht politie keurmerken, dubbele
    sloten en alarmen.

    Veel succes met je verdere columns en hoop dat ze een positievere lading
    meekrijgen.
    20-10-2006, 17:22 door Anoniem
    Begrijp ik Peter Rietveld goed als ik samenvat dat hij
    duidelijk wil maken dat beveiligingscertificaten niet
    automatisch bijdragen aan een hogere veiligheid?
    20-10-2006, 18:46 door fubar
    Beste Anoniem,

    Ik maak juist wel het onderscheid door te stellen dat je
    beide typen specialisten nodig hebt. Je hebt namelijk zowel de
    strategische specialist voor de communicatie met de business nodig. Alsook de operationele specialist die technisch op detail niveau de zaken daadwerkelijk op orde brengt.

    Carlo Seddaiu
    http://www.pragmasec.com
    20-10-2006, 18:56 door fubar
    Beste Anoniempje,

    Het venijn zit m er nou juist in dat het management wel
    degelijk moet begrijpen wat er aan de hand is. Anders krijg
    je in grote organisaties niet de toestemming om tijd en geld
    te spenderen om op technisch niveau zaken te regelen. Dus
    eerst de business overtuigen van de noodzaak en daarna kun
    je op bit niveau gaan stoeien...

    Daarnaast zijn er ook zaken als schouder surfen, social engineering die simpelweg technisch niet zo gemakkelijk te ondervangen zijn.

    Carlo Seddaiu
    http://www.pragmasec.com



    Vertel eens jongetje, heb je wel eens een penetration test
    gedaan? En was het leuk, spelen met nessus? Spelen met een
    prefab exploitje om de "management jongens" bang
    te maken en
    zo dat leuke contractje binnen te slepen? Kom op, ga spelen
    ofzo. Iets technisch is en blijft iets technisch, en daar
    kun je bullshit standaarden omheen bouwen en een hoop gelul
    rondomheen spijkeren maar dat maakt de boel nog niet
    veiliger. Maar ach ja, kan ik het iemand die nog niet weet
    wat een heap overflow is het kwalijk nemen?
    21-10-2006, 08:44 door Constant
    Door Anoniem
    Begrijp ik Peter Rietveld goed als ik samenvat dat hij
    duidelijk wil maken dat beveiligingscertificaten niet
    automatisch bijdragen aan een hogere veiligheid?
    Meestal is het eerste wat ik begrijp is dat de schrijver het certificaat niet
    gehaald heeft en daar blijkbaar heel veel moeite mee heeft.

    Praktijkcertificaten zoals CISSP zijn een bewijs dat iemand over een
    bepaalde basis kennis beschikt. Mensen die het niet willen of niet
    kunnen halen, geven er meestal vreselijk op af. Praktijkcertificaten
    gaan over de kennis die je nodig hebt voor je dagelijkse werk (in
    tegenstelling tot academisch gezweef), dus de standaard zeurpraat
    van Peter Rietveld deel ik niet. Het is goed om gecertificeerd te zijn,
    ook al is het niet zaligmakend (maar dat weten we allemaal, althans ik
    heb nooit anders gehoord).

    Ik ging na een lichte voorbereiding (paar uur het boek doorgelezen om
    de kleine hiaten aan te vullen) naar het CISSP examen en haalde het,
    vooral dankzij jarenlange kennisopbouw tijdens het werken.

    Wat is de waarde?
    - goed voor sollicatities
    - goed als je regelmatig nieuwe contacten moet leggen tijdens het
    werk, dan weet de andere partij op welke gespreksniveau men kan
    beginnen zonder te lang stil te staan bij de basics.
    - de rest moet je zelf doen, maar dat geldt voor elk diploma. Weten is
    niet altijd hetzelfde als Kunnen, elke beroepsgroep heeft haar
    prutsers. Maar certificering houdt in ieder geval een hoop prutsers
    buiten en ik geloof niet dat CISSP niet te halen is voor een echte IT
    beveiliger.
    - het hoeft niet zo te zijn dat mensen zonder diploma slechter werk af
    leveren, maar er zit wel degelijk een sterk verband tussen kwaliteit
    leveren en een diploma hebben.

