Security en beleid vs Usability - Privacy en beveiliging

vrijdag 4 juni 2021 09:24

Acties:

+4 Henk 'm!

Boe

Topicstarter

Afgesplitst van: Hulpvraag: admin rechten op zakelijke laptop aanvragen

Discussie in dat topic ging over het aanvragen van admin-rechten op een laptop, en er onstond een intressante (offtopic) discussie over security en beleid vs usability. Ik heb die topics even afgesplitst naar een eigen topic.

Ik vind het altijd zo mooi om de echte old school sysadmins te zien IK heb de rechten IK bepaal wat er mag en niet mag op die laptops en IK ben GOD!

Security en usability gaan hand in hand op het moment dat de usability helemaal stuk gaat door Security dan doe je iets fout. IT personeel vergeet heel soms wel eens waarom zij werken bij een bedrijf. Niet om regels te maken en leuke IT te doen maar bij de meeste bedrijven hebben een product of een doel en IT moet faciliteren dat dit zo soepel mogelijk gaat. (extreem versimpeld beeld natuurlijk)

[ Voor 23% gewijzigd door Question Mark op 04-06-2021 10:34 ]

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

vrijdag 4 juni 2021 09:39

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Shunt schreef op vrijdag 4 juni 2021 @ 09:24:
Security en usability gaan hand in hand op het moment dat de usability helemaal stuk gaat door Security dan doe je iets fout.

Absoluut niet... punt

Als security losgelaten moet worden om product/proces "A" werkend te krijgen, dan is "A" gewoon iets wat per direct uitgefasseerd moet worden. Simpeler dan dit is het niet.

Data moet ten alle tijde gegarandeerd veilig, integer en betrouwbaar zijn. Je kunt dit principe niet even loslaten om het voor gebruikers maar iets makkelijker te maken. Dan moet je eerder kijken naar andere oplossingen, maar daar moet dan wel budget voor zijn, en daar wringt het nog wel eens.

[ Voor 25% gewijzigd door Question Mark op 04-06-2021 09:42 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 4 juni 2021 09:48

Acties:

0 Henk 'm!

naitsoezn

Nait Soez'n!

Question Mark schreef op vrijdag 4 juni 2021 @ 09:39:
[...]

Absoluut niet... punt

Als security losgelaten moet worden om product/proces "A" werkend te krijgen, dan is "A" gewoon iets wat per direct uitgefasseerd moet worden. Simpeler dan dit is het niet.

Laten we het lekker zwart-wit maken, dat doet het altijd goed in een discussie

Maar veel vaker is het andersom: Een product / proces A werkt zoals het al tijden gewerkt heeft, maar na een poosje komen er nieuwe inzichten / updates / policies vanuit IT-security waardoor proces A opeens niet meer compatible is. En in dat geval ben ik het wel eens met de poster waar jij op reageert: Proces A haalt waarschijnlijk een groot deel van jou salaris binnen, dus halsstarrig volhouden dat proces A maar per direct uitgefaseerd moet worden betekent in veel gevallen gewoon dat jij die maand je salaris niet meer kunt krijgen

Maar goed: Er bestaat altijd een spanningsveld tussen dit soort belangen, het is nooit zo zwart-wit, er zijn gelukkig ook heel veel tussenoplossingen. Het helpt dan niet als je er in zit zoals jij er in zit

't Het nog nooit, nog nooit zo donker west, of 't wer altied wel weer licht

vrijdag 4 juni 2021 09:50

Acties:

0 Henk 'm!

laurens0619

De makkelijkste manier om iets veilig te maken, is gewoon blokkeren dat je iets niet mag en kan doen.
Veel uitdagender is het als security afdeling om het veilig maar ook werkbaar voor mensen te houden.

Natuurlijk, als je meer toestaat dan gaat het risico op security incidenten omhoog. Maar als je alles dichtzet dan:
- Zijn je mensen x% minder productief door alle overhead
- Creer je shadow IT en gaan mensen buiten de beheerde processen om werken. Ik lees het al in dit topic: mensen gebruiken een prive computer om te werken.

Als je de kosten gaat uirekenen van minder productief en de kosten van risico incident door shadow it > Dan kom je er snel genoeg achter dat dichtzetten niet de oplossing is.

Dit voorbeeld is daarom ook prachtig. Vanuit risico gezien > waarom moet de TS gaan uitleggen waarom die het nodig heeft? Belangrijk is welk risico loop je doordat iemand admin is en hoe mitigeer je dat.

[ Voor 12% gewijzigd door laurens0619 op 04-06-2021 09:52 ]

CISSP! Drop your encryption keys!

vrijdag 4 juni 2021 10:13

Acties:

0 Henk 'm!

Shunt

Boe

Topicstarter

Question Mark schreef op vrijdag 4 juni 2021 @ 09:39:
[...]

Absoluut niet... punt

Als security losgelaten moet worden om product/proces "A" werkend te krijgen, dan is "A" gewoon iets wat per direct uitgefasseerd moet worden. Simpeler dan dit is het niet.

Data moet ten alle tijde gegarandeerd veilig, integer en betrouwbaar zijn. Je kunt dit principe niet even loslaten om het voor gebruikers maar iets makkelijker te maken. Dan moet je eerder kijken naar andere oplossingen, maar daar moet dan wel budget voor zijn, en daar wringt het nog wel eens.

En daar gaat het nu exact mis, als product / proces A niet werkend te krijgen is en dit proces is bedrijf kritiek dan moet je dingen aanpassen zodat dit zo veilig mogelijk kan. IT is een tool om zo goed en snel mogelijk je werk te kunnen doen. Ook security is een tool en niet een alom zeggende knuppel waarmee je alles kunt afschermen.

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

vrijdag 4 juni 2021 10:14

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

naitsoezn schreef op vrijdag 4 juni 2021 @ 09:48:
[...]

Laten we het lekker zwart-wit maken, dat doet het altijd goed in een discussie

Het zwart/witte ging even over de stelling dat als usebility stuk gaat door het implementeren van security maatregelen, dat men dan iets niet goed doen. Daar ben ik het pertinent niet mee eens.

Belangen zijn soms nu eenmaal wat groter dan alleen gebruiksgemak. Zeker bij gevoelige data...

