image

CSR bezorgd over schrijnend tekort aan cyberspecialisten

dinsdag 25 juni 2019, 09:36 door Redactie, 23 reacties

De steeds verdergaande digitalisering maakt de samenleving kwetsbaar voor cyberdreigingen, maar we koersen aan op een schrijnend tekort aan cyberspecialisten, zo stelt de Cyber Security Raad (CSR). Ook maakt de CSR zich zorgen dat de jeugd onvoldoende wordt voorbereid op de digitale toekomst.

De raad reageert op het recentelijk verschenen Cybersecuritybeeld Nederland (CSBN) 2019, waarin staat dat de huidige maatschappij in al haar facetten afhankelijk is van digitale technologie en van netwerken. De afhankelijkheid maakt de samenleving kwetsbaar. "De digitale dreigingen zijn daarmee permanent, overal en nemen toe in omvang en gevolg; maatschappelijke en economische ontwrichting ligt op de loer met alle gevolgen van dien", aldus de CSR.

Volgens de raad is cybersecurity een cruciale randvoorwaarde voor een soepel verloop van de steeds verdergaande digitale samenleving. Bedrijven en overheid schieten hierin tekort. De raad adviseert de overheid dan ook om intensief te investeren in haar eigen cybersecurity en in hoog tempo de basis op orde te brengen. Om dit te realiseren wordt er gepleit voor een allesomvattende aanpak waarbij partijen worden samengebracht die in staat zijn om "beweging te creëren." Ook vindt de raad dat er in de volgende kabinetsperiode een hoge functionaris op het dossier cybersecurity wordt benoemd.

Naast een gecoördineerde aanpak ligt één van de belangrijkste uitdagingen op het vlak van human capital, aldus de raad. Zo maakt de CSR zich zorgen over het feit dat de jeugd onvoldoende wordt voorbereid op de digitale toekomst en dat we aankoersen op een schrijnend tekort aan cyberspecialisten. Tenslotte vindt de raad het belangrijk dat de vraagstukken uit het cybersecuritybeeld in EU-verband worden opgepakt en dat er intensiever met andere landen wordt samengewerkt.

Reacties (23)
25-06-2019, 09:57 door Anoniem
Ik heb echt 0 moeite om cyber security specialisten te vinden voor mijn opdrachten...
Ik vraag echter niet om mensen die 18 jaar oud zijn, minstens een universitaire opleiding hebben gehad en 30 jaar ervaring hebben.

Het achterlijke idee dat je minstens hoog opgeleid moet zijn is zo 1960...
Ik heb white hatters die rondjes rennen om de laatste uni gast die ik over de vloer heb gehad maar daar nooit zullen studeren omdat hun hersenen anders werken en de klassieke opleidingen hier averechts mee om gaan.

Voor techneuten zie ik echt alleen problemen bij de mensen die er geen verstand van hebben en vacatures plaatsen..
Voor mensen die op tactisch niveau moeten acteren, daar is wel schaarste. En niet vanwege het aanbod maar de kwaliteit.

Wanneer je op fecesbook, insta-narcist, dickpic-snap zit kan ik al niet serieus nemen als iemand die IT security begrijpt.
25-06-2019, 10:37 door Anoniem
Hebben ze al op deze site gekeken want hier zijn ze te vinden in de comments.

~TheBasher~
25-06-2019, 10:40 door Anoniem
Er is niet zozeer een tekort aan specialisten maar aan de wil om beveiliging op orde te brengen.

Die wordt uitbesteed aan onbetrouwbare buitenlandse partijen zoals Microsoft of Google voor Office en email en buitenlandse firewall aanbieders die overal bij kunnen en aan partijen die telefonie aanbieden zonder encryptie.
25-06-2019, 10:47 door Anoniem
Veel ambtelijke taal.. 'beweging creeeren' 'vraagstukken oppakken' 'gecoordineerde aanpak' 'basis op orde brengen' 'hoge funtionaris cybersecurity'

Wat zeg je nou eigenlijk? Maak het eens concreter? Cybersecurity en awareness als verplicht vak op middelbare scholen en MBO, Net als Nederlands en Engels. Overheidsbrede campagnes, ondersteunen van MBO, HBO en WO met stageplekken en opleidingen.

