Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Welke bedreigingen kennen we eigenlijk?
Voor mijn werk ben ik bezig om een set van bedreigingen (zeg maar DE set) in relatie tot informatiebeveiliging op te stellen. Deze heb ik nodig voor mijn risicoanalyse. Ik ken de lijsten uit de ISO27005 en de PD3005:2002). De lijsten komen deels overeen, maar wijken op net zoveel punten ook weer af. Wie heeft ervaring hiermee en kan mij aangeven waar ik een werkbare lijst kan vinden?? Dank voor jullie reactie..
Reacties (15)
1. social engineering
2. social engineering
3. social engineering
4. memorysticks van thuis
5. alle andere dreigingen
Dat is voor bedrijven het belangrijkste als ze voor de rest beschikken over goede defensie zoals firewalls, scanners en goede systeembeheerders.
2. social engineering
3. social engineering
4. memorysticks van thuis
5. alle andere dreigingen
Dat is voor bedrijven het belangrijkste als ze voor de rest beschikken over goede defensie zoals firewalls, scanners en goede systeembeheerders.
04-09-2009, 16:59 door
Thijzzz
1. managers die lijstjes willen
2. managers die hun wereld willen vormen naar het aantal tabbladen in Excel.
3. meer budget voor high-profile, dan high-risk-issues.
Voordat je je druk kunt maken over memorysticks en virussen en hackers en scriptkiddies, firewalls, en van die grappige sleutelhangertjes(met bedrijfslogo) die nummertjes genereren...
Eerst regelen dat het management een vast percentage van het budget naar security laat gaan.
Mijn ervaring: hoe meer ISO, DIN en NEN, hoe minder resultaat.
Richt je op de echte inhoud van je rapport, niet op hoe goed het voldoet aan de laatste mode op rapportage-gebied,
2. managers die hun wereld willen vormen naar het aantal tabbladen in Excel.
3. meer budget voor high-profile, dan high-risk-issues.
Voordat je je druk kunt maken over memorysticks en virussen en hackers en scriptkiddies, firewalls, en van die grappige sleutelhangertjes(met bedrijfslogo) die nummertjes genereren...
Eerst regelen dat het management een vast percentage van het budget naar security laat gaan.
Mijn ervaring: hoe meer ISO, DIN en NEN, hoe minder resultaat.
Richt je op de echte inhoud van je rapport, niet op hoe goed het voldoet aan de laatste mode op rapportage-gebied,
Bedreigingen?
Vier soorten:
Onbedoeld, Act of Nature;
Onbedoeld, menselijke fouten;
Bedoeld, menselijke acties;
Bedoeld, Acts of Nature --- oh nee, die doet toch maar niet mee. Laten we het scenario dat 'terroristen' de hele wereld opblazen, maar niet serieus nemen...
Vier soorten:
Onbedoeld, Act of Nature;
Onbedoeld, menselijke fouten;
Bedoeld, menselijke acties;
Bedoeld, Acts of Nature --- oh nee, die doet toch maar niet mee. Laten we het scenario dat 'terroristen' de hele wereld opblazen, maar niet serieus nemen...
Om goed te kunnen bepalen wat de bedreigingen zijn voor wie dan ook is het van belang te bepalen wat van waarde is in de specifieke context. Als deze attributen helder zijn dan zijn de bedreigingen eenvoudiger te bepalen.
Ik neem aan dat je al een brede management support hebt gevonden en men dus inziet dat security belangrijk is en zodoende ook voldoende budget en mandaat krijgt? Zo ja, lees verder :)
Een middagje brainstormen met collega;s zal een redelijk specifieke set voor jullie bedrijf opleveren. Het leuke is dat je altijd door iets wordt getroffen wat net niet in die lijst staat of op basis van die lijst geen prio kreeg :-)
Steek dus zeker de nodige tijd en budget in incident detection & response + disaster recovery. Let verder goed op dat men toeziet op naleving van opgestelde procedures en sancties.
Ik loop in mijn nieuwe werk helaas al stuk op het eerst genoemde punt, management support.... Verder hebben we leuke richtlijnen voor van alles en nog wat maar niemand let er op dat deze goed worden gevolgd en bij overtreding van regels volgen geen sancties. 1 maal raden in welke sector ik werk... haha
Een middagje brainstormen met collega;s zal een redelijk specifieke set voor jullie bedrijf opleveren. Het leuke is dat je altijd door iets wordt getroffen wat net niet in die lijst staat of op basis van die lijst geen prio kreeg :-)
Steek dus zeker de nodige tijd en budget in incident detection & response + disaster recovery. Let verder goed op dat men toeziet op naleving van opgestelde procedures en sancties.
Ik loop in mijn nieuwe werk helaas al stuk op het eerst genoemde punt, management support.... Verder hebben we leuke richtlijnen voor van alles en nog wat maar niemand let er op dat deze goed worden gevolgd en bij overtreding van regels volgen geen sancties. 1 maal raden in welke sector ik werk... haha
Wil je een risico analyse, of een security analyse?
