Disclaimer

De bijdragen aan het maatschappelijke debat, zoals op dit blog gepubliceerd, zijn bedoeld als ondersteuning van het recht op vrije meningsuiting. Mocht u desondanks in uw eer of goede naam aangetast worden, of nog erger dat u door deze teksten gekwetst wordt, lees dan eerst even de bijgaande disclaimer.

Wednesday, October 26, 2005

Security in Informatiesystemen

door KeesjeMaduraatje

Voor de meeste veiligheidsexperst is het al moeilijk genoeg de "hackers" voor te blijven en er voor te zorgen dat er nooit gaten in de verdedigingsmuur om het informatiesysteem geslagen worden en de indringers buiten blijven. Wat dan ontstaat is een veiligheid in "beperkte zin". Er is een stelsel van viruscheckers, firewalls, paswoorden, encryptiemechanismen en toelatingskriteria ontstaan en elke verandering en uitbreiding van het systeem die voorgesteld wordt, betekend stress. Er moet eerst gekeken worden of het geen kwaad kan en of er niet een poortje open gezet wordt.

Het is nog erger als er een situatie ontstaat waar een schijnveiligheid wordt gecreeërd. er worden extra apparaten aangeschaft om de veiligheid van data te waarborgen, zonder dat er een risicoanalyse wordt gemaakt om de nog bestaande risico's in te schatten.

Een oplossing voor het probleem van de "onontdekte gaten", in grote bedrijven natuurlijk het verschijnsel "audit". Er komen mannen in zwarte pakken die gewichtig kijken en vragen gaan stellen. Vaak willen ze ook bewijzen zien. Pas op als je die bewijzen ook gaat tonen. Dan geld weer het oude gezegde: "Erfüllte Wünsche kriegen Kinder" (het antwoord op de ene vraag produceert weer nieuwe vragen). Beter is het, te beloven dat de bewijzen binnenkort getoond gaan worden, maar dat je eigen security afdeling daar nog toestemming voor moet geven. Anders kom je in de Kafkajaanse situatie terecht dat je moet gaan bewijzen dat de getoonde bewijzen echt zijn en dat die niet vervalst kunnen worden. Dus het tonen van "logfiles", die bewijzen dat er geen ongeoorloofde toegang is geweest, roept de vraag op, waar die bestanden worden opgeslagen. Op een harde schijf natuurlijk. "En wie kunnen er allemaal bij die harde schijf?". Ja, de administratoren natuurlijk. "Zijn die administratoren gescreend". Ja, die hebben allemaal een security verklaring onderstekend. "Mogen we die verklaringen eens zien? " enzovoorts enzovoorts.

Echte gaten en security risico's worden door auditors nooit ontdekt.


No comments: