VRI netwerkportaal VRI netwerkportaal
Webportaal voor en door Nederlandse RegisterInformatici
Links |  Opinie's |  Kalender |  gericht Zoeken |  Downloads |  FAQ's |  Vademecum |      

 Welkom bij VRI netwerkportaal vr, 9-05-2008 @ 16:03 

 Navigatie 
Home
Thema's
VRI Column (9)
Portaal Nieuws (21)
CEPIS (24)
MediaPlaza (4)
Kennisuitwisseling (31)
Permanente Educatie (13)
Cursussen (26)
ICT Markt (13)
Gedragscode (3)
Over de VRI (16) »
Opvallend . . . (14)
Verslag ALV 13-10-04
(nog) geen RI ?
Kennismaken met VRI
Lidmaatschap
Aanmeldingsformulier
Inloggen
Gebruikersnaam:

Wachtwoord:

Heeft u nog geen account?
Meld u dan nu aan als nieuwe gebruiker

 Binnenkort..... 
Evenementen

donderdag 22 mei
  • Nationaal ICT Event

    • dinsdag 03 jun
  • Seminar Open Security

    		•

     Security business cases en data loss prevention   
    vr, 28-12-2007 @ 03:05
    Bijdrage van: vri70401
    Opgevraagd: 515

    VRI ColumnEen zo af en toe terugkerend thema in de beveiligingswereld is hoe de, regelmatig forse, kosten, te verantwoorden zijn. Elke leverancier rekent u immers als bate ‘het met zekerheid voorkomen van astronomische reputatie/concurrentieschade of boetes’ voor, en claimt dat dit u wel héél veel waard moet zijn…

    En zo simpel ligt dat dus niet. Om een eerdere column te plagiëren waarin we ook al een stuk overkill, in dat geval door teveel dubbel uitgevoerde checks en dus niet alleen te hoge investerigen maar ook onwerkbaar hoge beheerkosten, bespraken:
    Gedragsregel 4 schrijft ons ‘richten op kwalitatief hoogwaardige diensten’ voor, maar dat is wat anders dan overkill! Het belang van de klant (regel 3) is een goede kosten/baten-balans. En hoewel bij security de baten moeilijk meetbaar zijn kan wél gekeken worden welk percentage malware buitengehouden wordt, onder welke soorten gedrag van de users. En dan is het aan ons informatici om de balans te helpen vinden, en het verschil tussen ‘veilig’ en ‘onwerkbaar en onbetaalbaar’ te kunnen maken.

    Hierop voortbouwend gaan we nog wat dieper in op de business case-problematiek aan de hand van weer een nieuwe modetrend in security: data loss prevention. De gevaren zijn breed uitgemeten in de pers door wat interessante cases: CD’s en (natuurlijk unencrypted…) notebooks tijdens transport verdwenen vol met vertrouwelijke klant- en personeelsgegevens. Medewerkers die vlak voor hun ontslag nog even de klantendatabase over Internet wegsluizen. Sloop-PC had weliswaar de harddisk gewist maar nog een gevoelige diskette in de drive zitten. Gerecyclede tweedehands backuptapes bleken minder leeg dan gedacht – en ga zo maar door.
    DLP-tools zijn soms oude wijn in nieuwe zakken – met name encryptie van zo’n beetje elk medium/harddisk die uw gebouwen verlaten kan is al zo oud als de ICT, en heeft nu aan belang gewonnen. Encryptie wordt nu ook populair voor pakweg USB sticks en backuptapes naast de altijd al nodige notebooks, en hoeft helemaal niet zoveel extra te kosten. Wel nieuw is de categorie die ook wel ‘extrusion prevention’ heet. Inplaats van webverkeer en e-mails die binnenkomen te scannen op ongewenste zaken (bijvoorbeeld x-rated en virussen/spyware) wordt nu verkeer naar buiten toe gescand op potentieel dataverlies. Bijvoorbeeld op het bevatten van SoFi-nummers (oeps, recent omgedoopt tot BSN) of creditcard gegevens, of specifieke datapatronen voor het eigen bedrijf zoals de produktrecepturen.
    Nu het aantal kuren voor de dataverlies-kwaal zo fors in de breedte groeit, dwingt ons dat meer en meer tot een de RI waardige strukturele aanpak. Die zou als volgt kunnen gaan:
    · Wat is precies het risico (verlies aan concurrent, reputatieschade, boete wegens branchespecifieke regels zoals gezondheidszorg of overheid)?
    · Is dat in geld te kwantificeren, minimaal in een paar categoriën van klein tot groot?
    · Wat is de kans op dit risico als we geen aanvullende maatregelen plegen?
    · En hoever reduceren de maatregelen die kans? (Met in de eerdere casus de malware als voorbeeld, met meetbare terugdringing ervan.)
    · Tegen welke kosten (investeringen en beheerkosten)?
    Eis van de security-afdeling of externe aanbieders minimaal dat ze verschillende scenario’s geven. Een extrusion preventie-filter klinkt leuk maar kan erg duur zijn. Dat komt o.a. door de kosten om het bedrijfsspecifiek te maken, en zo valse alarms te voorkomen en bij uitbraken toch wél alarm te laten slaan. En dit is in feite allemaal een laatste redmiddel; bij een degelijk beleid qua toegangscontrole op systemen en data, en audit trails die een security officer bekijkt, zou al heel wat data loss voorkomen of in ieder geval tijdig gemeld kunnen worden. En ook IT-personeel dient onder die toegangscontrole te vallen, dat backuptaken bij data kunnen (en direkt naar encrypted tape schrijven) zegt nog niet dat IT-mensen er zomaar bij mogen!

    Met al die scenario’s naast elkaar kunnen vervolgens de kosten (bekend) en de baten (op basis van bovengenoemde kansrekening) worden vergeleken. Positieve business cases zouden dan vervolgens een-voor-een dubbelgecheckt kunnen worden door de uiteindelijke sponsor, terwijl wij RI-experts er nog even op letten dat voor één risico ook met één tool/maatregel tegelijk begonnen wordt. Anders krijgen we weer mooie dubbeltellingen, net zoals de initieele security business cases zelf van die astronomische reken-kronkels plegen te bevatten…

    Veel sukses met deze adviesrol,

    <Erik>


    Security business cases en data loss prevention | 0 reacties | Aanmelden nieuw account
    Reacties zijn voor verantwoording van degene die ze heeft geplaatst. Dit portaal is niet verantwoordelijk voor de inhoud.
     Gerelateerd 
  • Meer door.. vri70401
  • Meer van.. VRI Column

    •  Artikel opties 
  • Email artikel naar collega
  • Afdrukversie artikel


    		•


     Copyright © 2008 VRI netwerkportaal
     Alle merknamen en copyrights op deze pagina zijn eigendom van hun respectievelijke eigenaren.    		 Powered By GeekLog v1.3.9sr5 
    Page created in 0.21 seconds