De taal is onmogelijk, de naam brak en de laatste versie laat op zich wachten en toch raad ik 'm aan:
http://www.osstmm.org. De "light" versie heeft al een hoofdstuk over data networks. Waarom ik dit mormel aanraad, is omdat het je weg kan leiden van een soort "blacklisting" van risico's en een verfrissende blik geeft op security.
De taal is onmogelijk, de naam brak en de laatste versie laat op zich wachten en toch raad ik 'm aan:
http://www.osstmm.org. De "light" versie heeft al een hoofdstuk over data networks. Waarom ik dit mormel aanraad, is omdat het je weg kan leiden van een soort "blacklisting" van risico's en een verfrissende blik geeft op security.
Aan je naam te zien werk je in de luchtvaart? hihi Grapje....
de vraag is heel simpel....Welk type bedrijf is het en waar haalt het het grootste deel van de omzet vandaan. Daarnaast de locatie van het bedrijf ivm nuts-voorzieningen enz....zomaar een lijst kan niet.
Als je het type bedrijf vermeldt en de locatie kan ik je wel een lijst geven
de vraag is heel simpel....Welk type bedrijf is het en waar haalt het het grootste deel van de omzet vandaan. Daarnaast de locatie van het bedrijf ivm nuts-voorzieningen enz....zomaar een lijst kan niet.
Als je het type bedrijf vermeldt en de locatie kan ik je wel een lijst geven
"Voor mijn werk ben ik bezig om een set van bedreigingen (zeg maar DE set) in relatie tot informatiebeveiliging op te stellen. Deze heb ik nodig voor mijn risicoanalyse. Ik ken de lijsten uit de ISO27005 en de PD3005:2002). De lijsten komen deels overeen, maar wijken op net zoveel punten ook weer af. Wie heeft ervaring hiermee en kan mij aangeven waar ik een werkbare lijst kan vinden??"
Zijn de bedreigingen dan niet mede afhankelijk van de organisatie waarin je werkzaam bent ? Natuurlijk kan je lijsten vinden, maar een 'werkbare lijst' zul je toch uiteindelijk zelf moeten opstellen, want "DE" set bestaat simpelweg niet... ?
Zijn de bedreigingen dan niet mede afhankelijk van de organisatie waarin je werkzaam bent ? Natuurlijk kan je lijsten vinden, maar een 'werkbare lijst' zul je toch uiteindelijk zelf moeten opstellen, want "DE" set bestaat simpelweg niet... ?
06-09-2009, 16:11 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: Ik neem aan dat je al een brede management support hebt gevonden en men dus inziet dat security belangrijk is en zodoende ook voldoende budget en mandaat krijgt? Zo ja, lees verder :)
Een middagje brainstormen met collega;s zal een redelijk specifieke set voor jullie bedrijf opleveren. Het leuke is dat je altijd door iets wordt getroffen wat net niet in die lijst staat of op basis van die lijst geen prio kreeg :-)
Steek dus zeker de nodige tijd en budget in incident detection & response + disaster recovery. Let verder goed op dat men toeziet op naleving van opgestelde procedures en sancties.
Ik loop in mijn nieuwe werk helaas al stuk op het eerst genoemde punt, management support.... Verder hebben we leuke richtlijnen voor van alles en nog wat maar niemand let er op dat deze goed worden gevolgd en bij overtreding van regels volgen geen sancties. 1 maal raden in welke sector ik werk... haha
Een middagje brainstormen met collega;s zal een redelijk specifieke set voor jullie bedrijf opleveren. Het leuke is dat je altijd door iets wordt getroffen wat net niet in die lijst staat of op basis van die lijst geen prio kreeg :-)
Steek dus zeker de nodige tijd en budget in incident detection & response + disaster recovery. Let verder goed op dat men toeziet op naleving van opgestelde procedures en sancties.
Ik loop in mijn nieuwe werk helaas al stuk op het eerst genoemde punt, management support.... Verder hebben we leuke richtlijnen voor van alles en nog wat maar niemand let er op dat deze goed worden gevolgd en bij overtreding van regels volgen geen sancties. 1 maal raden in welke sector ik werk... haha
Overheid ?
07-09-2009, 08:54 door
Airsecure
Door Anoniem: Aan je naam te zien werk je in de luchtvaart? hihi Grapje....
de vraag is heel simpel....Welk type bedrijf is het en waar haalt het het grootste deel van de omzet vandaan. Daarnaast de locatie van het bedrijf ivm nuts-voorzieningen enz....zomaar een lijst kan niet.
Als je het type bedrijf vermeldt en de locatie kan ik je wel een lijst geven
de vraag is heel simpel....Welk type bedrijf is het en waar haalt het het grootste deel van de omzet vandaan. Daarnaast de locatie van het bedrijf ivm nuts-voorzieningen enz....zomaar een lijst kan niet.
Als je het type bedrijf vermeldt en de locatie kan ik je wel een lijst geven
Inderdaad luchtvaart. Locatie?? Tja, ach zullen we zeggen in de buurt van Amsterdam?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.