Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Cloud en security – investeren we genoeg in kennis?

  • Door
  • Rashid Niamat
  • geplaatst op
  • 22 oktober 2013 08:12 uur

sec-congres2013Begin oktober erd in Bunnik het security congres gehouden, een jaarlijks event georganiseerd door Isaca, Norea en PvIB. Een groep van ruim 200 personen werd in een middag geïnformeerd over de laatste stand van zaken op en er werd teruggeblikt op recente voorvallen. Doelgroep was niet exact de hosting- en datacentersector, hoewel ook vertegenwoordigers van dit type leveranciers aanwezig waren. Niet genoeg trouwens, want puur wat betreft de kennisoverdracht en de gekozen insteek is dit een voorbeeld van een bijeenkomst die meer aandacht verdient.

 

Een van de onderwerpen die ISPam.nl lezers zal hebben aangesproken was de update over security en cloud. Dat klinkt als een uitgemolken onderwerp, iedereen weet toch dat cloud andere eisen stelt aan onze kijk op security? Na de toespraken van twee bestuurders van de het Nederlandse chapter van de Cloud Security Alliance (CSA) was toch een aantal punten de revue gepasseerd waar iedereen in de zaal, los van zijn of haar achtergrond, nog lang over na kon denken. Om die reden zal ISPam.nl eerdaags trouwens nog meer aandacht besteden aan de CSA.

Tot de besproken punten hoorde onder andere de tijdige signalering van zwaktes. Hoe dit in de praktijk moet en wie deze taak op zich moet nemen is onderdeel van bijna elke certificering. En zonder nu al in detail in te gaan op het onderscheid tussen de verschillende certificeringen en normen: te vaak blijkt dat – los van de gekozen methode – hier een groot gat gaapt tussen wat technisch gezien mogelijk is (bijvoorbeeld: veel loggen of strikt IDM) en de praktijk (geen grondige analyse van logfiles of ad-hoc steekproeven). Resultaat is – helaas – dat te vaak problemen zichtbaar worden als het te laat is.

Die conclusie is een open deur intrappen want bijna iedereen kent cases waarin detectie pas in een zeer late fase plaatsvond. Dat is in lijn met bevindingen van het hier eerder aangehaalde Verizon Databreach rapport. Ook het SANS instituut heeft op basis van een recent gehouden onderzoek voor vendor Solarwinds onder 600 IT professionals vergelijkbare conclusies getrokken en wijst daarbij ook nog een nadrukkelijk naar het gebrek aan kennis binnen organisaties om security issues te kunnen signaleren en bestrijden. Gebrek aan kennis in combinatie met gebrek aan awareness heeft als gevolg dat volgens SANS te weinig wordt geïnvesteerd in trainingen (voorbehoud: SANS levert trainingen op dit vlak!) waarvan het doel is de keten veiliger te krijgen.

Zelf als we de bevindingen van Sans met een korreltje zout nemen, de combinatie van uiteenlopende bronnen wijst toch wel nadrukkelijk naar een beperkt aantal zwakke plekken in organisaties, waarbij kennis centraal staat. De vraag die iedereen zich daarom zou moeten stellen is: investeer ik genoeg om security issues maximaal te kunnen voorkomen?

Nog geen reacties

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.