Maar veel vaker is het andersom: Een product / proces A werkt zoals het al tijden gewerkt heeft, maar na een poosje komen er nieuwe inzichten / updates / policies vanuit IT-security waardoor proces A opeens niet meer compatible is. En in dat geval ben ik het wel eens met de poster waar jij op reageert: Proces A haalt waarschijnlijk een groot deel van jou salaris binnen, dus halsstarrig volhouden dat proces A maar per direct uitgefaseerd moet worden betekent in veel gevallen gewoon dat jij die maand je salaris niet meer kunt krijgen

En toch zou je dan per direct die applicatie moeten willen uitfaseren. Uiteraard weet ik ook wel dat de praktijk is dat er een tijdelijk exception gegeven kán worden. Maar vergeet niet de impact van een nieuwe external threat. Daar moet je soms heel snel op reageren.

Aardig voorbeeld is de ADC security flaw, die er toch echt wel toe geleid heeft dat sommige bedrijven toegang tot hun ADC tijdelijk dichtgezet hebben.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 4 juni 2021 10:18

Acties:

+1 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Shunt schreef op vrijdag 4 juni 2021 @ 10:13:
[...]
Ook security is een tool en niet een alom zeggende knuppel waarmee je alles kunt afschermen.

Deels... Vanuit wetgeving (oa GPDR) zijn er wel degelijk verplichtingen die geimplementeerd moeten zijn. Al hoe vervelend, star en niet-gebruikersvriendelijk ook..

We gaan overigens redelijk offtopic als gekeken wordt naar de oorspronkelijke vraag van de TS. Ik vind de discussie wel erg intressant. Is het een idee om deze discussie even af te splitsen naar een nieuw topic?

Laat maar even weten via een topicreport...

[ Voor 27% gewijzigd door Question Mark op 04-06-2021 10:21 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 4 juni 2021 10:25

Acties:

+1 Henk 'm!

Shunt

Boe

Topicstarter

Question Mark schreef op vrijdag 4 juni 2021 @ 10:18:
[...]

Deels... Vanuit wetgeving (oa GPDR) zijn er wel degelijk verplichtingen die geimplementeerd moeten zijn. Al hoe vervelend, star en niet-gebruikersvriendelijk ook..

[mbr]We gaan overigens redelijk offtopic als gekeken wordt naar de oorspronkelijke vraag van de TS. Ik vind de discussie wel erg intressant. Is het een idee om deze discussie even af te splitsen naar een nieuw topic?

Laat maar even weten via een topicreport... [/]

offtopic:
zeker intereseante discussie en wellicht wel leuk idd om er een los reltop.. eeh discussie topic over te maken

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

vrijdag 4 juni 2021 10:58

Acties:

0 Henk 'm!

hackerhater

Het eeuwige spanningsveld tussen veiligheid en bruikbaarheid.
Voor beiden is wat te zeggen, maar vaak genoeg overdrijft corperate IT en maken ze nauwelijks onderscheid tussen de verschillende groepen.

Als ik kijk hoe het bij mijn huidige klant gaat:

- Duurde heel lang om de permissies voor Behat correct te krijgen zodat mensen deze tests lokaal konden draaien
- Security software op Macs die de machines tijdens de scans onbruikbaar maken/laten crashen en dan wordt er niks gedaan wordt met de tickets. Dan vraag je er gewoon om dat de devs de on-demand scans de nek om draaien
- Een of andere MiTM tool installeren die doodleuk TSL-inspectie doet. We kwamen erachter omdat onze build-tools (terecht!) weigerden die self-signed certificaten te accepteren.
Dit is uiteindelijk opgelost door de domeinen die wij aangaven (oa github) op een whitelist te zetten.

vrijdag 4 juni 2021 12:15

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

hackerhater schreef op vrijdag 4 juni 2021 @ 10:58:
Het eeuwige spanningsveld tussen veiligheid en bruikbaarheid.
Voor beiden is wat te zeggen, maar vaak genoeg overdrijft corperate IT en maken ze nauwelijks onderscheid tussen de verschillende groepen.

Als ik kijk hoe het bij mijn huidige klant gaat:

- Duurde heel lang om de permissies voor Behat correct te krijgen zodat mensen deze tests lokaal konden draaien
- Security software op Macs die de machines tijdens de scans onbruikbaar maken/laten crashen en dan wordt er niks gedaan wordt met de tickets. Dan vraag je er gewoon om dat de devs de on-demand scans de nek om draaien
- Een of andere MiTM tool installeren die doodleuk TSL-inspectie doet. We kwamen erachter omdat onze build-tools (terecht!) weigerden die self-signed certificaten te accepteren.
Dit is uiteindelijk opgelost door de domeinen die wij aangaven (oa github) op een whitelist te zetten.

Tja, security is ook mensenwerk dus daar worden ook fouten gemaakt. Lijkt me geen argument om security daarom maar af te schaffen. Sterker nog, gezien de huidige golf van ransomware zal in de nabije toekomst de rol en invloed van het security department alleen maar toenemen

QnJhaGlld2FoaWV3YQ==

vrijdag 4 juni 2021 12:45

Acties:

0 Henk 'm!

hackerhater

Brahiewahiewa schreef op vrijdag 4 juni 2021 @ 12:15:
[...]

Tja, security is ook mensenwerk dus daar worden ook fouten gemaakt. Lijkt me geen argument om security daarom maar af te schaffen. Sterker nog, gezien de huidige golf van ransomware zal in de nabije toekomst de rol en invloed van het security department alleen maar toenemen

Nee zeker niet. Security is zeer belangrijk, maar je kan ook te ver doorslaan waardoor het onwerkbaar wordt.

vrijdag 4 juni 2021 13:06

Acties:

0 Henk 'm!

DJMaze

hackerhater schreef op vrijdag 4 juni 2021 @ 12:45:
Security is zeer belangrijk, maar je kan ook te ver doorslaan waardoor het onwerkbaar wordt.

Hangt er vanaf of je de slager om de hoek bedoelt of een kerncentrale reparateur die zijn laptop even aan een regelunit koppelt.

Elke vorm van beveiliging is inherent aan de taak van de computer.

Ga ik nu even inloggen bij New York Pizza met mijn ftp wachtwoord die in google docs staat omdat mijn collega's er ook bij moeten...

Je snapt nu wel wat ik bedoel

Maak je niet druk, dat doet de compressor maar

vrijdag 4 juni 2021 13:08

Acties:

0 Henk 'm!

Yucon

*broem*

Interessant topic. Waar ik ook wel moeite mee heb is dat degene die het hardst schreeuwt vaak z'n zin krijgt. Dat is niet terecht want die heeft niet perse gelijk, maar je kunt er niet omheen dat security op een negatieve manier in iemands werk in kan grijpen. Wat er meestal mist is een mogelijkheid om een situatie ter arbitrage voor te leggen. Toch zou dat bij dit soort dingen niet zo raar zijn want zowel de security officer als de gebruiker zijn allebei verre van objectief.