    Je kan het vergelijken met een rijbewijs. Bezit van een rijbewijs is
    geen bewijs dat iemand goed kan rijden, maar dat iemand het
    rijexamen heeft gehaald en daarna blijkbaar nooit ernstige fouten
    heeft gemaakt die tot inname van het rijbewijs hebben geleid. En er
    bestaan mensen die goed auto kunnen rijden zonder ooit het rijbewijs
    gehaald te hebben, maar dat wil niet zeggen dat we daarom geen
    waarde aan het rijbewijs moeten geven.

    Gezien het vele aantal prutsende IT beveiligers vind ik het goed om
    mensen naar praktijkexamens te laten gaan, dan weet je wat iemand
    wel en niet weet.

    Tabaksblat, Sox en NEN7510 zijn wellicht de bekendste
    voorbeelden van opgelegde beveiligingsinspanningen.
    SOX en Tabaksblat gaan over corporate governance/goed
    ondernemingsbestuur, het zijn geen beveligingsnormen. Wel is het zo
    dat op basis van goed ondernemerschap een bedrijf o.a. moet denken
    aan IT beveiliging. Sox maakt een verwijzing naar een IT controls
    framework en noemt Cobit als voorbeeld; Tabaksblat zegt bij mijn
    weten niets over IT beveiliging en dit is de eerste keer dat ik zo'n
    directe verwijzing hoor.

    Eigen ben ik gek dat ik nog op deze columns reageer: Pieter Rietveld
    heeft er gewoon werkelijk niets van begrepen, roept maar wat, vrijwel
    elke zin is onzin met wat bekende kreten, en ik ben zo stom om te
    reageren.
    21-10-2006, 10:15 door Anoniem
    Je kan het vergelijken met een rijbewijs. Bezit van een rijbewijs is
    geen bewijs dat iemand goed kan rijden, maar dat iemand het
    rijexamen heeft gehaald en daarna blijkbaar nooit ernstige fouten
    heeft gemaakt die tot inname van het rijbewijs hebben geleid.

    Ik denk dat ook hier een andere factor mee speeld namelijk techonolgie en
    vooruitgang.Waneer bedrijven in een bepaalde regio workshops of
    conferenties zou organiseren voor IT profectionals of netwerk beheerders.
    Zou de kwaliteit ook vooruit gaan en kennis langer blijven hangen het
    voordeel is dat de laaste verranderingen kunnen worden besproken
    worden en zo dus ook IT profecionals en netwerk beheerders op de
    hoogte zijn van de laaste verranderingen op het gebied van ict.Waardoor je
    kan verkomen dat waneer een netwerk beheerder die pci tijd perk een
    opleiding heeft gevolgd niet in een keer voor verrassingen komt te staan
    wanneer het is overgegaan na een sata aansluiting.

    Tevens is er nog een andere factor dat het weer stimulerend kan werken
    voor IT profecionals en netwerkbeheerders van andere firma's omdat ze
    zo weer hun kennis kunnen delen wat weer motiverend kan werken.
    En het kan ook leuk gewoon leuk zijn als je zo weer contacten kan op
    bouwen.
    21-10-2006, 13:57 door Constant
    Door Koekie
    Je kan het vergelijken met een rijbewijs. Bezit van een rijbewijs
    is
    geen bewijs dat iemand goed kan rijden, maar dat iemand het
    rijexamen heeft gehaald en daarna blijkbaar nooit ernstige fouten
    heeft gemaakt die tot inname van het rijbewijs hebben geleid.

    Ik denk dat ook hier een andere factor mee speeld namelijk
    techonolgie en
    vooruitgang.Waneer bedrijven in een bepaalde regio workshops of
    conferenties zou organiseren voor IT profectionals of netwerk
    beheerders.
    Zou de kwaliteit ook vooruit gaan en kennis langer blijven hangen het
    voordeel is dat de laaste verranderingen kunnen worden besproken
    worden en zo dus ook IT profecionals en netwerk beheerders op de
    hoogte zijn van de laaste verranderingen op het gebied van
    ict.Waardoor je
    kan verkomen dat waneer een netwerk beheerder die pci tijd perk een
    opleiding heeft gevolgd niet in een keer voor verrassingen komt te
    staan
    wanneer het is overgegaan na een sata aansluiting.