Maak hier geld voor vrij (al is het maar omdat er nog niet voldoende leraren zijn om deze vakken te kunnen geven), creeer lesstof en methodieken (soms kunnen leerlingen het beter uitleggen, gebruik dat dan!)

Alles gaat om geld.. Nu uitgeven bespaart op den lange duur grotere schade.

En dat zegt een ambtenaar (ik)
25-06-2019, 11:12 door Anoniem
Dan moeten bedrijven geld steken in hun personeel!!!
25-06-2019, 11:34 door Anoniem
ooooooooooooooooooooooo wat "vervelend"

Cyberspecialisten zijn vaak kritische mensen die op enig moment niet meer willen werken voor;
- Criminele overheden;

- Kapialistische bedrijven die de aarde vernietigen

- Telecombedrijven die communicatie die op papier (briefgeheim) privaat zou moeten zijn, aftappen


Vreemd hoor dat mensen,
- Niet 40 uur per week willen werken terwijl ons een 10 uur werkweek beloofd is toen de automatisering ingevoerd werd;

- Als zzp'er niet willen buigen in het "werken voor een baas" wat freelancen in de IT in de praktijk is

- Ermee stoppen omdat er GEEN parttime (10-28 uur per week) banen in de IT zijn op het gebied van security/netwerk

- Niet in een betonnen hok "kantoor" met kunstlicht, herrie, straling (wifi, telefoons), kunstlucht, zonder connectie met moeder aarde, in een land met "oud hollansch k*tweer" willen werken

- Ermee stoppen omdat het uurtarief van freelancers al zeker sinds 2007 gelijk is voor veel IT functies

- Geen baan kiezen voor voorgenoemde redenen, omdat hun bazen teren op hun kennis en geld, en omdat vaste banen niet genoeg betalen

- Teleurgesteld zijn omdat talent niet benut wordt. Als je bijvoorbeeld een project als freelance netwerkbeheerder aanneemt, moet je niet verbaasd zijn dat je van de 40 uur per week, 38 uur per week nu.nl mag bezoeken of in je neus mag peuteren.
Kortom makkelijk geld verdienen, 1 intake gesprek van 15 minuten en 1 jaar a 110.000 euro werken, maar er zit geen voldoening in in de meeste gevallen
25-06-2019, 12:51 door Anoniem
Men hoeft op cybergebied eigenlijk maar 1 ding te weten: Blockchain Cloud!!!
25-06-2019, 13:08 door Anoniem
Door Anoniem: Er is niet zozeer een tekort aan specialisten maar aan de wil om beveiliging op orde te brengen.

Die wordt uitbesteed aan onbetrouwbare buitenlandse partijen zoals Microsoft of Google voor Office en email en buitenlandse firewall aanbieders die overal bij kunnen en aan partijen die telefonie aanbieden zonder encryptie.

Het eerste deel klopt als een bus.
Jammer van het tweede deel tho.....
25-06-2019, 13:34 door Power2All
Door Anoniem: Ik heb echt 0 moeite om cyber security specialisten te vinden voor mijn opdrachten...
Ik vraag echter niet om mensen die 18 jaar oud zijn, minstens een universitaire opleiding hebben gehad en 30 jaar ervaring hebben.

Het achterlijke idee dat je minstens hoog opgeleid moet zijn is zo 1960...
Ik heb white hatters die rondjes rennen om de laatste uni gast die ik over de vloer heb gehad maar daar nooit zullen studeren omdat hun hersenen anders werken en de klassieke opleidingen hier averechts mee om gaan.

Voor techneuten zie ik echt alleen problemen bij de mensen die er geen verstand van hebben en vacatures plaatsen..
Voor mensen die op tactisch niveau moeten acteren, daar is wel schaarste. En niet vanwege het aanbod maar de kwaliteit.

