Echte security professionals maken zichzelf overbodig
"Geef een man een vis en je voedt hem voor een dag. Leer een man hoe hij moet vissen en je voedt hem zijn leven lang", iets wat zeker geldt voor informatiebeveiliging. Teveel trainingen en bewustzijnscursussen richten zich alleen op de antwoorden, zonder uit te leggen hoe men tot het antwoord komt. "Als je mensen het principe voor het oplossen van het probleem uitlegt, in plaats van een tijdelijke oplossing te bieden, geef je ze de mogelijkheid om zichzelf te verbeteren", zegt beveiligingsspecialist Chad Perrin.
Beveiliging kun je dan ook niet automatiseren. Dat geldt zeker voor systemen die gebruikersinteractie proberen weg te automatiseren zonder de gebruiker te leren wat er precies gaande is en waarom. Als je de eindgebruiker de principes niet leert, maar juist probeert te verbergen hoe dingen werken, dan zorg je er gewoon voor dat de eindgebruiker vroeger of laat in de problemen komt, of je dit nu wilde of niet.
Sommige mensen zien dit als "job security" of als een vast gegeven vanwege de staat waarin IT-security zich bevindt, maar dat zijn geen echte IT'ers. "Als je een IT security consultant bent, en je helpt je klanten niet hoe ze met je diensten om moeten gaan, doe je eigenlijk niet je werk", aldus Perrin. De stelling van deze week luidt daarom: Het doel van een echte security professional is zichzelf overbodig maken.
moeten zijn aangezien het in de praktijk natuurlijk nooit
helemaal te verwezenlijken is.
Ik pleit dan ook al geruime tijd voor structurele
voorlichting, desnoods in de vorm van een Internet rijbewijs.
audit's, dus mogen we aannemen dat het overbodig worden van
professionals niet zo een vaart zal lopen.
IT Security = Science Fictie, beveiliging gebaseerd op
fictieve aanvallen (de audit).
mezelf geen doel maken als ik een security professional zou
zijn. Je kunt het wel als ideaal gebruiken, want die zijn
meestal toch niet te bereiken.
Het is ook aan de gebruikers die je moet instrueren in
hoeverre ze jouw beleid en/of aanwijzingen ter harte nemen.
Een heleboel mensen denken namelijk bij zichzelf: "Waarom
zou ik al die dingen moeten onthouden? Daar heb ik helemaal
geen zin. En als het mis gaat, dan heb ik Sjaak Security
nog, die weet wel hoe ik dat en dat moet oplossen.". Ze
schuiven dus de verantwoordelijkheid van zich af.
En zolang dat gebeurd, blijf je security professionals
houden. Maar dat is niet alleen in de ICT. Zonder het
afschuiven van verantwoordelijkheden zouden we geen
criminaliteit kennen.
- Unomi -
verkondigt zonder iedereen elke *dag naar je kerk te laten komen.
Je brengt mensen iets bij, helpt ze op weg, leert ze het in stand houden.
elke medewerker dient zichzelf voor 100% in te zetten voor
de rest van zijn leven/contract
ook voor heel veel leveranciers van producten. Maar
aangezien niemand zichzelf overbodig wil maken, wordt er
iedere keer iets nieuws verzonnen waarmee nieuwe
onmisbaarheid gecreëerd wordt. Heet dat niet economie?
deze zich overbodig maken, als de boodschap overgekomen is tot zover
die ooit zal kunnen overkomen. Sterker, dit soort consultants is al
overbodig. Zo lang er nieuwe technologiën uitkomen, nieuwe
medewerkers in dienst komen en dergelijke, zal er werk zijn voor
consultants die geen oplossingen prediken of 'implementeren', maar
gewoon oplossen. Nieuwe problemen blijven immers.
Leer hem te hacken en hij komt op elk systeem.
een bedrijf, is dit een goed streven, aangezien daar iets te
managen valt. Door het management bepaalde security
beginselen duidelijk te maken, en het duidelijk te maken dat
herhaling van de boodschap nodig is, moet het mogelijk te
zijn iets te bereiken binnen het bedrijf.
Echter, het grote publiek (thuis) kun je op deze manier niet
bereiken. Als mensen voor de basis beveiliging zelf moeten
zorgen, wordt het voor veel mensen al moeilijk. Als ze dan
ook nog moeten denken aan alle overige bedreigingen waar ze
zelf op moeten letten, wordt het alleen maar moeilijker.