    Tevens is er nog een andere factor dat het weer stimulerend kan
    werken
    voor IT profecionals en netwerkbeheerders van andere firma's omdat
    ze
    zo weer hun kennis kunnen delen wat weer motiverend kan werken.
    En het kan ook leuk gewoon leuk zijn als je zo weer contacten kan op
    bouwen.
    Sjonge jonge, dat soort info kun je ook vinden in PC Magazine en
    ComputerIdee. Iemand die daarvoor een workshop nodig heeft, kan ik
    niet serieus nemen als "IT profectional" (wat dat ook mag zijn).
    21-10-2006, 14:35 door Anoniem
    Sjonge jonge, dat soort info kun je ook vinden in PC Magazine en
    ComputerIdee. Iemand die daarvoor een workshop nodig heeft, kan ik
    niet serieus nemen als "IT profectional" (wat dat ook mag zijn).

    Het was maar een simpel voorbeeld over de oneindige mogelijkheden.Of
    misschien wat meer toepasselijk was iets als client/server applicaties over
    een ipsec netwerk.Het kan allemaal het punt was alleen zodat dingen
    besproken kunnen worden waar je tijdens een opleidingen niet aan
    toekomt of technologie die vernieuwd is waar je de tijd niet voor hebt om
    in te verdiepen vanwege het werk.Wat is er dan niks mooiers als je een
    avond/dag in de week met andere ict profecionals hier over kan hebben.

    Bedoel hoe moeilijk is het een presentatie te houden over een bepaald
    onderwerp een paar pc aan elkaar te knopen en het inpraktijk te brengen.
    21-10-2006, 14:38 door Anoniem
    Door Constant
    Eigen ben ik gek dat ik nog op deze columns reageer: Pieter
    Rietveld
    heeft er gewoon werkelijk niets van begrepen, roept maar
    wat, vrijwel
    elke zin is onzin met wat bekende kreten, en ik ben zo stom
    om te
    reageren.

    Wie is Constant dat hij/zij dat durft te zeggen? Overigens
    ben ik wel met je eens dat Peter Rietveld niet overkomt al
    iemand die ik als senior security consultant in zou willen
    huren.... dat hij onder de naam van het bedrijf waar hij
    werkt dit soort stukjes durft te schrijven en dat zijn
    maganers hier geen actie tegen ondernemen, dat vind ik
    stuitend.
    22-10-2006, 23:09 door gorn
    Constant dit komt rechtstreeks uit Tabaksblat.


    C. Met betrekking tot de werking van de interne risicobeheersings- en
    controlesystemen (inclusief de betrouwbaarheid en continuïteit van de
    geautomatiseerde gegevensverwerking) en de kwaliteit van de interne
    informatievoorziening:
    • verbeterpunten, geconstateerde leemten en kwaliteitsbeoordelingen;
    • opmerkingen over bedreigingen en risico’s voor de vennootschap en de
    wijze waarop daarover in de te publiceren gegevens gerapporteerd dient te
    worden;
    • naleving van statuten, instructies, regelgeving, leningsconvenanten,
    vereisten van externe toezichthouders, etc.

