Waar "hangen" de IT Security pro's?

Ik been geen security pro, maar zaken over aansprakelijkheid en toegang e.d. hebben een juridisch aspect. Bij simpele wachtwoorden kan je ook redeneren dat management heeft gefaald bij het opstellen/auditen van een security policy waardoor zwakke wachtwoorden mogelijk waren.

En de directeur die toegang wil, waarom zou dat niet mogen als medewerker uit dienst is?

Volgens mij zijn er genoeg mensen hier die wat zinnigs kunnen over de vragen die je hebt, het is geen rocket science.

Denk dat je voor de eerste vraag het beste een jurist kunt navragen want ook als is de medewerker uit dienst zit je nog steeds met privacy regelgeving.

En de directeur die toegang wil, waarom zou dat niet mogen als medewerker uit dienst is?

Omdat er nog zoiets als privacy is? Dat recht stopt niet als iemand uit dienst treed ofzo.

Het mag an sich wel, maar alleen onder zeer strikte voorwaarden:

nee, een directeur mag niet zomaar mails van een medewerker lezen. Dat is een privacyschending. Dit moet in het bedrijfsreglement uitgewerkt zijn én er moet een gegronde reden zijn om de mails te lezen (ziekte, opvolging, sterk vermoeden van misstanden

Zie http://blog.iusmentis.com...-leest-mijn-mail-mag-dat/

Als een directeur mij vraagt toegang tot een (ex-)medewerkers mailbox te verlenen (ik ben sysadmin), wil ik dat eerst op papier (of mail) hebben, met zijn handtekening eronder. Dan ben ik iig ingedekt als er juridische problemen van zouden komen.

Zonder zo'n handtekening verleen ik die toegang niet, met verwijzing naar privacyregelment, en desnoods een doorverwijzing naar mijn direct leidinggevende.

Overigens is me dat in 13 jaar tijd slechts 2x overkomen: één overleden medewerker, één medewerker die op staande voet ontslagen was. Toen heb ik dat papiertje met handtekening ook keurig gehad (hoefde er niet eens om te vragen, hij kwam er zelf al mee aan). Is al wel jaren terug (10 en 8 jaar geleden).

[ Voor 13% gewijzigd door wildhagen op 07-10-2011 06:42 ]

Verwijderd schreef op vrijdag 07 oktober 2011 @ 06:47:
[...]


Dat is het dus bijna wel. Het is ook meer een juridische vraag dan een technische en hoeveel een systeembeheerder ook weet, zou jij een juridisch advies voor je bedrijf van een systeembeheerder af laten hangen?

Nee, natuurlijk niet. Maar er lopen hier ook mensen rond met relevante juridische achtergrond. En als je twijfelt kan je beter een jurist (via DAS / whatever) laten inschakelen die specifiek kijkt naar jullie situatie.
En natuurlijj laat je een security policy ook niet door een systeembeheerder bepalen

Verwijderd schreef op vrijdag 07 oktober 2011 @ 06:47:
[...]
Dat is het dus bijna wel. Het is ook meer een juridische vraag dan een technische en hoeveel een systeembeheerder ook weet, zou jij een juridisch advies voor je bedrijf van een systeembeheerder af laten hangen?

Het is uiteraard geen rocket science. Het hangt van jou af wat je zoekt. Wil je een discussie hierover hebben, dan ben je op de juiste plaats. Wil je betrouwbare informatie, dan moet je de juiste persoon zoeken die weet waar de antwoorden te vinden zijn. Betrouwbare antwoorden vind je niet hier imo.

Bespreek de inhoudelijk voorbeeld(!)vragen uit de startpost ajb in BV (hangende het antwoord op de hoofdvraag) en beperk de discussie hier tot de originele vraag waar security pro's uithangen.

Altijd een beetje dubbel gevoel bij security pro's. De grote firma's zijn vaak zelf lek en durven niet te hacken/pentesten maar alleen eindeloze rapporten te schrijven. Dat heeft ook te maken met juridische aansprakelijkheid en wat wel en niet mag bij een bedrijf.

