Security is en blijft een vak apart: een taak voor specialisten. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Ict-security is een zaak die elke gebruiker en dus elke consument raakt. Toch is beveiliging nog altijd geen algemene zaak, helaas. Het Amerikaanse tv-netwerk CNBC heeft dat nu net weer pijnlijk duidelijk gemaakt. Een artikel op de website van CNBC is weer snel offline gehaald toen er nogal wat securityproblemen mee bleken te zijn. Ironisch genoeg ging het online-stuk juist over security: over de noodzaak voor veilige wachtwoorden.
Lezers konden hun wachtwoorden laten controleren via een tool die was ingebed in het artikel. Echter, de webpagina werd geserveerd over http, waardoor de invoer van te testen wachtwoorden viel te onderscheppen. Erger nog was dat de ingevoerde wachtwoorden werden opgeslagen, ondanks de mededeling dat dit niet het geval was. Deze opslag gebeurde door telkens een rij bij te schrijven in een Google Docs-spreadsheet. Tot slot bleek het online-formulier de invoer ook te delen met ads-netwerken. Mainstream media, gewone gebruikers en security, ze gaan nog altijd niet goed samen. Wat vind jij?
“Security blijft mainstream probleem” en dan de eerste zin “Security is en blijft een vak apart: een taak voor specialisten.” Dat is toch een tegenstrijdigheid?
En ja, security is iets voor specialisten en is iets wat iedereen aangaat. Mijn moeder presteerde het van de week om met een vaste lijn terug te bellen naar een nummer waardoor ze mobiel in de nacht op gebeld werd. Dat terugbellen deed ze gelukkig in de ochtend, want toen was het nummer al geblokkeerd, wellicht door de provider.
“situational awareness” blijft een enorm belangrijk ding waar geen vaste regels voor zijn, maar waar we veel meer mee moeten.
Ik geloof namelijk dat de niet technische security, dus weerbaarheid tegen bijvoorbeeld phishing het aller belangrijkste is.
Je moet alles bewaken met de grootst mogelijke zorg en techniek, je moet mensen continu voorlichten.
nee Henri,
probleem is mainstream, oplossing is iets voor specialisten.
Klanten die zelfbediening eisen, de duivelsdriehoek platslaan, en natuurlijk jijzelf. Dat zijn paradoxen.
Die maken de wereld wel weer zo interessant.
Maar Dino,
Wat heeft de beste state-of-the-art security voor zin als gebruikers bijvoorbeeld voor alle diensten eenzelfde wachtwoord gebruikt? USB sticks gebruikt? Probeert listige attachments te openen? Want met de beste specialisten kun je niet voorkomen dat gebruikers blootgesteld worden aan gevaren.
Je kunt een kind een helm op zijn hoofd zetten, zijwieltjes installeren, maar dat hij niet zomaar de weg op fietst ga je niet voorkomen met techniek.
Ik ga het vandaag eens met je eens zijn Henri.
Natuurlijk is security een zaak van ons allemaal. P.U.N.T. Als dat nog een discussie zou moeten zijn dan hebben een groot aantal mensen de ’trein’ toch een beetje gemist. Moeten wij IT professionals de locomotief spelen, dat dan weer wel. Maar dat is dan alleen omdat veel IT professionals, jammer genoeg nog steeds niet alle IT professionals, oog hebben voor dit gegeven.
Wij kunnen alleen maar er voor zorgen dat non IT professionals en gebruikers zich bewust blijven van de gevaren die spelen en hopen dat zij geen dingen doen waarvan je leest dat zelfs professionals dat wel doen. Onnadenkend zaken implementeren die bijvoorbeeld amper zijn getest of durven te stellen dat zij ’toch niet verantwoordelijk zijn voor security omdat….’
Dat de technische oplossingen misschien het best vanuit IT professionals moeten komen lijkt mij dan weer evident.
