---

Hej..

Er der nogen som kan anbefale en hardware firewall, som kan opfylde
følgende:
Håndtere trafik for 30-40 klienter på lokalnetværk.
Samtidig skal den kunne håndtere mere end 1 gateway - internetforbindelse
samt en forbindelse til et andet firma's netværk..
Samtidig vil det selvfølgelig være et plus hvis den samtidig kan håndtere
noget VPN..

Og så er der selvfølgelig kravet fra chefen om at den ikke skal koste en
milliard..

På forhånd tak..
Henrik

---

"Henrik Løvenhardt" <skrivikketilbage@internet.dk> wrote in message news:<bn0qfc$ni6$1@news.cybercity.dk>...
> Hej..
>
> Er der nogen som kan anbefale en hardware firewall, som kan opfylde
> følgende:
> Håndtere trafik for 30-40 klienter på lokalnetværk.
> Samtidig skal den kunne håndtere mere end 1 gateway - internetforbindelse
> samt en forbindelse til et andet firma's netværk..
> Samtidig vil det selvfølgelig være et plus hvis den samtidig kan håndtere
> noget VPN..
>
> Og så er der selvfølgelig kravet fra chefen om at den ikke skal koste en
> milliard..
>
> På forhånd tak..
> Henrik

Den her måske: http://www.tryus.dk/bitguard.asp
Prisen må i selv forhøre om:)
Leo

---

On 2003-10-20,
Henrik Løvenhardt <skrivikketilbage@internet.dk> wrote:
> Hej..
>
> Er der nogen som kan anbefale en hardware firewall, som kan opfylde
> følgende:
> Håndtere trafik for 30-40 klienter på lokalnetværk.
> Samtidig skal den kunne håndtere mere end 1 gateway - internetforbindelse
> samt en forbindelse til et andet firma's netværk..
> Samtidig vil det selvfølgelig være et plus hvis den samtidig kan håndtere
> noget VPN..
>
> Og så er der selvfølgelig kravet fra chefen om at den ikke skal koste en
> milliard..

En Cisco PIX-501 koster vist nok 5-7000 kr.

---

On Mon, 20 Oct 2003 16:12:20 +0200, Henrik Løvenhardt wrote:

> Samtidig vil det selvfølgelig være et plus hvis den samtidig kan håndtere
> noget VPN..

Netscreen kunne være et bud - eller en lille pix.

--
/Sonny - #include <std.disclaimer.h>

"I don't have an attitude problem, you have a perception problem."

---

"Henrik Løvenhardt" <skrivikketilbage@internet.dk> skrev i en meddelelse
news:bn0qfc$ni6$1@news.cybercity.dk...
> Hej..
>
> Er der nogen som kan anbefale en hardware firewall, som kan opfylde
> følgende:
> Håndtere trafik for 30-40 klienter på lokalnetværk.
> Samtidig skal den kunne håndtere mere end 1 gateway - internetforbindelse
> samt en forbindelse til et andet firma's netværk..
> Samtidig vil det selvfølgelig være et plus hvis den samtidig kan håndtere
> noget VPN..
>
> Og så er der selvfølgelig kravet fra chefen om at den ikke skal koste en
> milliard..
>

Husk lige at gøre op med dig selv om i får brug for DMZ, mange af de mindre
hardware firewalls understøtter det ikke.

Har selv kigget lidt på Symantecs produkter, ser spændende ud og der er
mulighed for intrusion detection, men jeg har ingen praktisk erfaring med
det.

Mvh Sophus Vørsing

---

En helt andet mulighed er fortinet´s firewall, som indeholder IDS,
antivirus, VPN (Site-2-Site, VPN klient-2-Site.)