Voor de juridische vragen kun je het beste een jurist inschakelen, er staan veel goede tips op de sites die @wildhagen heeft gegeven. Goed advies zal waarschijnlijk niet gratis zijn.

Voor praktische vragen kun je je het beste verdiepen in de fora van het product (metasploit forum bv.) en uitgebreide hackbeschrijvingen zoals deze: https://blogs.apache.org/infra/entry/apache_org_04_09_2010. Ook de nmap, kernel en apache security mailinglists kun je gebruiken voor de technische vragen

Verwijderd schreef op vrijdag 07 oktober 2011 @ 03:21:
Hier op tweakers kom je niet zoveel pro's tegen en op technisch gebied zoals penetration testing kom je snel tegen een muur van "we ondersteunen geen hackers" terecht hier.

Volgens mij zijn er redelijk wat mensen hier die op één of andere manier met security bezig zijn. Wellicht niet een onderwerp om continue over te praten, maar er zijn ongetwijfeld veel lurkers die zo af en toe bij interessante discussies wel hun toevoeging willen doen. Je kent neem ik aan al wel het beveiliging subforum?

Mijn vraag is, waar kun je met vragen zoals:

Directeur vraagt toegang tot mailbox verkoper bij vertrek, mag dat?
Helpdesk gebruik simpele wachtwoorden voor gebruikers en services, persoonlijk aansprakelijk bij inbraak?
Metasploit opent een sessie maar kan verder niks doen, waaom?

Gewoon simpele praktische vragen op een gespecialiseerd, waarschijnlijk gesloten forum...

Security omvat natuurlijk een breed spectrum aan onderwerpen. Die eerste twee zijn eigenlijk meer juridisch getint, dus die kan je het beste stellen op een plek waar juristen rondlopen. (Overigens heb je die hier ook).
Die laatste gaat specifiek in op een product, kijk dus bij de forums betreffende dat product.

Andere plek waar wel het één en ander gebeurt zijn de maillinglists van securityfocus bijvoorbeeld. Ook heb je diverse usenet groepen over het onderwerp, daar zou je ook eens kunnen kijken. Daarnaast zijn er vele forums over security gerelateerde zaken, die meestal hun eigen niche behandelen. Kwestie van zoeken op [onderwerp] + forum. Security.nl, ethicalhacker.net, waraxe.us, zijn zomaar wat random sites waar je al dan niet aardige informatie kunt vinden. Vroegâh had je altijd eens per maand een klaphek meeting in Utrecht, nu is dat wel uitgestorven, maar wellicht is het op een andere manier voortgezet? Hip zijn tegenwoordig ook de zogenaamde hackerspaces. Een samenklontering van individuen die samen ergens een hok huren om lekker te kunnen rommelen. En vergeet natuurlijk de andere hackercons niet de wereldwijd zijn te bezoeken, waarvan de meest bekendste in Nederland elke 4 jaar worden georganiseerd door de Hxx Foundation.

Edit: Volgens mij zijn die klaphek meetings een beetje overgegaan in de 2600 meetings, vanavond toevallig eentje: http://2600nl.net/wiki/meetings/signup

Verwijderd schreef op vrijdag 07 oktober 2011 @ 10:03:
Altijd een beetje dubbel gevoel bij security pro's. De grote firma's zijn vaak zelf lek en durven niet te hacken/pentesten maar alleen eindeloze rapporten te schrijven. Dat heeft ook te maken met juridische aansprakelijkheid en wat wel en niet mag bij een bedrijf.

Maar kunnen security mensen daar iets aan doen? Het is moeilijk om geld los te peuteren voor een onderwerp als "voor het geval dat". Je moet vaak de nadruk leggen op de continuiteit van het bedrijf (en dat deze in gevaar komt als flaw x en y niet worden aangepakt). Maar om daar budget voor te krijgen moeten er eerst rapporten zijn, die weer over een aantal lagen heen gaan alvorens men een besluit neemt (welke even goed kan betekenen dat men het risico neemt). Het gaat vaak om compliancy, dus voldoen aan de regelgeving, dit om de aansprakelijkheid af te timmeren. En als dat aan het einde van de dag is waarmee de security pro zijn geld verdient en het bedrijf in kwestie tevreden mee is dan is iedereen toch happy?