Wanneer je op fecesbook, insta-narcist, dickpic-snap zit kan ik al niet serieus nemen als iemand die IT security begrijpt.

Niks mis met fecesbook, maar die andere kakker sites, vermijd ik wel.
Als security is het gewoon verstandig om niet als een lamlul alles te openen.
Op zijn hoogst houdt je de processen bij.
Ik zie systeem beheerders altijd dezelfde fouten maken, en de eerste is FIREWALL AANZETTEN.
Schijnbaar is dat heul heul moeilijk, laat staan het gebruik maken van een VPN voor je gevoelige zooi.
RDP bijv. staat bij mij op een VM ook achter een VPN, aangezien er laatste weer zo'n hele gezellige exploit ervoor was.
Gelukkig niet affected ;)
25-06-2019, 13:35 door Anoniem

Het achterlijke idee dat je minstens hoog opgeleid moet zijn is zo 1960...
Ik heb white hatters die rondjes rennen om de laatste uni gast die ik over de vloer heb gehad maar daar nooit zullen studeren omdat hun hersenen anders werken en de klassieke opleidingen hier averechts mee om gaan.

Bij die opleiding moet je verplicht windows met adobe installeren ?
Ze worden opgeleid om updates te draaien, anders ben je niet goed bezig zonder updates.
Dat is het probleem, mensen worden opgeleid als eindgebruiker voor een product, inplaats van dat ze zelf een product maken.
Made in Holland.
25-06-2019, 14:47 door Anoniem
Door Power2All:
Door Anoniem: Ik heb echt 0 moeite om cyber security specialisten te vinden voor mijn opdrachten...
Ik vraag echter niet om mensen die 18 jaar oud zijn, minstens een universitaire opleiding hebben gehad en 30 jaar ervaring hebben.

Het achterlijke idee dat je minstens hoog opgeleid moet zijn is zo 1960...
Ik heb white hatters die rondjes rennen om de laatste uni gast die ik over de vloer heb gehad maar daar nooit zullen studeren omdat hun hersenen anders werken en de klassieke opleidingen hier averechts mee om gaan.

Voor techneuten zie ik echt alleen problemen bij de mensen die er geen verstand van hebben en vacatures plaatsen..
Voor mensen die op tactisch niveau moeten acteren, daar is wel schaarste. En niet vanwege het aanbod maar de kwaliteit.

Wanneer je op fecesbook, insta-narcist, dickpic-snap zit kan ik al niet serieus nemen als iemand die IT security begrijpt.

Niks mis met fecesbook, maar die andere kakker sites, vermijd ik wel.
Als security is het gewoon verstandig om niet als een lamlul alles te openen.
Op zijn hoogst houdt je de processen bij.
Ik zie systeem beheerders altijd dezelfde fouten maken, en de eerste is FIREWALL AANZETTEN.
Schijnbaar is dat heul heul moeilijk, laat staan het gebruik maken van een VPN voor je gevoelige zooi.
RDP bijv. staat bij mij op een VM ook achter een VPN, aangezien er laatste weer zo'n hele gezellige exploit ervoor was.
Gelukkig niet affected ;)

Cybersecurity is ff iets meer dan een firewalletje aanzetten want dat kan iedere kleuter. Er moet wat meer gebeuren om een organisatie veilig te krijgen maar dat toch het werk kan blijven gebeuren. En van dat werk, is het handig te weten welke processen daarin werken en welke risico's deze processen met zich mee dragen. En dat moet ook nog eens in het geheel van de totale bedrijfsvoering worden gezien dus inclusief alle assets die daarin een rol spelen met alle keyusers en senior management. Daar komt ook nog een stukje politiek en communicatie bij kijken (waar veel techneuten al direct voor zakken). Mensen trainen, processen in beeld brengen, risk management, kwetsbaarheden onderkennen en maatregelen (laten) nemen maar deze ook testen. Tja, dat gaat ietwat verder dan een firewalltetje aanzetten, niet?
25-06-2019, 19:14 door Anoniem
Door Anoniem:
Door Power2All:
Door Anoniem: Ik heb echt 0 moeite om cyber security specialisten te vinden voor mijn opdrachten...
Ik vraag echter niet om mensen die 18 jaar oud zijn, minstens een universitaire opleiding hebben gehad en 30 jaar ervaring hebben.