In mijn dagelijkse werk komt het nogal voor dat ik grote hoeveelheden jsons moet kopieren. Alle files gaan bij ons door de scanner. Principekwestie, dus ook text- en datafiles waarvan het technisch onmogelijk is dat ze uitgevoerd worden. Het gevolg is dat het kopiëren echt *heel* erg lang duurt. Tja. Voegt dat nu echt iets toe?

En ander punt is de proxy die me regelmatig in de weg zit. In tegenstelling tot bovengenoemd punt zie ik hier wel een logica. Maar helaas is er geen goede ondersteuning vanuit IT en merk je dat het voor hunzelf ook heel erg trial and error is met een erg lange doorlooptijd. Hier heb ik het gevecht opgegeven. Je kunt er in client software ook vaak voor kiezen dat certificaaterrors genegeerd worden dus neig ik daar naar. Maar het voelt niet goed.

vrijdag 4 juni 2021 13:14

Acties:

0 Henk 'm!

Yucon

*broem*

DJMaze schreef op vrijdag 4 juni 2021 @ 13:06:
[...]

Hangt er vanaf of je de slager om de hoek bedoelt of een kerncentrale reparateur die zijn laptop even aan een regelunit koppelt.

Elke vorm van beveiliging is inherent aan de taak van de computer.

Ga ik nu even inloggen bij New York Pizza met mijn ftp wachtwoord die in google docs staat omdat mijn collega's er ook bij moeten...

Je snapt nu wel wat ik bedoel

Nee eigenlijk niet. Dit is juist tekenend. Je focust alleen op de beveiliging zonder in je antwoord mee te nemen of het werkbaar is of niet. Zelfs in een kerncentrale. Dat je daar vast allerlei dingen air gapped zult hebben en dat de balans tussen werkbaarheid en veiligheid heel vaak richting veiligheid uit zal slaan betekent nog niet dat die balans dan totaal genegeerd mag worden.

vrijdag 4 juni 2021 13:17

Acties:

+3 Henk 'm!

Shunt

Boe

Topicstarter

Je kunt gewoon niet zeggen Security > user experience.
Als je bepaalde dingen zo dicht gaat timmeren dat het onwerkbaar is gaan mensen allerhande stomme dingen doen om het maar weer beter werkbaar te maken.

Een mooi voorbeeld is het passwordbeleid wat bij veel grote bedrijven nog aanwezig is.
3 maanden met een PW minimaal 16 tekens lang, mogen geen jaartallen in je geboorte maand mag niet enz enz enz enz. En wat krijg je iemand vind een golden PW en dat gaat iedere drie maanden met een cijfertje omhoog. Prachtig al die complexe regels maar dat PW staat nu ergens op een geeltje omdat het niet te onthouden is.

Ik ben overigens helemaal geen voorstander voor iedereen admin op zijn of haar werkplek maar waar het nodig is moet je het gewoon toe kunnen passen. En wil je echt gewoon nul risico lopen geen data op je local device maar alleen software. Alle data blijft mooi in een Citrix/RDS sessie.

Security en Usability zijn een schaal en die moet in balans zijn. Als iets extreem gevoelig is mag je best extra security verwachten zelfs zodanig dat het lastiger te gebruiken is.

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

vrijdag 4 juni 2021 13:18

Acties:

+1 Henk 'm!

MAX3400

XBL: OctagonQontrol

Shunt schreef op vrijdag 4 juni 2021 @ 10:13:
[...]

En daar gaat het nu exact mis, als product / proces A niet werkend te krijgen is en dit proces is bedrijf kritiek dan moet je dingen aanpassen zodat dit zo veilig mogelijk kan.

Nee.

Als iets bedrijfskritiek is en je komt er pas tijdens "het dagelijks werk" achter dat het niet 100% is omdat "security" dwars zit, dan heeft iemand het proces niet gevolgd en is een zogenaamde bedrijfskritieke applicatie naar binnen gefietst zonder alle stakeholders erbij te betrekken.

Het moet andersom: als je iets wil implementeren, zorg je voor 100% documentatie & informatie. Dat gaat langs elk "loketje" en daar wordt gekeken of het wenselijk is en of het kan. En pas als je bij elk loketje een stempeltje krijgt met "OK", dan fiets je pas je initiele implementatie letterlijk de organisatie binnen?

En als je bij 1 loketje geen stempel krijgt, dan ga je toch in gesprek met de beleidsmakers of er op een goede manier volgende week of volgende maand wel een stempel gekregen kan worden door aanpassing van procedures die HUN schikken en niet JOU?

Simpeler voorbeeld:

- beleid = internationale afspraken tussen staten
- security = douane op elk vliegveld
- usability = jouw wereldreis

Jouw wereldreis is voor jou kritiek & essentieel & heeft veel geld gekost. Maar jij staat niet boven internationale afspraken omtrent (bijvoorbeeld) screenings & visums die door de douane worden afgedwongen.

Shunt schreef op vrijdag 4 juni 2021 @ 13:17:
Alle data blijft mooi in een Citrix/RDS sessie.

Wedden van niet?

Met enige nuance; bijna elke CTRL+C & CTRL+V van data (bijvoorbeeld een Excel-veldje) binnen Excel op de RDS-server, komt gewoon terecht in de local clipboard van de (onbeveiligde) Windows 7 / Android 6.2 device bij iemand thuis.

Daarnaast, een ongemerkte keylogger op je endpoint (zoals een thuiswerker) zorgt ervoor dat 100% van alle aanslagen dus niet alleen door je ICA-stream op je centrale omgeving komen maar ook via een andere methode op het grote boze internet.

[ Voor 17% gewijzigd door MAX3400 op 04-06-2021 13:24 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 4 juni 2021 13:23

Acties:

0 Henk 'm!

Fr33z

MAX3400 schreef op vrijdag 4 juni 2021 @ 13:18:
[...]

Nee.

Als iets bedrijfskritiek is en je komt er pas tijdens "het dagelijks werk" achter dat het niet 100% is omdat "security" dwars zit, dan heeft iemand het proces niet gevolgd en is een zogenaamde bedrijfskritieke applicatie naar binnen gefietst zonder alle stakeholders erbij te betrekken.