[ Voor 21% gewijzigd door ebia op 07-10-2011 14:15 ]

Nou laat ik is een poging doen om ontopic op de TS te antwoorden

Directeur vraagt toegang tot mailbox verkoper bij vertrek, mag dat?

Dit is afhankelijk van verschillende factoren.
Personeelsgids en afspraken (beleid bij het bedrijf)
Hiernaast de juridische regels welke gelden bv in het wbp.
Arnoud Engelfriet (ict jurist) heeft meerdere meerdere vragen hierover beanntwoord.

Helpdesk gebruik simpele wachtwoorden voor gebruikers en services, persoonlijk aansprakelijk bij inbraak?

Dit hangt er helemaal vanaf wanneer de inbraak plaats vind.
Dit in combinatie met de agspraken en regels die er zijn opgesteld hoe de servicedesk hoort te handelen.

Metasploit opent een sessie maar kan verder niks doen, waaom?

Ik mis hier de security context, gaat deze meer richting een technische vraag?

Een simpel antwoord is er in mijn ogen nooit te geven op het gebied van security. Er zijn teveel factoren om rekening mee te houden als security medewerker. Juridisch, klant, opdrachtgever, sla's, interne afspraken, beleid, personeels handboeken etc etc..

Je moet in mijn ogen onderscheid maken tussen de verschillende vormen van security. Uitvoerend en management. Neem hierbij ook nog de verschillende situaties mee: is het een outsourcing verhaal, is het intern beheer, welke afspraken zijn er intern, wettelijk en hoe liggen de verantwoordelijkheden. Bij veel bedrijven zijn er op verschillende vlakken security mensen aanwezig, bij andere bedrijven valt dit weer onder een tak die ze vaak governance noemen. En soms doet de beheerder het "erbij".
Als je dit onderscheid weet te maken kan je binnen tweakers als een heel eind komen (het beveiliging subforum werd al genoemd) Ook zijn er genoeg "security" sites in Nederlands en Engels aanwezig. Een andere goede groep is natuurlijk de mensen met wie je de opleiding doet, linked-in, security beurzen om te netwerken etc. Mogelijkheden en experts genoeg

Hopelijk kan je er wat mee

Verwijderd schreef op vrijdag 07 oktober 2011 @ 14:22:
[...]

Dit hangt er helemaal vanaf wanneer de inbraak plaats vind.
Dit in combinatie met de agspraken en regels die er zijn opgesteld hoe de servicedesk hoort te handelen.

Volgens mij kan het personeel nooit verantwoordelijk worden gehouden voor vervolgschade die hieruit voorkomt. Je kunt hooguit een medewerker een waarschuwing geven (en bij meerdere waarschuwingen proberen te ontslaan) als hierover gedegen werkafspraken waren en de medewerker in kwestie ze keer op keer niet naleefde.

Voorkomen is beter dan genezen in zo'n zaak. Zorg voor een goede wachtwoordpolicy en voorkom (technisch) dat het mogelijk is om een te zwak wachtwoord aan te maken.

Maar goed, dit is volgens mij allemaal hypothese en slechts een voorbeeld van een vraag die hij zou willen stellen dit ter illustratie en verder compleet offtopic.

Verwijderd schreef op zaterdag 08 oktober 2011 @ 05:56:
Ik was inderdaad niet op zoek naar antwoorden op mijn vragen maar had ze als voorbeeld neergezet. Zoals je ziet is er een enorm aantal verschillende meningen over bijvoorbeeld privacy wetgeving rondom het lezen van personeels' e-mail... En dat soort zaken loopt hier meestal uit op 10 man voor en 10 man tegen, met wisselende achtergrond en niveau. Dat maakt een mooie discussie maar een duidelijk antwoord (waarop je een security policy kunt baseren) komt er niet uit. Tuurlijk, juridisch advies inwinnen kan ook. Maar daar betaal je voor en leer je in de algemeenheid weinig van natuurlijk. Daarom mijn zoektocht naar een forum voor security professionals waar dit soort discussies plaats vinden.