Het achterlijke idee dat je minstens hoog opgeleid moet zijn is zo 1960...
Ik heb white hatters die rondjes rennen om de laatste uni gast die ik over de vloer heb gehad maar daar nooit zullen studeren omdat hun hersenen anders werken en de klassieke opleidingen hier averechts mee om gaan.

Voor techneuten zie ik echt alleen problemen bij de mensen die er geen verstand van hebben en vacatures plaatsen..
Voor mensen die op tactisch niveau moeten acteren, daar is wel schaarste. En niet vanwege het aanbod maar de kwaliteit.

Wanneer je op fecesbook, insta-narcist, dickpic-snap zit kan ik al niet serieus nemen als iemand die IT security begrijpt.

Niks mis met fecesbook, maar die andere kakker sites, vermijd ik wel.
Als security is het gewoon verstandig om niet als een lamlul alles te openen.
Op zijn hoogst houdt je de processen bij.
Ik zie systeem beheerders altijd dezelfde fouten maken, en de eerste is FIREWALL AANZETTEN.
Schijnbaar is dat heul heul moeilijk, laat staan het gebruik maken van een VPN voor je gevoelige zooi.
RDP bijv. staat bij mij op een VM ook achter een VPN, aangezien er laatste weer zo'n hele gezellige exploit ervoor was.
Gelukkig niet affected ;)

Cybersecurity is ff iets meer dan een firewalletje aanzetten want dat kan iedere kleuter. Er moet wat meer gebeuren om een organisatie veilig te krijgen maar dat toch het werk kan blijven gebeuren. En van dat werk, is het handig te weten welke processen daarin werken en welke risico's deze processen met zich mee dragen. En dat moet ook nog eens in het geheel van de totale bedrijfsvoering worden gezien dus inclusief alle assets die daarin een rol spelen met alle keyusers en senior management. Daar komt ook nog een stukje politiek en communicatie bij kijken (waar veel techneuten al direct voor zakken). Mensen trainen, processen in beeld brengen, risk management, kwetsbaarheden onderkennen en maatregelen (laten) nemen maar deze ook testen. Tja, dat gaat ietwat verder dan een firewalltetje aanzetten, niet?

het een sluit het ander niet uit: wat is er mis mee meteen een fatsoenlijke firewall te hebben waar over nagedacht is en onderhouden wordt? easy peasy win win lijkt mij. ook al is dat nog lang niet genoeg, het is een eenvoudige start zo. een no brainer. the point is misschien ook wel: niet moeilijk theoretiseren en bij een non argumentje tegen meteen maar moelijke woorden spuien als een consultant de uurtje-factuurtje-draai-deur starten en zo niets meer partisch eenvoudig doen. ook al zou een kleuter het kunnen, waarom dan niet doen?
25-06-2019, 19:45 door Anoniem
Door Anoniem:
Cybersecurity is ff iets meer dan een firewalletje aanzetten want dat kan iedere kleuter. Er moet wat meer gebeuren om een organisatie veilig te krijgen maar dat toch het werk kan blijven gebeuren. En van dat werk, is het handig te weten welke processen daarin werken en welke risico's deze processen met zich mee dragen. En dat moet ook nog eens in het geheel van de totale bedrijfsvoering worden gezien dus inclusief alle assets die daarin een rol spelen met alle keyusers en senior management. Daar komt ook nog een stukje politiek en communicatie bij kijken (waar veel techneuten al direct voor zakken). Mensen trainen, processen in beeld brengen, risk management, kwetsbaarheden onderkennen en maatregelen (laten) nemen maar deze ook testen. Tja, dat gaat ietwat verder dan een firewalltetje aanzetten, niet?