    Mischien toch eens beter lezen.
    22-10-2006, 23:17 door gorn
    Het probleem met CISSP is niet zozeer dat een IT beveiliger die niet kan
    halen. Het probleem ligt meer in wie kunnen CISSP worden met een
    bootcamp of een cram sessie.
    De voorwaarde dat je een aantal jaren gewerkt moet hebben als IT
    beveiliger geeft niet aan op welk niveau. Op deze manier wordt CISSP de
    kwalificatie die je moet hebben als je iets met beveiliging doet net zoals
    MCSE gevraagd wordt als je iets met windows moet doen.
    22-10-2006, 23:52 door Anoniem
    mijn huidige ervaring met de geimplementeerde security processen is dat het toch vooral pure papieren tijgers zijn die door het vaak niet technisch vaardige management gebruikt worden om schuldigen aan te kunnen wijzen waardoor hun eigen falen verhuld wordt. Deze papieren monsters doen over het algemeen niets behalve het beschrijven van een te volgen protocol, waarvan onder geen beding afgeweken mag worden. Deze protocollen worden ook nog eens opgesteld zonder dat de impact hiervan op de bedrijfsprocessen ook maar enigszins in kaart worden gebracht. Het gevolg laat zich eenvoudig raden, de procedure happy proces manager gaat zich volledig te buiten aan wollige niets zeggende maar wel vele pagina's dikke rapporten en krijgt vervolgens van de auditors te horen dat hij zeer goed bezig omdat er over iedere stap in het proces documentatie aanwezig is.
    Dat alle approvals in zaken als SOX via een mailtje met "I approve" worden afgedaan, is blijkbaar een feilloos systeem,de procedure schrijft immers deze e-mail voor. Ik ben heel benieuwd wanneer de eerste virus/spam e-mails komen met "I approve" erin die ogenschijnlijk afkomstig zijn van je collega's, om nog maar te zwijgen over de mail relay mogelijkheden.
    Het briljante systeem voorziet er ook in dat de mail gecut en paste wordt in een change management systeem zodat de authenticiteit van de gekopieerde mail-tekst nooit meer te achterhalen is. Ik dacht altijd dat het doel van security het afschermen cq beschermen van je informatie/netwerk was en daarbij de risico's van externe factoren zoveel mogelijk te beperken, helaas hebben er tegenwoordig tien keer zoveel mensen toegang tot allerlei informatie al is het dan wel in de vorm van een auditor. De gemiddelde externe auditor heeft niet meer dan 3 maanden cursus gehad over wat ie nou eigenlijk komt doen, de USB sticks vliegen in het rond en dan spreken we nog steeds over hetzelfde fantastische security proces dat zij auditen.

    Wat een volslagen onzin !
    23-10-2006, 11:04 door Anoniem
    Ik ben in 2003 CISSP geworden, en vervolgens genoeg punten verzameld
    om deze te verlengen.
    Gedurende deze periode heb ik me echter meerdere malen afgevraagd
    wat de waarde van het certificaat is. Ik ben bang dat mijn conclusie niet
    positief is. Een lijst van observaties volgt:
    - Een papieren exercitie, met als gevolg, een certificaat met een foutieve
    naam
    - ISC verlangt per jaar $85 om het certificaat te behouden, dit riekt naar
    Amerikaanse geldgier. Dit gevoel wordt versterkt door: Ik kreeg een
    aanmaning, plus een boete uiteraard, om ook voor het 1ste jaar te
    betalen. Beetje vreemd, gezien het feit dat ik net $450 voor het examen
    had betaald. Dat er ook voor het eerste jaar betaald moest worden staat
    (althans stond) nergens bij ISC vermeld
    - Ik ben nog nooit iemand tegengekomen die het certificaat niet heeft
    behaald. Meer mensen is nml. meer inkomsten voor ISC

    Bij navraag voor zowel de foutieve naam op het certificaat alsook het
    betalen voor het eerste jaar bleek, je raad het wellicht al, geen antwoord.

    Mijns insziens is dat dit een certificaat is dat mi weinig waarde heeft. Ik
    bepaal zelf liever de kunde en kennis van mensen.