Læs mere:
http://www.rantek.dk/produkter/fortinet.htm

- John

"Henrik Løvenhardt" <skrivikketilbage@internet.dk> skrev i en meddelelse
news:bn0qfc$ni6$1@news.cybercity.dk...
> Hej..
>
> Er der nogen som kan anbefale en hardware firewall, som kan opfylde
> følgende:
> Håndtere trafik for 30-40 klienter på lokalnetværk.
> Samtidig skal den kunne håndtere mere end 1 gateway - internetforbindelse
> samt en forbindelse til et andet firma's netværk..
> Samtidig vil det selvfølgelig være et plus hvis den samtidig kan håndtere
> noget VPN..
>
> Og så er der selvfølgelig kravet fra chefen om at den ikke skal koste en
> milliard..
>
> På forhånd tak..
> Henrik
>
>
>
>
>
>
>
>
>
>
>
>

---

Skovgaard <john.skovgaard@post.tele.dk> wrote:
> En helt andet mulighed er fortinet´s firewall, som indeholder IDS,
> antivirus, VPN (Site-2-Site, VPN klient-2-Site.)

Hvad er der blevet af Principle of Least Complexity? En firewall boer
ikke lave andet end at filtre pakker. Hvorfor nu blande IDS og antivirus
software ind i det hele?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

On Tue, 21 Oct 2003 21:21:28 +0200, Alex Holst wrote:

> Hvad er der blevet af Principle of Least Complexity? En firewall boer
> ikke lave andet end at filtre pakker. Hvorfor nu blande IDS og antivirus
> software ind i det hele?

Det er formodentligt ikke nok at markedsføre sig med filter-options.

Der skal features til, og mange af dem.

--
/Sonny - #include <std.disclaimer.h>

"I don't have an attitude problem, you have a perception problem."

---

"Sonny T. Larsen" wrote:
>
> On Tue, 21 Oct 2003 21:21:28 +0200, Alex Holst wrote:
>
> > Hvad er der blevet af Principle of Least Complexity? En firewall boer
> > ikke lave andet end at filtre pakker. Hvorfor nu blande IDS og antivirus
> > software ind i det hele?
>
> Det er formodentligt ikke nok at markedsføre sig med filter-options.
>
> Der skal features til, og mange af dem.

Hvis det skal gøres godt skal det gøres med uafhængige moduler.
Boxen kunne bestå af et antal pakke filtrerings moduler. Internt
forbindes modulerne med gbit netværk eller noget i den retning.
Hvert modul har sin egen interne konfigurationsport, som i
hardware garanterer envejskommunikation fra et centralt modul
hvis eneste opgave er at opbevare konfigurationen. Den eksterne
konfiguationsport skal naturligvis være forbundet til dette
modul. Jeg forestiller mig, at alle filter modulerne er forbundet
til en intern gbit hub, som sender alle pakker over en garanteret
envejs forbindelse til IDS modulet, som har en seperat ekstern
forbindelse til aflæsning af logs o.l. Hvis man ønsker VPN og
antivirus i samme box laves de på et eller flere interne DMZ ben.
Desuden kan boxen have et ekstern DMZ ben.

Altså noget, der skematisk set ser ca. sådan her ud.

|
filter
|
+-------+
+--- filter --| |-- filter -- Antivirus
VPN | HUB |
+--- filter --| |-- filter ----------------
+-------+
| |
Configuration filter +------ IDS ---------------
| |

Her er de fem eksterne ben hhv. internt segment, DMZ segment,
eksternt segment, IDS port, og konfigurations port. Så er der
taget højde for sikkerheden ved at sikre, at hver eneste modul
i sig selv er simpelt. Og den er fyldt med features. Men det
ville nok blive dyrt at lave sådan en box. Og hvem ville købe
den, når hele pointen netop er, at den lige så godt kunne laves
af uafhængige komponenter.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <slrnbpb2r9.pdo.sonny@bofh.nerdheaven.dk>,
Sonny T. Larsen wrote:

> Det er formodentligt ikke nok at markedsføre sig med filter-options.
>
> Der skal features til, og mange af dem.

Det kalder jeg ''featuritis''. Det er en meget farlig sygdom, der for
det meste bryder ud hos boern. ''Min far har bare en stoerre bil end
din far'' er ofte set i boernehaven og er et udtryk for featuritis
i foerste fase. Herefter gaar sygdommen i dvale.