Yep, cybersecurity gaat niet of ongeschoolde autisten in een kelder je superveilige KPN PBX kunnen hacken. Het gaat vooral om op de hoogte te zijn van de juiste processen, je moet genoeg management boeken gelezen hebben en een of meerdere proefschriften op je naam (peer reviewed om te bevestigen dat je de blockchain cloud verstaat, daarbij is het vooral zeer belangrijk op de hoogte te zijn van alle HR processen en ook administratieve vaardigheden, met verstand van zaken wat betreffende alle wetgeving en regeltjes binnen Nederland, de E.U. en elk ander land waar je traceroute over gaat i.v.m. juridische aansprakelijkheid is kennis van de jurisprudentie ook belangrijk. ITIL en de nodige certificeringen op zak hebben om niet als junior trainee te worden aangezien anders wordt je niet serieus genomen in het serieuze bedrijfsleven. Daarbij moet je wel weten hoe nmap werkt en dat je de parameters voor deze tool uit manpages kunt halen en niet altijd hoeft over te kloppen uit specialistische security (management) boeken geschreven door erkende auteurs. Het zijn geen goedkope boeken maar je moet er wat voor over hebben om professioneel over te komen. Je wilt tenslotte geen losbandige Infosec hobo worden die het van Twitter volgers moet hebben (trendy dat wel) maar je zult nooit een wannabe hipster zien werken bij een multinational zoals KPN want de stakeholders stellen klassieke eisen.

Mijn punt:

Wat ik wil zeggen is dat een firewalletje opzetten niet door elke kleuter gedaan kan worden of je kennis van firewalls is beperkt tot de meest simpele applicatie van een firewall pakketje zoals die je voor je Windows of Android even koopt en fixt.
25-06-2019, 22:52 door [Account Verwijderd]
Door Anoniem: Het achterlijke idee dat je minstens hoog opgeleid moet zijn is zo 1960...
Ik heb white hatters die rondjes rennen om de laatste uni gast die ik over de vloer heb gehad maar daar nooit zullen studeren omdat hun hersenen anders werken en de klassieke opleidingen hier averechts mee om gaan.

Tuurlijk ventje...
25-06-2019, 23:55 door Anoniem
Tja, in de wereld van het outsourcen van risico's is het niet echt leuk werken natuurlijk. Alles wat volgens je iso te duur kan worden is wel uit te besteden. Zo kan een bedrijf alsnog domme dingen doen en de hoster de schuld proberen te geven.

Owja, en anders beloof je gewoon een t-shirt voor iemand die aangeeft waar problemen zitten :-)
26-06-2019, 09:26 door Bitje-scheef
Uiteindelijk zijn er 3 dingen nodig:

- Klant die wil meewerken (begin <-> eind) en betalen.
- Specialist die weet wat ie moet doen en dit correct vertalen naar de omgeving, nog steeds werkbaar.
- Installatie en onderhoud, incl. verder investeren (hardware, policy, software, inrichting).

Alleen dan kun je spreken van een succesvolle uitvoering van het project.
Valt 1 onderdeel weg, dan gaat het niet (goed) lukken.

Anoniem 14:47 heeft het aardig door !
26-06-2019, 09:48 door linuxpro
Mijn aanname is (en ja, assumptions are the mother of all fuckups) dat dit een zoveelste overheidsclub is die vooral bezig is met zichzelf nodig te houden en zo de subsidiekraan open te houden. Kijk eens wat voor werk wij allemaal moeten doen...

hecht weinig geloof aan dit soort door de overheid in het leven geroepen clubjes. Hoeveel zijn er hier al niet van?
26-06-2019, 09:50 door Anoniem
Het probleem met "security" is dat er eigenlijk geen geld mee wordt verdiend (behalve de security leveranciers natuurlijk). Het is iets "onmogelijk" maken en dat is fundamenteel (vrij) waardeloos.

Dat zorgt er vervolgens voor dat je alleen maar een kostenpost bent en daarom niet zomaar zaken goed op orde kan maken.