    CISSP #42763
    23-10-2006, 12:07 door Consultant
    Beste Peter,

    Ik vind dat je groot gelijk hebt, en zie dat bedrijven die compliant willen zijn
    en op papier veilig zijn volgens ....norm zus...norm zo.. in de praktijk niet
    veilig zijn en slechte technische beslissingen nemen. Allemaal volgens
    het principe van risico management zonder technische visie/verstand.
    23-10-2006, 16:21 door Anoniem
    Wat ik een beetje mis in jullie terechte discussie is dat security toepassen
    op een bedrijfsvoering veel weg heeft van het mechanisme zoals deze bij
    verzekeringen gelden.
    Technisch gezien is het een enorme uitdaging, zoniet onmogelijk, om
    volledige garanties te kunnen geven als het gaat om de mate van
    beveiliging van (compromiterende) gegevens. Vanuit een technisch
    (techneuten) perspectief begrijpt idd niemand wat er bij komt kijken om
    informatie technologie (lees: uw omgeving) veilig te maken en te houden.
    Bedrijfskundig gezien is het ook een enorme uitdaging om precies op de
    scheidslijn te lopen van aan de ene kant 'zinvolle' investering en aan de
    anderekant het afgewogen risico. Het is bedrijfskundig verstandig om op
    basis van een gedegen risico analyse maatregelen te nemen. In de
    praktijk komt het er dan op neer dat je met gedegen regulering en 'cover
    your or my ass'-politiek voldoende aan security doet, terwijl dit vanuit een
    technisch oogpunt onvoldoende blijkt te zijn.

    De eerder genoemde analogie voor wat betreft beveiliging van je eigen
    huis is treffend: Als het aan de politie lag, baricadeerde je je huis met
    allerlei anti-inbraakstrips en zelfs sloten op het WC-raampje. Kosten nog
    moeite dienen te worden gespaard is het devies. Als het aan de eigenaar
    van het huis ligt (en dus ook de betalende partij) doet ie alleen dat wat hij
    zinvol acht binnen het gestelde budget. Dat WC-raampje is slecht
    bereikbaar en de kans dat iemand dáár doorheen komt is erg klein. Dus
    die investering laat hij of zij achterwege uit oogpunt van de risicoanalyse vs
    te maken kosten.
    Sommige risico's zijn dus prima mee te leven. Het lijkt mij juist de taak van
    een CISSP of iemand die op andere gronden zijn strepen heeft verdient op
    dat vlak om daarin goed te kunnen adviseren.

    Kortom, we hebben allemaal gelijk. Maar laten we wel in de gaten houden
    dat complete veiligheid a) onbetaalbaar is, b) onwerkbaar is c) onhaalbaar
    is en dus indruist tegen elke vorm van vrijheid zoals wij deze in onze
    westerse wereld nastreef(d)en maar wél de grootst mogelijke aandacht
    verdient.

    Martin
    24-10-2006, 15:50 door Kevin Mitnik
    Sure, the technical issues of Infosec are very important :-)
    24-10-2006, 16:06 door Security Consultant
    ...nu rollen de CISSPs van de lopende band...
    Peter,
    Dankzij je negatieve toonzetting lijkt het erop dat je je examen niet gehaald
    hebt...

    Tabaksblat, Sox en NEN7510 zijn wellicht de bekendste
    voorbeelden van opgelegde beveiligingsinspanningen.
    Afgezien van Tabaksblatt en Sox heb je gelijk :-)

    Eens even denken. Dit jaar zag ISO27001 het levenslicht: het
    Information Security Management Systeem. Eindelijk kunnen we
    beveiligen met een druk op de knop.
    ISMS bestaat gelukkig al veel langer. De rest van de zin begrijp ik niet.

    Niet dat ik je stuk wil afzeiken, maar je bent hier en daar (te) onvolledig en
    (te) kort door de bocht.

    Verder wens ik je veel succes !
    25-10-2006, 06:56 door Constant
    Door gorn
    Constant dit komt rechtstreeks uit Tabaksblat.


    C. Met betrekking tot de werking van de interne risicobeheersings- en
    controlesystemen (inclusief de betrouwbaarheid en continuïteit van de
    geautomatiseerde gegevensverwerking) en de kwaliteit van de interne
    informatievoorziening:
    • verbeterpunten, geconstateerde leemten en kwaliteitsbeoordelingen;
    • opmerkingen over bedreigingen en risico’s voor de vennootschap en
    de
    wijze waarop daarover in de te publiceren gegevens gerapporteerd
    dient te
    worden;
    • naleving van statuten, instructies, regelgeving, leningsconvenanten,
    vereisten van externe toezichthouders, etc.