Het 'probleem' is natuurlijk een beetje dat er geen wetgeving bestaat die exact zegt hoe je het moet doen. Je hebt verschillende regels en die kunnen ook nog op verschillende manieren worden geherinterpreteerd. Er is zeker in zo'n situatie niet altijd een goed en fout aan te wijzen, maar het is net als ons rechtssysteem, het gaat om redelijkheid en billijkheid.

Maar als de policy in een bedrijf afhankelijk is van zoiets, dan is het toch geen probleem om een jurist te raadplegen om zoiets voor je na te trekken. Gespecialiseerde juristen doen hier geen dagen over, maar hebben het antwoord misschien zelfs voor je op de plank liggen. Dat kost je geen duizenden euro's.

Daarnaast heb je natuurlijk nog te maken met de wetgeving per land. Voor dit soort zaken zul je je moeten richten tot het Nederlandse publiek, want elders kunnen de zaken heel anders zijn. Dan loop je inderdaad snel wel tegen barrière aan, want zo'n forum is er eigenlijk niet echt. Ja, security.nl heeft een forum, maar daar draaien dit soort discussies ongetwijfeld ook uit op 10 voor en 10 tegen.

Nog iets: het beveiliging en virussen-forum hier...

Ik heb meerdere keren geprobeerd daar een technische pen-test vraag te posten bijvoorbeeld, maar ik ben dan de halve post bezig mensen te overtuigen dat ik toch echt niet mijn zusje wil hacken... penetration testing wordt daar niet echt serieus genomen denk ik... vandaar ook mijn idee dat hier niet zoveel security specialisten rondlopen. Misschien dat een apart, (gesloten) forum hier wel een goed idee voor is? Aangezien security in razend tempo een van de hoofdzaken der IT aan het worden is...

Ik heb even je posts terug gezocht, maar het viel toch wel mee met het moeten overtuigen van mensen? Ik weet niet of een extra subforum nu zoveel bijdraagt. Er zitten denk ik wel veel lurkers in de beveiliging & virus, maar zoals gezegd, het onderwerp is zo breed dat je nooit bij lange na iedereens interesse zal wekken om te reageren op je post.

(Je zei trouwens een master in infosec te hebben gedaan. Waar precies?)

Verwijderd schreef op zaterdag 08 oktober 2011 @ 11:03:
[...]


Ik zit in australie en ben daar bij een universiteit aan het studeren. Daar heb je dus ook geen security forum, sterker nog: niet eens iets wat algemeen IT is, zoals tweakers.

Dan is misschien zo'n hackerspace een aardig alternatief. Maar dat is meestal wel erg technisch gericht, dus over je problemen omtrent beveiligingsbeleid in je organisatie zul je wellicht niet zover komen. Misschien ook wel aardig (weet natuurlijk niet of het te bereizen is voor je, en of iemand je kaartje wil betalen): http://www.ruxcon.org.au/

Je hebt wel gelijk ja. Security is aan de ene kant nog een heel vaag gebied (waar elke IT wel alles van denkt te weten) en aan de andere kant een erg schimmig wereldje. Dat maakt het wat lastiger dan bijvoorbeeld DB beheer.

Security is gewoon een enorm breed begrip, denk maar aan de 10 CBK's van CISSP. Je kunt (imho) niet verwachten dat alle informatie omtrent security op één centrale plek is te vinden. Stel je wilt specifiek iets weten over secure programming binnen, ik noem maar wat, Java. Dan maak je denk ik meer kans op succes in de Oracle forums over Java, dan op een andere plek, zoals hier in de devschuur. Niet dat de devschuur beladen is met nitwits (nee zeker niet), maar puur vanwege het feit dat je op de Oracle forums waarschijnlijk een veel groter publiek bereikt en de kans dat je dus een antwoord krijgt ook navenant toeneemt, ondanks dat dit geen 'security-only' forum is.

Een forum waar wel erg veel te vinden is over de security en hacking zijn de backtrack forums van de gelijknamige distributie. Je kan hier ook wel dingen vinden metasploit en dergelijke tools.