In het jaar dat ik expliciet met security bezig was, kreeg ik voor het eerst sinds 10 jaar 0% loonsverhoging. "Next".
26-06-2019, 11:27 door Anoniem
Door Anoniem: het een sluit het ander niet uit: wat is er mis mee meteen een fatsoenlijke firewall te hebben waar over nagedacht is en onderhouden wordt? easy peasy win win lijkt mij. ook al is dat nog lang niet genoeg, het is een eenvoudige start zo. een no brainer.
Heb je al eens nagedacht over waarom je "firewall erop" als "easy peasy win win" ziet?

Ik heb zelf jarenlang computers ongefilterd aan het publieke internet gehad en zou het zo weer doen. Maar niet met *kuch* zekere software *kuch*. Want de ervaring leert, die zekere software wordt geleverd met een afgezakte broek en als je 't de broek laat optrekken zakt'ie zo weer af. Dat is waarom een firewall niet alleen een goed idee is, maar bittere noodzaak... voor die software. De standaardconfiguratie is (nog steeds) onveilig en het heeft stapels patches nodig om een beetje minder onveilig te lijken. Dit gaat overigens vaak al de doelgroep van die software de pet te boven, dus dan is het "gewoon firewalletje erop en het is wel goed zo" het beste waar ze toe in staat zijn. Denk daar maar even over na.

En als je toch bezig bent, bedenk dat zekere andere software heel anders geleverd wordt en, om in de analogie te blijven, wel, en goed, afkleedt. Als je daar met "waarom geen firewalletje erop, easy peasy win win" aankomt word je vierkant uitgelachen. Gewoon niet nodig, dus waarom die moeite doen? Niet pielen, er is nog meer werk te doen. Shops die zulke andere software gebruiken zijn dan ook gelijk shops die met minder beheerders veel meer computers kunnen beheren.

"Win-win" gaat over twee partijen die een deal maken waarbij beide beter af zijn. Is dat hier ook het geval?

De fabrikant van de firewall is beter af, want je betaalt 'm voor hun oplapsoftware. De fabrikant van het OS betaal je voor hun broddelwerk. En je krijgt een onveilig onding waarvan je denkt dat je 't nu "veilig gemaakt hebt" met die firewall. Er zijn wel twee partijen die hier beter af zijn maar toch zou ik 't niet als win-win bestempelen. Waarom niet?

the point is misschien ook wel: niet moeilijk theoretiseren en bij een non argumentje tegen meteen maar moelijke woorden spuien als een consultant de uurtje-factuurtje-draai-deur starten en zo niets meer partisch eenvoudig doen. ook al zou een kleuter het kunnen, waarom dan niet doen?
Uurtje-factuurtje levert meer geld op als je meer uurtjes vol kan maken. Zeg maar wat jij "easy peasy win win" noemt, maar dan in zaken. Ook bekend als het consultancy-verdienmodel.
26-06-2019, 12:51 door Anoniem
Door linuxpro: Mijn aanname is (en ja, assumptions are the mother of all fuckups) dat dit een zoveelste overheidsclub is die vooral bezig is met zichzelf nodig te houden en zo de subsidiekraan open te houden. Kijk eens wat voor werk wij allemaal moeten doen...

hecht weinig geloof aan dit soort door de overheid in het leven geroepen clubjes. Hoeveel zijn er hier al niet van?
Je kan eens beginnen met kijken hoeveel quangos er zijn. (Of hoe die "op afstand gezette" clubjes ook precies genoemd worden.) Ik geloof dat het er meer dan 3000 zijn.

Qua clubjes met directe banden met het haagsche, specifiek op "cyber"? Ook wel een handvol.

Het is in zekere zin moderne patronage. Kijk maar bij welke clubjes overwegens PvdAers, CDAers en VVDers te vinden zijn. D66 probeert zich erin te wurmen met een eigen circuitje, inderdaad, vooral de "cyber". Zie b.v. toch wel enorm inhoudsloze borrelclub "hague security delta" waar toch mooi wel even de koning langsgeweest is.