Zeker bij mensen die niet dagelijks met IT te maken hebben,
kun je een aantal reacties verwachten die niet helemaal
positief zijn:
- Men neemt het heel serieus en probeert alle risico's voor
te zijn, en komt niet meer toe aan de leuke dingen, waarvoor
men eigenlijk Internet had.
- Men schiet in de stress, en durft eigenlijk het Internet
niet meer op (vooral oudere mensen waarschijnlijk)
- Men denkt "dat kan ik allemaal niet vatten" en gelooft het
verder wel. M.a.w. men doet niets meer aan beveiliging.
Welke reactie ook volgt, het is niet echt het beoogde effect.
Natuurlijk bestaan er ook andere reacties, maar het lijkt
onwaarschijnlijk dat al die miljoenen Internet gebruikers
bereikt kunnen worden met zo'n boodschap.
Dus ik zou zeggen dat het uiterst belangrijk zal zijn om
gewoon te voorkomen dat bedreigingen de gebruikers kunnen
bereiken.
Tsja, ook dan zijn we nog even bezig......
Laten we het erop houden dat we gebruikers moeten
opvoeden/opleiden, maar nooit moeten ophouden met het in
toom houden van de nieuwe bedreigingen... Misschien dat een
combinatie van beide hoop geeft op echte verbetering...
nooit meer te hard rijden? Of als ik je vertel dat roken
dodelijk is, stop je dan direct met roken?
Met iemand leren hoe met security om te gaan betekent niet
direct het einde van je vakn, nee, het zorgt juist voor zijn
bestaans recht. Die arme man heeft wel leren vissen, maar
hey, ik heb viskweek ontwikkeld met waar de vissen
automatisch worden gevoed. Denk dat hij dat ook kan? Het is
ene farce om te denken dat het stopt met het overdragen van
kennis. Zelf houd ik mij al 5 jaar met security bezig en nog
steeds moet ik de vis leren vangen :)
overlaten, wanneer de processen en verantwoordelijkheden daarvoor zijn
ingericht. Controle en zelfcontrole (al dan niet geautomatiseerd) zijn de key
woorden. Je zult het als bedrijf echter nooit zonder externe audit kunnen
stellen, wanneer je Informatiebeveiling op de agenda hebt staan.
Fishtech Sincerus
Informatiebeveiliging kun je als sec.prof alleen aan een bedrijf zelf
overlaten, wanneer de processen en verantwoordelijkheden daarvoor zijn
ingericht. Controle en zelfcontrole (al dan niet geautomatiseerd) zijn de key
woorden. Je zult het als bedrijf echter nooit zonder externe audit kunnen
stellen, wanneer je Informatiebeveiling op de agenda hebt staan.
Fishtech Sincerus
Verantwoordelijkheden toewijzen leidt er tevens toe dat mensen precies
weten wat ze moeten doen. Adequaat optreden alom. Schiphol bajes of
Enron anyone?
Informatiebeveiliging kun je als sec.prof alleen aan een bedrijf zelf
overlaten, wanneer de processen en verantwoordelijkheden daarvoor zijn
ingericht. Controle en zelfcontrole (al dan niet geautomatiseerd) zijn de key
woorden. Je zult het als bedrijf echter nooit zonder externe audit kunnen
stellen, wanneer je Informatiebeveiling op de agenda hebt staan.
Fishtech Sincerus
Verantwoordelijkheden toewijzen leidt er tevens toe dat mensen precies
weten wat ze moeten doen. Adequaat optreden alom. Schiphol bajes of
Enron anyone?
Ja want als jij de (klant) omgeving goed heb ingericht en al je gebruikers
hebt geinstrueerd dan valt er nooit meer iemand aan en er wijzigt nooit
meer iets in het netwerk.
/sarcasme uit.
De titel zou moeten lezen "Echte security Consultants maken zichzelf
overbodig"
M.
DE BESTE SECURITY PROFS MAKEN DE MINDER GOEIE OVERBODIG ;)
dus *niet* is ... en ik dus ook niet overbodig ben.
de eindgebruiker een digibeet, computercrimineel of ander
gespuis is."
Een echte security professional gaat er vanuit dat die mogelijkheid
bestaat, zonder dat hij daarbij aan overmatige paranoia gaat lijden. Je gaat
er vanuit dat men te vertrouwen is, maar houdt rekening met de kans
dat het tegendeel waar blijkt te zijn ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.