Sorry Dino ;O)
Bijna weekend en van die fiets is wel goed gevonden.
en Rene, je excuus is aanvaard 😉
Informatiebeveiliging is net zoiets als de veiligheidsmaatregelen in het verkeer, de verkeersinfrastructuur en de verschillende voertuigen. Het is een zaak voor iedereen, maar sommige dingen kan je beter aan een specialist overlaten. Die specialist ontwikkelt en implementeert binnen de totale architectuur. En iedereen gebruikt het.
Zou je willen autorijden op een weg waar de verkeersregels niet geldig zijn en ieder doet maar wat? Zou je willen autorijden op een wegdek waar de gaten invallen, langs een afgrond waar geen vangrail staat?
Zou je willen autorijden zonder remmen?
En zo is het met informatiesystemen ook. Beveiliging hoort erbij (license to operate). Zeg nu niet dat dit bij IT niet kan. In de middeleeuwen had je ook geen snelwegen, geen verkeersregels, geen voertuigen met goede remmen. Nu wel. Met IT zitten we nog in het wilde westen waar het recht van de sterkste geldt (time to market, overlast/risico bij de ander, landje pik, etc).
Nu het besef komt dat enige samenhang van regelgeving de mensen, organisaties en maatschappij moet beschermen krijg je de privacy wetgeving, de meldplicht datalekken en er zal nog veel meer komen. Dan zal het ook afgelopen zijn met de vele puntbescherming die vendor lock-in veroorzaakt en die interne en externe samenwerking belemmert. Dan zal het afgelopen zijn met onveilige hardware en software by design.
Veilige systemen falen niet als er een incident plaats vindt. Zelfs vliegtuigongevallen worden voorkomen door ‘slechts’ de chain of bad events te doorbreken. Dat kan ook met IT. Het is een utopie te denken dat één techniek dé oplossing zal geven. Het is een visionair doel om de chain veilig te maken. Dat is er niet morgen. Daar moet naar toe gewerkt worden. Dat begint bij leiders die richting kunnen geven en het goede gedrag bij mensen kunnen losmaken. Die leider kunnen we allemaal zijn. Ook alle gebruikers. En dat begint bij het besef bij bestuurders die helaas juist vaak geselecteerd zijn OMDAT ze niets van IT begrijpen (het voorkomen van nerdys in de bestuursorganen).
Het problem is vaak dat het (Top) management die bewustwording (nog) niet heeft. Als dit geregeld is kan er aan awareness worden gewerkt bij de medewerkers en kun je vervolgens best goede en leuke dingen doen met IT Security. IT Security is veel meer dan een anti-virus en malware pakketje installeren. Je moet een goede strategie neerzetten met een bijbehorende architectuur. En ja dat kost soms veel geld! Maar wat kost het als de organisatie getroffen wordt door een enorme cyberaanval?
Ik kom het wel met enige regelmaat tegen in organisaties dat het lijkt of het OK is maar feitelijk dus niet zo goed is helaas. Maar dan zijn ze er in ieder geval mee bezig. Ik gebruik vaak de vergelijking met het niet op slot zetten van je fiets bij Amsterdam Centraal (behoeft geen uitleg) hiervoor. Het is helaas tegenwoordig bittere noodzaak voor een organisatie om dit goed te regelen.
Security blijft zeker een mainstream probleem, ook in de Nederlandse industrie. Dat blijkt uit het onderzoek dat wij als marketingbureau hebben uitgevoerd voor Simac en Cisco. De resultaten hiervan worden, gecombineerd met topsprekers, op 14 april gepresenteerd tijdens het event ICT Industry Insights. http://ictinsights.nl/ Misschien interessant als jullie werkzaam zijn in de industrie?
Eén van de keynote speakers gaat het puur hebben over hoe je de awareness van medewerkers en directie kunt veranderen zodat ze zichzelf echt verantwoordelijk voelen. Kortom praktische tips en dat in één middag.