Door Anoniem: Het probleem met "security" is dat er eigenlijk geen geld mee wordt verdiend (behalve de security leveranciers natuurlijk). Het is iets "onmogelijk" maken en dat is fundamenteel (vrij) waardeloos.

Dat zorgt er vervolgens voor dat je alleen maar een kostenpost bent en daarom niet zomaar zaken goed op orde kan maken.

In het jaar dat ik expliciet met security bezig was, kreeg ik voor het eerst sinds 10 jaar 0% loonsverhoging. "Next".
Terwijl niet aan "security" doen zomaan tientallen of zelfs honderden miljoenen kan kosten, of gewoon je hele bedrijf.

Als de overheid hier een rol voor zichzelf ziet, doe het dan goed: Begin met van-de-grond-af "veilige" systemen te bouwen. Waarmee ik bedoel, degelijke hardware en degelijke software. Niet zozeer volgestopt met controle-wegnemende crypto (TCPA, remote attestation, DRM, "secure boot", en meer van die onzin), maar hardware en software die je vertrouwen kan dat het doet wat jij zegt dat het moet doen. Dus geen iME/PSP, achterdeurtjes, propietary-anything, noem-maar-op, maar auditable hardware en software. Niet meer rotzooi op de wrakke fundering stapelen, maar een solide fundering leggen. Ga er maar aanstaan.

Niemand die ook maar een beetje in die richting denkt. Niemand binnen de huidige overheid die dat zelfs maar kan.

Maar de bitterballen smaken er vast prima.
26-06-2019, 15:09 door Anoniem
De CSR kan wel blaten, maar ook zij krijgen het niet voor elkaar om partijen te bewegen...en een bericht als dit heeft hooguit een milde grijs tot gevolg.
Binnen de overheid wil ook iedereen voor een dubbeltje op de eerste rang zitten. Men wil het schaap met 6 poten, realiseert zich niet dat die niet bestaan, en willen niet investeren in de toekomst. Gaatjes dichtlopen maar niets bieden. Geen visie, geen richting...en klagen dat niemand bij hun wil werken.
Het is de "oude-mannen-cultuur" die dit in stand houdt...waardoor en weinig zal veranderen....en hoe vet zou het zijn als ik het mis heb.
26-06-2019, 18:32 door Anoniem
Door Anoniem:
Door Anoniem: het een sluit het ander niet uit: wat is er mis mee meteen een fatsoenlijke firewall te hebben waar over nagedacht is en onderhouden wordt? easy peasy win win lijkt mij. ook al is dat nog lang niet genoeg, het is een eenvoudige start zo. een no brainer.
Heb je al eens nagedacht over waarom je "firewall erop" als "easy peasy win win" ziet?
ja, inhoudelijke vragen daarover? stel ze gerust.


Ik heb zelf jarenlang computers ongefilterd aan het publieke internet gehad en zou het zo weer doen. Maar niet met *kuch* zekere software *kuch*. Want de ervaring leert, die zekere software wordt geleverd met een afgezakte broek en als je 't de broek laat optrekken zakt'ie zo weer af. Dat is waarom een firewall niet alleen een goed idee is, maar bittere noodzaak...
exact en als je met eennetwerk te maken hebt waar je niet 100% de controle over heb over alle mensen die er maar wat in hangen, dan is een firewall een optie dus. beter is ook nog monitoring erbij.


voor die software. De standaardconfiguratie is (nog steeds) onveilig en het heeft stapels patches nodig om een beetje minder onveilig te lijken. Dit gaat overigens vaak al de doelgroep van die software de pet te boven, dus dan is het "gewoon firewalletje erop en het is wel goed zo" het beste waar ze toe in staat zijn. Denk daar maar even over na.


gedaan. maar je fixeerd je ietwat op een context die niet overal van toepassing is. ik stel niet 'het beste waar...' ik stel het is een eenvoudige doeltreffende maatregel die je als optie hebt en niet moet afdoen alsof het geen bijrdage in het geheel kan hebben.


