Webcast

Gisteren was ik één van de drie gasten in de één uur durende live webcast van Computable met de titel: "Werkplekbeheer: Werk heeft geen plek meer".

De vraag die centraal stond in mijn gedeelte was: Hoe bepaalt u uw toegangsbeleid? Toegangsbeleid is afhankelijk van de soort werkplek. Een vaste kantoorplek mag meer dan een laptop of een verbinding via een Internet café. Waar zijn we bang voor en wat is terecht? Op welke manieren is men verbonden met kantoor? Ik ben over deze zaken ruim 10 minuten aan het woord geweest.

Al met al was het een hele leuke ervaring. De opnames waren op het mediapark in Hilversum en de opzet was erg professioneel, inclusief grime, repetitie, soundcheck en een kleedkamer tegenover die van Aart Staartjes en Frank Groothof (die met opnames van Sesamstraat bezig waren).

De webcast is op het internet te bekijken. Mijn bijdrage begint ongeveer vanaf de 15e minuut. Via deze link kunt u zich aanmelden. U krijgt dan via email een password om de webcast te bekijken.

Live computable webcast

Volgende week woensdag, 23 april wordt ik live geïnterviewd door Computable over het onderwerp "Werkplekbeheer: werk heeft geen plek meer". De webcast is live te bekijken, maar ook later nog terug te zien. U kunt tijdens de uitzending reageren, als u zich vooraf inschrijft via deze link.

Lezing Trends in IT Security

Afgelopen dinsdag heb ik voor ICT Zaanstreek in Zaandam een lezing gehouden over Trends in IT Security. De lezing gaf een overzicht van de wijzigingen die de afgelopen jaren hebben gezorgd voor een toenemende aandacht voor IT security, en gaf een korte vooruitblik op de toekomst. Mocht u ook geinteresseerd zijn in een dergelijke lezing of een lezing over een van de volgende onderwerpen:

• Trends in IT Infrastructuren
• Introductie IT Architectuur
• IT architectuur certificeringen
• Trends in IT secrity

neem dan contact met me op (zie de rechter kolom voor contactgegevens).

Hardeningscontrole en hacktesting

Bij één van de klanten waar ik voor werk is het een standaard procedure om een beveiligingscontrole uit te voeren voordat nieuwe servers in productie worden genomen. Dit is echter niet gebruikelijk in de meeste organisaties.

Hoewel ik de afgelopen jaren vaak bij veel verschillende organisaties werkzaam ben geweest, heb ik nog niet eerder een organisatie gezien waar het standaard policy is om een hardeningscontrole en/of hacktest uit te voeren op elke server die in productie wordt genomen.

De hardeningscontrole bestaat uit het controleren of de verschillende services of daemons zijn uitgeschakeld, IPsec wordt gebruikt, geen standaard inlognamen worden gebruikt, een host-based firewall aanstaat, of alle patches zijn geïmplementeerd, enzovoort. Dit is dus een controle van de "binnenkant" van een systeem.

De hacktest gaat over de buitenkant. Welke TCP/UDP poorten staan open, is het systeem kwetsbaar voor SQL injection of cross-site scripting, enzovoort.

Deze tests zouden niet door de systeembeheerders moeten worden gedaan, maar door professionele security specialisten, het liefst van een extern bedrijf. De resultaten moeten worden gedocumenteerd in een rapport met non-compliances en tips voor verbetering. Systemen mogen alleen in productie worden genomen als alle controles zijn uitgevoerd en de controles moeten worden uitgevoerd voor elk individueel systeem.

Als er wijzigingen in een systeem worden doorgevoerd, dan moeten de testen worden herhaald.

Een risico analyse moet aangeven hoe zwaar de problemen moeten worden ingeschat, zodat passende maatregelen kunnen worden genomen.

Ik denk dat het goed zou zijn als meer bedrijven en dergelijke strategie zouden implementeren. Het kost tijd, vertraagt implementaties en het kost geld. Ik weet het. Maar meestal staan systemen jarenlang in productie. Het systeem een goede en veilige start is het minste wat we kunnen doen.