Het moet andersom: als je iets wil implementeren, zorg je voor 100% documentatie & informatie. Dat gaat langs elk "loketje" en daar wordt gekeken of het wenselijk is en of het kan. En pas als je bij elk loketje een stempeltje krijgt met "OK", dan fiets je pas je initiele implementatie letterlijk de organisatie binnen?

En als je bij 1 loketje geen stempel krijgt, dan ga je toch in gesprek met de beleidsmakers of er op een goede manier volgende week of volgende maand wel een stempel gekregen kan worden door aanpassing van procedures die HUN schikken en niet JOU?

Simpeler voorbeeld:

- beleid = internationale afspraken tussen staten
- security = douane op elk vliegveld
- usability = jouw wereldreis

Jouw wereldreis is voor jou kritiek & essentieel & heeft veel geld gekost. Maar jij staat niet boven internationale afspraken omtrent (bijvoorbeeld) screenings & visums die door de douane worden afgedwongen.

klinkt logisch, is ook een mooie werkwijze. Toch zie ik bij minstens de helft van bedrijven dat veel dingen niet op deze manier gaan, want je wilt ook eens aan het werk ipv alleen maar vinkjes verzamelen.

dat is alleen een dramatische uitkomst, want elk jaar wordt de spaghetti groter en weten er weer minder mensen hoe bepaalde dingen werken. En dus is het 1 grote troep met losse stukjes die niet goed met elkaar praten etc.

conclusie: je kunt alleen goed samenwerken in grote projecten als je dit soort processen op orde hebt, maar als dat niet het geval is komt het werk ook wel af maar dan via schaduw-IT / 'life finds a way' (en dat is meestal dramatisch als er dan iemand weggaat oid)

vrijdag 4 juni 2021 13:26

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

Fr33z schreef op vrijdag 4 juni 2021 @ 13:23:
[...]

klinkt logisch, is ook een mooie werkwijze. Toch zie ik bij minstens de helft van bedrijven dat veel dingen niet op deze manier gaan, want je wilt ook eens aan het werk ipv alleen maar vinkjes verzamelen.

Wie is "je"?

- de gemiddelde medewerker heeft een leidinggevende
- de gemiddelde leidinggevende heeft een (afdelings-)belang
- dat belang kan via 1, 2 of 9 hierarchische treden omhoog benadrukt worden
- uiteindelijk komen de wensen van "je" / werknemer ergens op een agenda te staan
- agenda wordt besproken / besloten / afgehamerd
- belang wordt wel / niet geimplementeerd

Ik vind het minstens zo verbazend dat het originele topic uit de visie / belang van 1 medewerker is die zichzelf "belangrijk" vindt en daarma alle (ja, alle) regels aan de laars wil lappen om iets voor elkaar wil krijgen.

[ Voor 5% gewijzigd door MAX3400 op 04-06-2021 13:26 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 4 juni 2021 13:27

Acties:

0 Henk 'm!

Shunt

Boe

Topicstarter

MAX3400 schreef op vrijdag 4 juni 2021 @ 13:18:
[...]

Nee.

Als iets bedrijfskritiek is en je komt er pas tijdens "het dagelijks werk" achter dat het niet 100% is omdat "security" dwars zit, dan heeft iemand het proces niet gevolgd en is een zogenaamde bedrijfskritieke applicatie naar binnen gefietst zonder alle stakeholders erbij te betrekken.

Leuk die voorbeelden totaal uit verband rukken.
Niemand heeft het hier ov er een NIEUW stuk software, maar in de praktijk heb je ook gewoon software / hardware die letterlijk miljoenen kost om te vervangen. Zoals bijvoorbeeld een karton snij machiene, deze zijn ergens in 2001 aangeschaft draaien op windows XP. Software is alleen compatible met windows XP en deze kunnen niet vervangen worden door andere terminals want het bedrijf dat die krengen maakt is al jaren geleden over de kop gegaan. Deze aparaten moeten via een order systeem hun info krijgen dus een airgap kan al niet, deze systemen moeten via een server software tweaks toegestuurd krijgen per soort karton dus helemaal los van de bestaande infra kan ook niet. Het systeem maakt gebruik van een oud gaar systeem wat nog via AD bepaalde tickets door stuurt dus los van AD kan ook niet helemaal.

Nu komt het mooie die aparaten kosten nu meerdere miljoenen om te vervangen en gaan pas weg zodra ze echt niet meer te repareren zijn. Verwachte levensduur is nog 10/15 jaar. Deze jongens verwerken ongeveer 20/30% van het papier op die site. Nu mag jij gaan uitleggen waarom deze computers uit moeten en nooit meer aan mogen in jouw netwerk.

Juist het hele zooitje blijft dus gewoon draaien en je gaat zo goed als het gaat risico beperkende fixes toepassen. hardware firewalls tussen het lokale netwerkje geen data van buiten bepaalde gebieden mag naar die devices en van die devices naar de rest van het netwerk. Een beperkt aantal machienes neer zetten met de teken en plot software of die zelfs in een VM hangen en die virtueel in dat gesegmenteerde netwerk hangen.

De wereld is niet zwart en hij is niet wit de wereld is alle kleuren van het spectrum en daar heb je als IT je omheen aan te passen. Je kunt standaarden opleggen waar 99% van het bedrijf zich aan kan houden en die overige 1% daar probeer je het zo veilig mee te maken als dat het werkbaar blijft.

Wedden van niet?

Met enige nuance; bijna elke CTRL+C & CTRL+V van data (bijvoorbeeld een Excel-veldje) binnen Excel op de RDS-server, komt gewoon terecht in de local clipboard van de (onbeveiligde) Windows 7 / Android 6.2 device bij iemand thuis.

Daarnaast, een ongemerkte keylogger op je endpoint (zoals een thuiswerker) zorgt ervoor dat 100% van alle aanslagen dus niet alleen door je ICA-stream op je centrale omgeving komen maar ook via een andere methode op het grote boze internet.

Dan heeft er iemand flink lopen slapen want dat kan je gewoon uit zetten. Ik heb dit letterlijk zo mede ingericht voor een toko die een high secure netwerk aangemaakt had waar je alleen in kon werken op bepaalde locaties achter deuren met cijfer sloten en badge controle. Waar je alleen met pre approved laptops op mac address gefilterde connecties kon verbinden. Daar was het jammer genoeg omgedraaid geimplementeerd dus je kon via Citrix naar buiten toe (het internet) en je werkte op je laptop binnen een totaal geisoleerde omgeving.

[ Voor 18% gewijzigd door Shunt op 04-06-2021 13:30 ]

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

vrijdag 4 juni 2021 13:31

Acties:

+1 Henk 'm!

MAX3400

XBL: OctagonQontrol

Shunt schreef op vrijdag 4 juni 2021 @ 13:27:
[...]
...Nu mag jij gaan uitleggen waarom deze computers uit moeten en nooit meer aan mogen in jouw netwerk.

Je weet dat dit al vaker gebeurd is? Dat bepaalde apparaten / protocollen niet meer ondersteund worden door "infrastructurele leveranciers" zoals de Microsofts / VMwares / HP's / etc? Daar valt niks aan uit te leggen; in essentie stopt op een gegeven moment op meerdere lagen van het OSI-model de mogelijkheid om "het eindprodukt" op te leveren.

Ik vind het overigens zeer interessant dat je snijmachines uit 2001 (dus nu 20 jaar oud) levend wil houden omdat er OF geen alternatief is OF je in 20 jaar geen winst hebt gemaakt OF fiscaal niet hebt afgeschreven. Dat klinkt meer als "gebrek aan voortschrijdend inzicht" dan "IT valt me lastig met een huidige beperking".

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 4 juni 2021 13:33

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Shunt schreef op vrijdag 4 juni 2021 @ 13:27:
[...]
Nu mag jij gaan uitleggen waarom deze computers uit moeten en nooit meer aan mogen in jouw netwerk.

Dit soort industriële systemen hoeven helemaal niet uit. Mits je ze onstluit op de juiste manier, bijvoorbeeld via de "Ethernet to the Factory" standaard van Cisco en Rockwell. Door dit te implementeren worden de onveilige risico's uitgefasseerd, maar kunnen de systemen nog wel vanaf een kantooromgeving benaderd worden.

Ethernet-to-the-Factory 1.2 Design and Implementation Guide

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 4 juni 2021 13:34

Acties:

0 Henk 'm!

Helixes

Shunt schreef op vrijdag 4 juni 2021 @ 13:27:
Nu komt het mooie die aparaten kosten nu meerdere miljoenen om te vervangen en gaan pas weg zodra ze echt niet meer te repareren zijn. Verwachte levensduur is nog 10/15 jaar. Deze jongens verwerken ongeveer 20/30% van het papier op die site. Nu mag jij gaan uitleggen waarom deze computers uit moeten en nooit meer aan mogen in jouw netwerk.

Okee, maar is die machine afgeschreven

waarschijnlijk wel...

Ik ken dit soort problemen wel. Hier moet je een risicoafweging maken. De vervangingswaarde van zo'n machine is enkele miljoenen. Maar, de beveiligingsrisico's kunnen ook makkelijk in de miljoenen lopen. De directie zal dus moeten kiezen tussen twee kwaden.

Binnen het bedrijf waarvoor ik werk opereren deze machines als stand-alone, of in een beperkt netwerk zonder contact met de buitenwereld.

License to use this text for use in LLM-related products and services can be purchased for €1.000

vrijdag 4 juni 2021 13:42

Acties:

0 Henk 'm!

Helixes

Shunt schreef op vrijdag 4 juni 2021 @ 09:24:
Ik vind het altijd zo mooi om de echte old school sysadmins te zien IK heb de rechten IK bepaal wat er mag en niet mag op die laptops en IK ben GOD!

Security en usability gaan hand in hand op het moment dat de usability helemaal stuk gaat door Security dan doe je iets fout. IT personeel vergeet heel soms wel eens waarom zij werken bij een bedrijf. Niet om regels te maken en leuke IT te doen maar bij de meeste bedrijven hebben een product of een doel en IT moet faciliteren dat dit zo soepel mogelijk gaat. (extreem versimpeld beeld natuurlijk)

... totdat er iemand met de poet vandoor gaat. Of, er een serieuze privacy/security breach is. Ik heb alledrie meegemaakt.

Over het algemeen zijn de business leaders het zeker met je eens. Totdat het mis gaat, en ze een vervelend gesprekje moeten hebben met de business controller. En dan worden alle verloven ineens ingetrokken, en alle risico's zo veel mogelijk afgekit.

Daarbij komt dat er - bij beursgenoteerde bedrijven dan toch - ieder jaar een externe IT security audit is, die wordt meegenomen in het jaarverslag. Een slecht rapport kost je zo 10% van je beurswaarde, soms meer.

Ik kan niet voor ieder bedrijf spreken. De bedrijven waar ik voor heb gewerkt hebben wel degelijk mensen in dienst die op een hoog niveau nadenken over de risico's die volgen uit de autorisatie die diens medewerkers krijgen. Dat vertaalt zich in beleid, die weer door andere mensen wordt uitgevoerd. In die keten gaat wel heel veel informatie verloren. De eindgebruiker krijgt meestal slechts de boodschap computer says no - en daar moet je het dan maar mee doen.

Maar dat wil niet zeggen dat daar niet altijd een goede reden voor is....

License to use this text for use in LLM-related products and services can be purchased for €1.000

vrijdag 4 juni 2021 14:07

Acties:

0 Henk 'm!

eric.1

Shunt schreef op vrijdag 4 juni 2021 @ 13:27:
[...]

Nu komt het mooie die aparaten kosten nu meerdere miljoenen om te vervangen en gaan pas weg zodra ze echt niet meer te repareren zijn. Verwachte levensduur is nog 10/15 jaar.

Buiten wat mogelijke work-arounds;

Het ligt er maar net aan hoe je ernaar kijkt. Fysiek gezien kan die machine nog best 10-15 jaar mee, maar softwaretechnisch valt er praktisch weinig meer te "repareren" en is de levensduur al met een aantal jaar overschreden.

vrijdag 4 juni 2021 14:19

Acties:

0 Henk 'm!

Shunt

Boe

Topicstarter

MAX3400 schreef op vrijdag 4 juni 2021 @ 13:31:
[...]

Je weet dat dit al vaker gebeurd is? Dat bepaalde apparaten / protocollen niet meer ondersteund worden door "infrastructurele leveranciers" zoals de Microsofts / VMwares / HP's / etc? Daar valt niks aan uit te leggen; in essentie stopt op een gegeven moment op meerdere lagen van het OSI-model de mogelijkheid om "het eindprodukt" op te leveren.

Ik vind het overigens zeer interessant dat je snijmachines uit 2001 (dus nu 20 jaar oud) levend wil houden omdat er OF geen alternatief is OF je in 20 jaar geen winst hebt gemaakt OF fiscaal niet hebt afgeschreven. Dat klinkt meer als "gebrek aan voortschrijdend inzicht" dan "IT valt me lastig met een huidige beperking".

Natuurlijk gebeurt dit vaker maar rondom periode 2001 was heel dat virtualisatie nog maar eng en zo.
Er zitten hardware kaarten in die bak die niet meer in een moderne server / computer passen.
Of het afgeschreven is totaal niet interessant, voor er computers aan die dingen zaten gingen die apparaten 20 / 30 jaar mee. Nu er computers aan vast zitten komen er heel andere modellen bij kijken. Tegenwoordig koop je soort gelijke apparaten (geen echt verschil qua capaciteit of functionaliteit) waar je gewoon het apparaat zelf aan het netwerk koppelt en alle software op een VM draait. Leuk maar daar hebben ze nu niets aan.

Helixes schreef op vrijdag 4 juni 2021 @ 13:34:
[...]

Okee, maar is die machine afgeschreven
waarschijnlijk wel...

Ik ken dit soort problemen wel. Hier moet je een risicoafweging maken. De vervangingswaarde van zo'n machine is enkele miljoenen. Maar, de beveiligingsrisico's kunnen ook makkelijk in de miljoenen lopen. De directie zal dus moeten kiezen tussen twee kwaden.

Binnen het bedrijf waarvoor ik werk opereren deze machines als stand-alone, of in een beperkt netwerk zonder contact met de buitenwereld.

Bij 90% van de gevallen kan dat ook en dan heb je idd geen man overboord. Alleen bij sommige systemen kan dat niet omdat die net op de grens zaten van klassiek maar met een computer er aan vast en modern met modules en services die los te koppelen zijn.

Daarom er is niet zo iets als zwart en wit in de security wereld.

Helixes schreef op vrijdag 4 juni 2021 @ 13:42:
[...]

... totdat er iemand met de poet vandoor gaat. Of, er een serieuze privacy/security breach is. Ik heb alledrie meegemaakt.

Over het algemeen zijn de business leaders het zeker met je eens. Totdat het mis gaat, en ze een vervelend gesprekje moeten hebben met de business controller. En dan worden alle verloven ineens ingetrokken, en alle risico's zo veel mogelijk afgekit.

Daarbij komt dat er - bij beursgenoteerde bedrijven dan toch - ieder jaar een externe IT security audit is, die wordt meegenomen in het jaarverslag. Een slecht rapport kost je zo 10% van je beurswaarde, soms meer.

Ik kan niet voor ieder bedrijf spreken. De bedrijven waar ik voor heb gewerkt hebben wel degelijk mensen in dienst die op een hoog niveau nadenken over de risico's die volgen uit de autorisatie die diens medewerkers krijgen. Dat vertaalt zich in beleid, die weer door andere mensen wordt uitgevoerd. In die keten gaat wel heel veel informatie verloren. De eindgebruiker krijgt meestal slechts de boodschap computer says no - en daar moet je het dan maar mee doen.

Maar dat wil niet zeggen dat daar niet altijd een goede reden voor is....

Zeker en dit is bij ieder bedrijf waar ik gewerkt heb tot nu ook aan de orde geweest alleen geen enkele audit gaat er om of iemand Amin rechten heeft. Het gaat er om wat er kapot gemaakt kan worden of buit gemaakt kan worden vanuit een systeem.

Zo heb je aan admin rechten helemaal NIETS als hacker wanneer het apparaat verder gewoon goed ingericht is met voldoende alerts en triggers als er iets gedaan wordt / geïnstalleerd wordt / verwijderd wordt.
En nogmaals je kunt simpel weg niet zeggen Zwart of Wit er zitten altijd grijs waardes en kleurtjes tussen.

eric.1 schreef op vrijdag 4 juni 2021 @ 14:07:
[...]

Buiten wat mogelijke work-arounds;

Het ligt er maar net aan hoe je ernaar kijkt. Fysiek gezien kan die machine nog best 10-15 jaar mee, maar software technisch valt er praktisch weinig meer te "repareren" en is de levensduur al met een aantal jaar overschreden.

Inderdaad maar daar heb je als fabrieken eigenaar geen kont aan al jouw oude en nieuwe apparaten gaan gewoon 20/30 jaar mee dus deze ook zolang hij nog knipt / snijd.

Ik wil wel even een disclaimer aangeven alle verhalen in deze discussie zijn theoretisch en hebben ondanks ze gelijkenissen kunnen hebben met de werkelijkheid geen verbinding daar mee. Papier snij machines had net zo goed elektronen microscoop kunnen zijn.

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

vrijdag 4 juni 2021 14:20

Acties:

+1 Henk 'm!

laurens0619

De "grap" is dat bedrijven vaak security high level proberen te doen. Vaak wordt het dan een compliance dingetje wat nu de wereld nu niet bepaald veiliger maakt. Sterker nog, vaak werkt het contra effectief waardoor mensen vanuit shadow it buiten de restricted omgeving gaan werken.

Wat altijd leuk is om een verband te trekken tussen security incidenten bij een bedrijf + welke beleidsregels dit hadden kunnen voorkomen. De match hiertussen is vaak flinterdun

CISSP! Drop your encryption keys!

vrijdag 4 juni 2021 15:17

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

laurens0619 schreef op vrijdag 4 juni 2021 @ 14:20:
Wat altijd leuk is om een verband te trekken tussen security incidenten bij een bedrijf + welke beleidsregels dit hadden kunnen voorkomen. De match hiertussen is vaak flinterdun

Ik weet dat het niet kan, maar je zou voor de gein eens moeten proberen om dit om te draaien. Hoeveel incidenten zijn er voorkomen, doordat het security beleid goed opgevolgd is?

Bij ons is één van de (vele) regels dat elke internetfacing dienst die wij als hostingpartij aanbieden onderworpen wordt aan een pentest. Dat zijn deels zelf ontwikkelde diensten, maar ook diensten die wij doorverkopen (al dan niet met een stuk maatwerk).

In al die jaren dat ik dit werk doe, heb ik nog nooit een oplossing laten pentesten die in één keer succesvol door een pentest heengekomen is. Praktisch altijd moeten wij een featurerequest indienen bij leveranciers om security aanpassingen aan hun applicaties/diensten te laten doorvoeren. Overigens daarbij nog de opmerking dat niet elke finding meteen blocking is, dat is het pas vanaf een bepaalde CVSS score.