En als je toch bezig bent, bedenk dat zekere andere software heel anders geleverd wordt en, om in de analogie te blijven, wel, en goed, afkleedt. Als je daar met "waarom geen firewalletje erop, easy peasy win win" aankomt word je vierkant uitgelachen. Gewoon niet nodig, dus waarom die moeite doen? Niet pielen, er is nog meer werk te doen. Shops die zulke andere software gebruiken zijn dan ook gelijk shops die met minder beheerders veel meer computers kunnen beheren.


again, meerder omgevingen meerdere opties en dus niets uitsluiten a priori. security in lagen, dus ook al zou je em strikt niet nodig hebben om je slotgracht architectuur omgeving. ik kies voor meerdere lagen en op elke laag barrieres en dus ook firewalls lokaal en centraal.

kijk als ik op alle werkstations outbound port 25 al beperk tot eenkel de mail relay server, dan zal er geen malware of rot script van een gebruikern een spam run kunnen doen en daarbij onzichtbaar blijven. combi van firewall en monitoring dus weer.

[/quote]"Win-win" gaat over twee partijen die een deal maken waarbij beide beter af zijn. Is dat hier ook het geval?

De fabrikant van de firewall is beter af, want je betaalt 'm voor hun oplapsoftware. De fabrikant van het OS betaal je voor hun broddelwerk. En je krijgt een onveilig onding waarvan je denkt dat je 't nu "veilig gemaakt hebt" met die firewall. Er zijn wel twee partijen die hier beter af zijn maar toch zou ik 't niet als win-win bestempelen. Waarom niet?

[/quote]
again, het een sluit het ander niet uit. alles op orden en dan nog steeds een firewall lijkt mij beter dan alles op orde, geen firewall en toen oeps die vergissing van iemand in de organisatie enzv enzv enzv. again, naast firewalls, ook monitoring pleaze.

the point is misschien ook wel: niet moeilijk theoretiseren en bij een non argumentje tegen meteen maar moelijke woorden spuien als een consultant de uurtje-factuurtje-draai-deur starten en zo niets meer partisch eenvoudig doen. ook al zou een kleuter het kunnen, waarom dan niet doen?
Uurtje-factuurtje levert meer geld op als je meer uurtjes vol kan maken. Zeg maar wat jij "easy peasy win win" noemt, maar dan in zaken. Ook bekend als het consultancy-verdienmodel.[/quote][/quote]
als je firewalls goed uitgedacht (en dus niet annaal ingesteld) en monitoring doet en daarbij zorgt dat updates goed deployed en managed, dan heb je bijna geen brandjes te blussen of dure consultants nodig hoor => geen uurtjes factuurtjes issues :)

denk niet in termen van een slotgracht, denk in termen van laagjes als een ui en elk laagje enkel en alleen zo permeable als functionaliteit behoeft (anders geen bestaansrecht bij een werkt niet meer omgeving) is de clue. het netwerk inside is net zo onbetrouwbaar als de buitenwereld in zijn basis.
29-06-2019, 22:49 door Anoniem
Onlangs in een bijeenkomst een hele simpele maar doeltreffende opmerking mogen vernemen.

MENS > PROCES > TECHNIEK.

Dit is binnen security de juiste volgorde.

Heb je niet de mens (degene die achter het idee staat), dan kun je het proces ook niet goed inrichten. Zonder dit proces is de techniek gedoemd te valen. Hoe spannend en goed die techniek ook is.
Naruurlijk is er geld mee gemoeid, maar dat geld moet wel eerst in de mens gestoken worden, dan in het proces opzetten en waarborgen en vervolgens er een goed stuk techniek bij inzetten.

Heel simpel: Als je als mens niet weet hoe je moet schakelen in een auto (door als mens geen kennis te hebben vernomen hierin), dan kun je ook nog geen auto rijden (proces), Vervolgens moet je nog wel een passende auto hebben om dit te kunnen doen (techniek).
Je ziet hier ook gelijk dat al deze drie stapppen geld en tijd kosten.
Als jij je als techneut in alle drie stappen kunt en wilt verdiepen, dan past een security baan jouw prima.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.