• Publicaties
• Column Ontwikkelaars
• Keten SLAs
• Inzet Cloud Computing?
• Ketenmonitoring eenvoudig opzetten
• Column Lager wal
• Column Gratis Vrienden
• Column Lessen van Google
• Column Quis custodiet
• Column Met Harry ...
• Column Verkeerde kant
• Column belkosten
• Column Keuzes
• Column Architectuur
• Columns ontvangen?

Column Quis custodiet

De Kijk van van Eijk

Quis custodiet ipsos custodes?

Er komt een connectieverzoek binnen op je firewall. Ga je erop vertrouwen dat die connectie van goede komaf is, of niet? De firewall beslist daarover, dat is onze poortwachter. Maar wie bepaalt nou eigenlijk wat er in de firewall aan regels staat? Natuurlijk, dat is de beveiligingsdeskundige, die weet precies welke bedreigingen er zijn, en hoe we ermee moeten omgaan. Denken we.

Quis custodiet ipsos custodes? Oftewel, wie bewaakt de bewakers? Dat vroegen de Romeinen zich ook al af. Ik ken securitydeskundigen die absoluut integer zijn, en alleen over reeële bedreigingen zullen praten. Ik ken ook securitydeskundigen die er vooral op uit zijn om de mensheid bang te maken, zodat ze hun dienstverlening en producten op het gebied van security kunnen verkopen.

Hoe weet je of een beveiligingsdeskundige het beste met je voor heeft? En of een mogelijk securitylek daadwerkelijk een risico is? De gebruikelijke manier is om met een voorbeeld aan te tonen dat een lek door kwaadwillenden benut kan worden. Tegelijk is dat voorbeeld natuurlijk erg gevaarlijk, want als het bekend wordt, kan het worden misbruikt. Met een mooie term heet dat ook wel een ‘zero-day attack’. De integere beveiligingsdeskundige zal dit voorbeeld dus graag geheim willen houden. De beveiligingsdeskundige die je alleen bang wil maken, kan je het voorbeeld niet geven. Netto effect is dat je beide soorten deskundigen niet uit elkaar kunt houden.

De vraag blijft hoe je dan de goede bewakers van de slechte kunt onderscheiden. Hoe kun je achterhalen of een geschetste bedreiging daadwerkelijk een bedreiging is? Vooropgesteld, ik wil beveiligingsproblemen niet bagatelliseren en ik beweer zeker niet dat firewalls en virusscanners overbodig zijn. Integendeel, ze zijn nauwelijks in staat om de belangrijkste bedreigingen tegen te houden. Er is dus reden tot zorg. Er is reden tot heel veel zorg. Maar niet over alle bedreigingen. Laat de beveiligingsdeskundige dus geen solospeler worden die naar eigen goeddunken keuzes maakt.

Meer weten?
Abonneert u op de mailing lijst en ontvang regelmatig mijn column.

© Copyright 2015. Alle rechten voorbehouden.