---

God IT-sikkerhed bør handle om at nå et niveau, der fungerer
for brugerne, giver en fornuftig, dokumentérbar sikkerhed på de
relevante niveauer, sikrer AAA, kan klare en konstruktiv audit,
har fornuftig eskalation og planer for eventuelle diasters.

Jeg ser imidlertid en tendens til, at gruppen koncenterer sig
mere om eksotiske løsninger, mærkelige hardware-stumper, der
måske og måske ikke kan løse et meget snævert defineret problem,
dick size wars og den slags.

Jeg tror ikke, ordene "politik", "administrativ procedure",
"audit" og "D/R" er nævnt de sidste par år i gruppen. Det er
ellers de allervigtigste. Den praktiske implementering er noget
nær ligegyldig.


Et udmærket eksempel er VPN over Ethernet. Risikoen for, at et
firma får en gut på besøg, der har held til at gemme sig længe
nok, installere en switching-omgående sniffer og har held nok
til at trække noget fornuftigt ud, er i størrelsesorden én til
en milliard.

Risikoen for, at de samme data kan stjæles ved et indbrud, er
måske én til tusind.

Det er derfor bogstaveligt talt en million gange vigtigere at
ansætte døgnbemanding i vagtstuen, tremmer for vinduerne,
bevægelsessensorer på ydermurene og et velfungerende ID-system
til de ansatte.

At man overhovedet diskuterer VPN på Ethernet i den kontekst,
er et tydeligt tegn på, at begrebet sikkerhed er misforstået
på et så grundlæggende niveau, at der ikke er noget at bygge
videre på. Det VIL gå galt for den virksomhed før eller senere,
og VPN'et er udelukkende fordyrende tidsspilde. Det er ikke
engang falsk sikkerhed, for det giver slet ingen sikkerhed.


Et andet eksempel er den føromtalte hardware-stump. Intet er i
sikkerhedsmæssig sammenhæng mere ligegyldigt end hardware. Der
findes ikke en eneste hardwarestump, der kan løse et firmas
sikkerhedsmæssige problemer. Det kan indgå som en forholdsvis
ubetydelig delkomponent - mens sikkerhedspolitik, procedurer og
instruktioner er altafgørende, før man overhovedet begynder at
tænke på hardware.

Gør man det modsatte, ender man i, at "to a hammer, everything
is a nail". Det er en utilgivelig fejl i enhver sikkerhedsmæssig
sammenhæng.



Jeg skal ikke kunne sige, om de eksisterende diskussioner er
relevante - men de er aldeles irrelevante for mig og de aspekter
af IT-sikkerhed, jeg arbejder med til daglig.

Så tak for denne gang - jeg håber, at diskussionerne fører til
god sikkerhed trods alle odds.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
> Så tak for denne gang - jeg håber, at diskussionerne fører til
> god sikkerhed trods alle odds.

For mig er usenet 90-100% ubrugelige meddelelser - jeg er kun på de grupper,
hvor jeg engang imellem får nogle brugbare oplysninger. I denne gruppe har
jeg ignore på stort set alle threads - men det er jo ikke ensbetydende med
en afmelding.

I det hele taget er det meget mystisk, at du skriver til gruppen fordi du
afmelder dig - hvis alle gjorde det, ville grupperne jo blive spammet til
med irrelevante threads.

Lars.

--
GnuPG nøgle: http://dybdahl.dk/lars/gpg/

---

Klaus Ellegaard wrote:
> God IT-sikkerhed bør handle om at nå et niveau, der fungerer
> for brugerne, giver en fornuftig, dokumentérbar sikkerhed på de
> relevante niveauer, sikrer AAA, kan klare en konstruktiv audit,
> har fornuftig eskalation og planer for eventuelle diasters.

Enig.

> Jeg ser imidlertid en tendens til, at gruppen koncenterer sig
> mere om eksotiske løsninger, mærkelige hardware-stumper, der
> måske og måske ikke kan løse et meget snævert defineret problem,
> dick size wars og den slags.

Enig.

> Jeg tror ikke, ordene "politik", "administrativ procedure",
> "audit" og "D/R" er nævnt de sidste par år i gruppen. Det er
> ellers de allervigtigste. Den praktiske implementering er noget
> nær ligegyldig.

Enig. Dog er diskussioner på et overordnet "sikkerhedspolitisk" plan,
svære at gennemføre på usenet, fordi alle de dyre ord, som regel skal
knytte sig til en konkret opgave. Der igen er vanskelige at diskutere
offentligt.

> Et udmærket eksempel er VPN over Ethernet. Risikoen for, at et
> firma får en gut på besøg, der har held til at gemme sig længe
> nok, installere en switching-omgående sniffer og har held nok
> til at trække noget fornuftigt ud, er i størrelsesorden én til
> en milliard.
>
> Risikoen for, at de samme data kan stjæles ved et indbrud, er
> måske én til tusind.
>
> Det er derfor bogstaveligt talt en million gange vigtigere at
> ansætte døgnbemanding i vagtstuen, tremmer for vinduerne,
> bevægelsessensorer på ydermurene og et velfungerende ID-system
> til de ansatte.

Nej, sikkerhed er et totalt system. Du kan ikke have data-sikkerhed uden
at have fysisk sikkerhed og omvendt. Begge ting er vigtige elementer i
det samlede sikkerhedsbillede.

> At man overhovedet diskuterer VPN på Ethernet i den kontekst,
> er et tydeligt tegn på, at begrebet sikkerhed er misforstået
> på et så grundlæggende niveau, at der ikke er noget at bygge
> videre på. Det VIL gå galt for den virksomhed før eller senere,
> og VPN'et er udelukkende fordyrende tidsspilde. Det er ikke
> engang falsk sikkerhed, for det giver slet ingen sikkerhed.

Vil du hermed sige, at vi allesammen skal smide vores VPN på bålet, og
til at køre ukrypteret trafik ml. vores net. Fordi at selv VPN aldrig
kan blive sikkert nok? Vrøvl! Absolut sikkerhed eksisterer måske ikke,
men det er ikke ensbetydende med at data-sikkerhed skal være et
alt-eller-intet scenarie.

> Et andet eksempel er den føromtalte hardware-stump. Intet er i
> sikkerhedsmæssig sammenhæng mere ligegyldigt end hardware. Der
> findes ikke en eneste hardwarestump, der kan løse et firmas
> sikkerhedsmæssige problemer. Det kan indgå som en forholdsvis
> ubetydelig delkomponent - mens sikkerhedspolitik, procedurer og
> instruktioner er altafgørende, før man overhovedet begynder at
> tænke på hardware.

Enig.

> Gør man det modsatte, ender man i, at "to a hammer, everything
> is a nail". Det er en utilgivelig fejl i enhver sikkerhedsmæssig
> sammenhæng.

Metaforer er også en utilgivelig fejl...

> Jeg skal ikke kunne sige, om de eksisterende diskussioner er
> relevante - men de er aldeles irrelevante for mig og de aspekter
> af IT-sikkerhed, jeg arbejder med til daglig.

I mit univers, er diskussioner interessante, fordi at lige meget hvor
meget man tror man ved eller har fastslået, er der altid lige en ny
vinkel på en sag ell. et problem. Og altid en, der er bedre end
dig...ydmyghed og viljen til at lære nyt, er et centralt nøgleord for mig!

> Så tak for denne gang - jeg håber, at diskussionerne fører til
> god sikkerhed trods alle odds.
>
> Mvh.
>    Klaus.

Ja mon ikke...

mvh
/michael

---

Klaus Ellegaard wrote:

> Jeg skal ikke kunne sige, om de eksisterende diskussioner er
> relevante - men de er aldeles irrelevante for mig og de aspekter
> af IT-sikkerhed, jeg arbejder med til daglig.

Siden du ikke bare afmelder gruppen, fornemmer jeg en generel kritik
af gruppen.
Jeg synes generelt usenets tekniske grupper har en tendens til at
tiltrække konkrete problemstillinger frem for mere teoretiske emner. Om
de praktiske løsninger udspringer af en gennemtænkt politik eller "so
ein Ding muss Ich auch haben" skal jeg ikke gætte på her.
Min fornemmelse er dog, at der er en del deltagere i gruppen, som I
forskelligt omfang vil have grundlag for at gå ind i de debatter, du
efterlyser. Jeg fristes derfor til at spørge hvor dine debat-oplæg blev
af?

M.v.h.

Jonathan

--
Er din e-mail vigtig? Er du træt af virus og spam i mailen?
Virus-scanning og spam-filtrering på alle mail-konti. På redundant
mail-setup med daglig backup.
http://www.jsp-hotel.dk/

---

On 2003-10-01,
Klaus Ellegaard <klausellegaard@msn.com> wrote:
....
> Et udmærket eksempel er VPN over Ethernet. Risikoen for, at et
> firma får en gut på besøg, der har held til at gemme sig længe
> nok, installere en switching-omgående sniffer og har held nok
> til at trække noget fornuftigt ud, er i størrelsesorden én til
> en milliard.

Men skaden kan være stor, og muligheden er der ofte.
Og det er bare at efterlade en maskine på LAN'et.

> Risikoen for, at de samme data kan stjæles ved et indbrud, er
> måske én til tusind.

Sandsyligheden for at tyven får data med er stor. Sandsynligheden
for at han bruger dem er lille.
>
> Det er derfor bogstaveligt talt en million gange vigtigere at
> ansætte døgnbemanding i vagtstuen, tremmer for vinduerne,
> bevægelsessensorer på ydermurene og et velfungerende ID-system
> til de ansatte.

Dette er fysisk sikkerhed. Det er langt fra altid placeret hos
de samme personer der står for IT Sikkerhed.

ID systemet virker nok ikke, og social engineering er den
bedste måde at lave ulovlig indtrængen på. Det er eksempelvis
lykkedes mig i min tid i forsvaret på denne måde at få fysisk
adgang til lokaliteter hvor jeg ikke skulle have adgang. Dette
selvom de vidste der var en ovelse i gang.

Det er vigtigt at brugerne er bevidste om deres ansvar.

> At man overhovedet diskuterer VPN på Ethernet i den kontekst,
> er et tydeligt tegn på, at begrebet sikkerhed er misforstået
> på et så grundlæggende niveau, at der ikke er noget at bygge
> videre på. Det VIL gå galt for den virksomhed før eller senere,
> og VPN'et er udelukkende fordyrende tidsspilde. Det er ikke
> engang falsk sikkerhed, for det giver slet ingen sikkerhed.

Men man skal have et fundament i orden. Hvis man har lås på
serverrummet, så kan man begynde at se på firewalls, internet
forbindelse nedkoling, nodstrom etc.

> Et andet eksempel er den føromtalte hardware-stump. Intet er i
> sikkerhedsmæssig sammenhæng mere ligegyldigt end hardware. Der
> findes ikke en eneste hardwarestump, der kan løse et firmas
> sikkerhedsmæssige problemer. Det kan indgå som en forholdsvis
> ubetydelig delkomponent - mens sikkerhedspolitik, procedurer og
> instruktioner er altafgørende, før man overhovedet begynder at
> tænke på hardware.

Jo. Man kommer langt med en skævbider. Det er en meget effektiv firewall.
Det går desværre ud over tilgængelighed :)

> Gør man det modsatte, ender man i, at "to a hammer, everything
> is a nail". Det er en utilgivelig fejl i enhver sikkerhedsmæssig
> sammenhæng.
>
> Jeg skal ikke kunne sige, om de eksisterende diskussioner er
> relevante - men de er aldeles irrelevante for mig og de aspekter
> af IT-sikkerhed, jeg arbejder med til daglig.

Det er korrekt at gruppen er for nordet.
>
> Så tak for denne gang - jeg håber, at diskussionerne fører til
> god sikkerhed trods alle odds.
>
> Mvh.
>    Klaus.

---

On Wed, 1 Oct 2003 21:36:28 +0000 (UTC), "Povl H. Pedersen"
<pope@home.terminal.dk> wrote:

>Det er korrekt at gruppen er for nordet.

Hm...

<slrnabee6l.647.nospam@home.terminal.dk>
<slrnaecg55.2k3.nospam@home.terminal.dk>
<slrnb3n5m1.pq.povlhp@povl-h-pedersens-computer.local>
<slrnadq3mb.6gr.nospam@home.terminal.dk>
<slrnad0hlr.2p2.nospam@home.terminal.dk>

Jeg vil nu indrømme, at jeg synes at Klaus har nogle væsentligt mere
interessante pointer end diverse fanboy-indlæg. Selvom han "smækker
med døren", er det én af de mere harmoniske dørsmæk, jeg har været
vidne til.

Grundlæggende set tror jeg, at folks indgangsvinkler er for
forskellige. Folk, der håner privatbrugeres idioti, ville være i
risiko for selv at blive hånet i dk.forbruger for at blande farver i
vaskemaskinen. Nogle indlæg bliver postet uden bekymring for om man
skyder forbi den mængde indsats, en spørger typisk ville emme af.

Selv synes jeg at dk.edb.netvaerk klarede opdelingen fint, og
d.e.n.stort er ret fornuftig. Måske kunne der være behov for en
d.e.s.server/corporate/>1pc/whatnot.

(fut: dk.admin)

--
- Peter Brodersen

Ugens sprogtip: i dag (og ikke idag)

---

On 2003-10-01,
Peter Brodersen <usenet@ter.dk> wrote:
> On Wed, 1 Oct 2003 21:36:28 +0000 (UTC), "Povl H. Pedersen"
><pope@home.terminal.dk> wrote:
>
>>Det er korrekt at gruppen er for nordet.
>
> Hm...
>
><slrnabee6l.647.nospam@home.terminal.dk>
>...

Man skal bruge det rigtige værktoj, og ikke en skruetrækker til at
slå som i med :)

Indholdet generer ikke mig som privatperson, men rent arbejdsmæssigt
er jeg enig om at det har begrænset anvendelse.

> Jeg vil nu indrømme, at jeg synes at Klaus har nogle væsentligt mere
> interessante pointer end diverse fanboy-indlæg. Selvom han "smækker
> med døren", er det én af de mere harmoniske dørsmæk, jeg har været
> vidne til.
>
> Grundlæggende set tror jeg, at folks indgangsvinkler er for
> forskellige. Folk, der håner privatbrugeres idioti, ville være i
> risiko for selv at blive hånet i dk.forbruger for at blande farver i
> vaskemaskinen. Nogle indlæg bliver postet uden bekymring for om man
> skyder forbi den mængde indsats, en spørger typisk ville emme af.

Jeg mener da også at det er betydning at man ikke redirecter mange
sporgsmål om konkrete utilities til relevante Windowsgrupper.
>
> Selv synes jeg at dk.edb.netvaerk klarede opdelingen fint, og
> d.e.n.stort er ret fornuftig. Måske kunne der være behov for en
> d.e.s.server/corporate/>1pc/whatnot.
>
> (fut: dk.admin)

Hvis det kan ændre fokus bare lidt herinde er det medre med fut hertil :)

---

In article <blf265$qd5$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
> God IT-sikkerhed bør handle om at nå et niveau, der fungerer
> for brugerne, giver en fornuftig, dokumentérbar sikkerhed på de
> relevante niveauer, sikrer AAA, kan klare en konstruktiv audit,
> har fornuftig eskalation og planer for eventuelle diasters.

Dejligt med et af de mere fornuftige indlaeg gennem laengere tid.

Det var endda et af de efterhaanden faa indlaeg der gjorde at
jeg saa tingene med et lidt andet perspektiv. Tak.

--
j.