Het is een redelijk simpele beleidsregel, maar gecombineerd met het feit dat wij ruim meer dan 100.000 eindgebruikers bedienen denk ik dat deze simpele regel een groot aantal incidenten heeft weten te voorkomen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 4 juni 2021 15:27

Acties:

0 Henk 'm!

laurens0619

@Question Mark Maar een pentest is juist een van de zaken die er juist wel (enorm) toedoen

Dat is namelijk geen high level security maar hele specifieke security.

Dus jazeker er zijn genoeg security beleidsregels die er toedoen en security incidenten voorkomen. Maar het echte verschil zit hem in hele specifieke en slimme controls inregelen.

Pak de local admin situatie eens als voorbeeld. Jazeker het kan zeker helpen (vooral om impact van een malware infectie te voorkomen doordat AV niet uitgeschakeld wordt/PTH niet mogelijk is).
Echter kijk je naar hoe vaak een infectie start dan zijn dat MAcro bestanden in documenten.
Veel bedrijven weten dit en hebben ooit onderzocht of dat dan niet uit kan. Wordt vaak op dag 1 dichtgezet en dag 1,5 weer open omdat business t nodig heeft.
Mooi voorbeeld van high level security: je moet de diepte in wil je security en usability in balans houden. Anders blokkeer je altijd teveel of te weinig.

Terwijl als je er even de tijd goed voorneemt dan kom je erachter dat als je ASR goed gaat deployen je 95% van de malicious macros weet te blokkeren terwijl de legitieme macros (soms na whitelisting) nog werken.
Toch zie ik dit nog erg weinig bedrijven doen..
Local admin rechten moet je nog steesd zwaar beperken en controleren. Zeker! Maar soms is de focus wel erg off met waar er bloed uit komt.

[ Voor 18% gewijzigd door laurens0619 op 04-06-2021 15:41 ]

CISSP! Drop your encryption keys!

vrijdag 4 juni 2021 15:39

Acties:

+1 Henk 'm!

Shunt

Boe

Topicstarter

Question Mark schreef op vrijdag 4 juni 2021 @ 15:17:
[...]

Ik weet dat het niet kan, maar je zou voor de gein eens moeten proberen om dit om te draaien. Hoeveel incidenten zijn er voorkomen, doordat het security beleid goed opgevolgd is?

Bij ons is één van de (vele) regels dat elke internetfacing dienst die wij als hostingpartij aanbieden onderworpen wordt aan een pentest. Dat zijn deels zelf ontwikkelde diensten, maar ook diensten die wij doorverkopen (al dan niet met een stuk maatwerk).

In al die jaren dat ik dit werk doe, heb ik nog nooit een oplossing laten pentesten die in één keer succesvol door een pentest heengekomen is. Praktisch altijd moeten wij een featurerequest indienen bij leveranciers om security aanpassingen aan hun applicaties/diensten te laten doorvoeren. Overigens daarbij nog de opmerking dat niet elke finding meteen blocking is, dat is het pas vanaf een bepaalde CVSS score.

Het is een redelijk simpele beleidsregel, maar gecombineerd met het feit dat wij ruim meer dan 100.000 eindgebruikers bedienen denk ik dat deze simpele regel een groot aantal incidenten heeft weten te voorkomen.

Maar juist een website / internet facing services zijn een perfect voorbeeld van usability vs security.
Je zult toch echt wat aan de buitenwereld moeten open stellen om de functie van de dienst bruikbaar te krijgen. Je zult zelfs wellicht wat dingen moeten open zetten die je dan weer via een andere weg moet blokkeren. (ik weet het een beetje een kak vergelijking maar hopelijk is mijn punt zo wat duidelijker

)

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

vrijdag 4 juni 2021 16:04

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Shunt schreef op vrijdag 4 juni 2021 @ 15:39:
[...]

Maar juist een website / internet facing services zijn een perfect voorbeeld van usability vs security.
Je zult toch echt wat aan de buitenwereld moeten open stellen om de functie van de dienst bruikbaar te krijgen.

Dat zeker, maar.... Neem even een M365 admin portal als voorbeeld. Voor elke onderneming die ISO 27001 gecertificeerd is, is het verplicht om MFA enabled te hebben op in elk geval accounts met ook maar enige vorm van beheerrechten. Dat is typisch een voorbeeld van wanneer beleid/wetgeving invloed heeft op usability. Naast ISO certificeringen zijn er uiteraard ook harde requirements vanuit GPDR en AVG die ook allemaal van invloed zijn.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 4 juni 2021 16:07

Acties:

0 Henk 'm!

laurens0619

@Question Mark is dat zo? Dat zou wel goed zijn
Ik ken iso27001 meer als “er moet een proces en beleid zijn” maar niet dat iets inhoudelijks stellen

Shunt schreef op vrijdag 4 juni 2021 @ 15:39:
[...]

Maar juist een website / internet facing services zijn een perfect voorbeeld van usability vs security.
Je zult toch echt wat aan de buitenwereld moeten open stellen om de functie van de dienst bruikbaar te krijgen. Je zult zelfs wellicht wat dingen moeten open zetten die je dan weer via een andere weg moet blokkeren. (ik weet het een beetje een kak vergelijking maar hopelijk is mijn punt zo wat duidelijker )

Precies. Het high level beleid zou zijn: er mogen geen internet facing services opengezet worden vanaf het dc (praktijk afdelingen gaan op eigen initiatief iets ergens anders hosten)
Goed beleid is wat @Question Mark voert. Pentesten (en dan niet eenmalig), monitoren en updaten

[ Voor 72% gewijzigd door laurens0619 op 04-06-2021 16:11 ]

CISSP! Drop your encryption keys!

vrijdag 4 juni 2021 16:21

Acties:

+1 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

laurens0619 schreef op vrijdag 4 juni 2021 @ 16:07:
@Question Mark is dat zo? Dat zou wel goed zijn
Ik ken iso27001 meer als “er moet een proces en beleid zijn” maar niet dat iets inhoudelijks stellen

Is letterlijk wat de auditor mij vertelde bij de laatste audit.

Ik ken de inhoud en teksten verder ook niet, ik maak het security beleid ook niet bij ons, en ken de exacte regelgeving ook niet.