    Mischien toch eens beter lezen.
    Ik schreef toch heel duidelijk dat het een corporate framework betrof en geen beveiligingsNORMEN. Tabaksblat bevat geen normen, maar "principles" zoals de commissie destijds al zei.

    Beter lezen dus, begin met uzelf. Lees ook eens uw eigen quote door, ik zie geen normen maar doelstellingen. Dat is een wezenlijk verschil dat u blijkbaar nog moet leren.
    25-10-2006, 17:08 door gorn
    Constant ik reageerde op onderstaand stukje. Daarin stel je
    dat Tabaksblat niets over IT beveiliging zegt. Ik begrijp
    uit je opmerking dat je

    C. Met betrekking tot de werking van de interne
    risicobeheersings- en
    controlesystemen (inclusief de betrouwbaarheid en
    continuïteit van de
    geautomatiseerde gegevensverwerking) en de kwaliteit van de
    interne
    informatievoorziening:
    Niet ook vindt slaan op IT-beveiliging. Zoals het daar
    staat dien je de integriteit van je gegevens te garanderen,
    ook in geautomatiseerde gegevensverking systemen. Hoe je dat
    wil doen zonder iets aan IT beveiliging te doen lijkt mij
    onmogelijk. Met alleen procedures los je dit niet op, je kan
    de integriteit van je gegevens niet garanderen.


    SOX en Tabaksblat gaan over corporate governance/goed
    ondernemingsbestuur, het zijn geen beveligingsnormen. Wel is
    het zo
    dat op basis van goed ondernemerschap een bedrijf o.a. moet
    denken
    aan IT beveiliging. Sox maakt een verwijzing naar een IT
    controls
    framework en noemt Cobit als voorbeeld; Tabaksblat zegt
    bij mijn
    weten niets over IT beveiliging
    en dit is de eerste keer
    dat ik zo'n
    directe verwijzing hoor.
    25-10-2006, 20:21 door Constant
    Ja, roepen dat iets moet gebeuren en dat het goed moet zijn (het
    aloude bekende goed-koopmanschap), dat zijn geen toetsbare
    normen. Daarop zijn mijn woorden (zie hieronder) gebaseerd.
    Overigens is de Code Tabaksblat een hele goede ontwikkeling op
    Corporate Governance gebied, maar voor IT security zou ik het niet
    durven noemen als vernieuwing. Je Knip en Plak werk komt trouwens
    uit het hoofdstuk mbt de externe Auditor / controlerend accountant en
    niet uit het hoofdstuk met de eisen die aan de interne beheersing
    worden gesteld. Beetje met losse flodders schieten ipv van een echt
    inhoudelijke discussie.

    kwaliteit van de interne informatievoorziening:
    informatie
    gaat niet alleen door systemen. En de invulling van het begrip kwaliteit
    is blijkbaar aan de lezer. Dus mijn inziens zegt deze passage NIETS
    over IT security (behalve dat de informatievoorziening van goede
    kwaliteit moet zijn).

    Lees mijn woorden nog maar een keer goed, wellicht snap je dan wat
    ik bedoel in plaats van al te snel reageren.

    Constant heeft gezegd:
    SOX en Tabaksblat gaan over corporate governance/goed
    ondernemingsbestuur, het zijn geen beveligingsnormen. Wel is het zo
    dat op basis van goed ondernemerschap een bedrijf o.a. moet denken
    aan IT beveiliging. Sox maakt een verwijzing naar een IT controls
    framework en noemt Cobit als voorbeeld; Tabaksblat zegt bij mijn
    weten niets over IT beveiliging en dit is de eerste keer dat ik zo'n
    directe verwijzing hoor.
    06-11-2006, 22:43 door Anoniem
    Ik vind elke conversatie over beveiliging/preventie uitstekend,en kan soms
    ook voor nieuwe inzichten zorgen voor sommige.
    Alleen altijd jammer dat er gebashed moet worden!
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.