Bij elke nieuwe innovatie en change moeten wij een security proces doorlopen. Daar rolt een grote lijst met requirements uit waar oplossingen aan moeten voldoen. Onze CISO afdeling voedt die tool met de juiste input, en werkt deze periodiek bij. Vanuit mijn architecten rol moet ik dan oa zorgen voor een juiste vertaling van die requirements, naar een stuk technische inrichting en (permanente) borging en aantoonbaarheid. En dat alles uiteraard samen met verschillende devops teams, met veel expertise.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

zaterdag 5 juni 2021 09:02

Acties:

0 Henk 'm!

laurens0619

@Question Mark ik ben al een tijdje uit het iso27001 gebeuren maar als ik het goed herinner:
- de standaard beschrijft dat je een informatiesecuritymanagement programma moet hebben
- in dit programma worden domeinen als access control behandeld
- je moet een policy/proces hebben over het domein (design effectiveness) en hiernaar handelen (operational effectiveness)

Je kunt dus prima iso27001 certified zijn als je een programma hebt waarin staat voor access controls dat er geen mfa nodig is. Zolanf je het maar besloten hebt en daar naar gaat handelen.

In dit geval lijkt het echter dat jullie afdeling wel de juiste zaken heeft opgeschreven, dat komt dan van de afdeling en niet de standaard

CISSP! Drop your encryption keys!

zaterdag 5 juni 2021 10:06

Acties:

0 Henk 'm!

Fr33z

MAX3400 schreef op vrijdag 4 juni 2021 @ 13:26:
[...]

Wie is "je"?

- de gemiddelde medewerker heeft een leidinggevende
- de gemiddelde leidinggevende heeft een (afdelings-)belang
- dat belang kan via 1, 2 of 9 hierarchische treden omhoog benadrukt worden
- uiteindelijk komen de wensen van "je" / werknemer ergens op een agenda te staan
- agenda wordt besproken / besloten / afgehamerd
- belang wordt wel / niet geimplementeerd

Ik vind het minstens zo verbazend dat het originele topic uit de visie / belang van 1 medewerker is die zichzelf "belangrijk" vindt en daarma alle (ja, alle) regels aan de laars wil lappen om iets voor elkaar wil krijgen.

"Je" kan in dit geval de medewerker zijn, of bijv. de leidinggevende. In essentie klopt het trappetje dat je schetst wel, dat is officieel vaak de manier. Maar hoe vaak gebeurt het niet dat agenda's eindeloos uitgebreid worden en dat er altijd 1000 kwesties zijn om een beslissing over te nemen?

wat ik bedoel is dat in de praktijk veel dingen te lang duren / vastlopen in zoiets, waarna "je" (werknemer OF een leidinggevende) dan maar besluit alvast verder te gaan met een oplossing die beschikbaar is / ze zelf wat bij elkaar klikken ergens. Meestal gebeurt zoiets volgens "ja ff tijdelijk een excelletje en dan implementeren we het later wel in het complete systeem".

zondag 6 juni 2021 21:51

Acties:

+4 Henk 'm!

Orangelights23

Hier een ISO27001 lead auditor, dus bij vragen, kom maar op

Het gehele ISO gebeuren is niets meer dan een simpel controlframework waar je enorm veel vrij spel krijgt om alles zelf te verzinnen. Ik zie hier wat zaken staan, onder meer MFA voor admins wat verplicht zou zijn onder 27001, maar dat is niet waar. Ze willen alleen dat je ‘extra’ aandacht geeft aan dergelijke accounts. Users een minimaal wachtwoord van 3 karakters en admins van 5 is daarmee al goed volgens de norm. Een auditor mag daar dan ook wel iets van vinden, maar niet over rapporteren.

Binnenkort komt een nieuwe 27001 uit, gaat dan meer over de cloud en secure development. Ook wordt de nieuwe versie meer opgeschreven vanuit de gedachte om zelf na te denken, ipv simpelweg controls implementeren. Echter nodigen de nieuwe controls niet uit om dat te doen, het gros van de bedrijven implementeert het meeste en doen aan checkbox compliancy.

zondag 6 juni 2021 23:24

Acties:

0 Henk 'm!

kodak

FP ProMod

In de discussie op het originele topic lees ik de ts eigenlijk niet veel meer zeggen dan dat deze het irritant lijkt te vinden niet zelf te kunnen beslissen en het handig is. De suggestie dat het gebrek aan rechten en het moeten vragen een belemmering zou zijn krijgt geen enkele onderbouwing. Het lijkt in de eerste post ook duidelijk waarom: de ts blijkt de rechten naar eigen mening niet heel nodig te hebben voor zijn werk.

De eerste motivatie is weinig meer dan dat het van pas komt bij consultancy werk. Er komt dan vraag om motivatie, wat de ts slechts geeft met een mening dat de rechten handig zijn en zichzelf een gevorderde gebruiker te vinden, zonder maar iets te laten blijken welke regels er gelden om software wel of niet te accepteren. Ook lees ik niet waar de manager van de ts zich door heeft laten overtuigen en wat die heeft afgewogen.

Ik ben heel benieuwd wat de motivatie van de IT manager is als die het verzoek nu wel gaat accepteren. Een 'gevorderde' gebruiker die in geen enkel verzoek aantoont waarom de beveiliging bestaat of die te snappen klinkt al niet als iemand die je dit soort rechten wil geven. En als consultant niet eens uit kunnen leggen wat er zo nodig aan is en waaruit dat blijkt?

dinsdag 8 juni 2021 00:58

Acties:

+1 Henk 'm!

laurens0619

Waarschijnlijk de herkenbaarheid dat it brak en traag geregeld is

Centraal management en rechten afpakken hoeft geen probleem te zijn mits je it support organisatie zelf super draait. Hikt dat een beetje (en dat zie ik vaak) dan is op een gegeven moment het geduld op om iets simpels te fixen wat dan weer dagen wachtttijd kost

Ik zeg niet dat local admin rechten goed idee is, integendeel maar ik zeg wel dat als de it support top is dr wens vaak een stuk kleiner is

CISSP! Drop your encryption keys!

dinsdag 8 juni 2021 14:26

Acties:

0 Henk 'm!

Ozzie

Ik heb gewoon twee machines in twee verschillende domeinen van de organisatie waar ik werk. Eentje heb ik alleen user rechten op en kan ik alle programma's die erop geïnstalleerd zijn openen maar voor de rest niks. Alles is afgeschermd inclusief heel veel dingen op internet.

De andere ben ik local admin op en kan ik alles op doen wat ik wil, maar niet zomaar in het andere domein komen. Af en toe een beetje onhandig maar ik vind het wel fijn dat ik in ieder geval een machine heb waar ik alle rechten op heb. Zonder zou ik ook echt mijn werk niet kunnen doen.

"Write code as if the next maintainer is a vicious psychopath who knows where you live."

Pagina: 1

Reageer