Naar der saa er gaaet 20 aar, saa blusser den op igen. Voldsomt. Og
der er desvaerre visse virksomheder der lukrerer paa folk der intet-
anende i boernehaven blev smittet. Dette er kendt som den anden fase.

Tredie fase er saa der hvor man opdager at det er helt forkert. Man
slipper for sygdommen, men bliver efterladt med staerke depressive
men over at have tabt saa mange penge paa ''features'' og samtidigt
har udsat sig selv for stoerre sikkerhedsfare fordi man ikke
har fulgt least-principle-of-complexity.

--
j.

---

Alex Holst wrote:

> Skovgaard <john.skovgaard@post.tele.dk> wrote:
>
>>En helt andet mulighed er fortinet´s firewall, som indeholder IDS,
>>antivirus, VPN (Site-2-Site, VPN klient-2-Site.)
>
>
> Hvad er der blevet af Principle of Least Complexity? En firewall boer
> ikke lave andet end at filtre pakker. Hvorfor nu blande IDS og antivirus
> software ind i det hele?
>

Jeg tror det er lidt som fascinationen af stereo-anlæg med masser af
blinkende LED's, grafiske mig her-og-der, dolby 5000 osv osv.

Hvis man med fare for liv og førlighed *skal* blande en analogi ind i
sikkerhedsdebatten, er det nuværende niveau i tilgangen til sikring af
datatrafik, ikke helt ulig et konfirmations-anlæg til 999,- fra Bilka:

Masser af kulørt plastic og kulørte festlamper, men ikke så meget reelt
indhold...

/mvh
michael

---

"Michael U. Hove" <pots_72@e-mail.dk> wrote in message
news:bn43lv$2pk6$1@news.cybercity.dk...
> Alex Holst wrote:
>
> > Skovgaard <john.skovgaard@post.tele.dk> wrote:
> >
> >>En helt andet mulighed er fortinet´s firewall, som indeholder IDS,
> >>antivirus, VPN (Site-2-Site, VPN klient-2-Site.)
> >
> >
> > Hvad er der blevet af Principle of Least Complexity? En firewall boer
> > ikke lave andet end at filtre pakker. Hvorfor nu blande IDS og antivirus
> > software ind i det hele?
> >
>
> Jeg tror det er lidt som fascinationen af stereo-anlæg med masser af
> blinkende LED's, grafiske mig her-og-der, dolby 5000 osv osv.
>
> Hvis man med fare for liv og førlighed *skal* blande en analogi ind i
> sikkerhedsdebatten, er det nuværende niveau i tilgangen til sikring af
> datatrafik, ikke helt ulig et konfirmations-anlæg til 999,- fra Bilka:
>
> Masser af kulørt plastic og kulørte festlamper, men ikke så meget reelt
> indhold...
>
> /mvh
> michael
>

Hmm - man kan sige meget for og imod at have en "mixed" enhed, der kan flere
ting.

Et krav må dog være, at boksen - hvad så ellers det er for en - er testet af
et uafhængigt organ som feks. ICSA labs !

Jeg betragter Borderware firewall som noget af det sikreste (Application
level firewall) - og selv dén kan andet end at være firewall idag.

Det er simpelthen et krav fra brugerne at tingene skal kunne mere end én
ting.

Ret beset synes jeg det er mere relevant at kigge på, om leverandøren af
firewalldelen også er den der leverer OS-delen til det samlede Firewall
system således man kun har et sted at henvende sig, hvis der er problemer og
således man ikke får "mudderkastning" mellem firewalldelleverandøren og
operativsystemleverandøren, hvis noget ikke virker.

Hvis jeg endelig SKAL vælge side - hælder jeg mest til én boks til hver
ting - men ikke for enhver pris.

mvh
Henrik Rask Mortensen

--
Dette indlæg er sendt som privatperson og afspejler ikke nødvendigvis
holdningen i det firma jeg arbejder for.

Indlægget er heller ikke på nogen måde sendt for at genere nogen eller bryde
nogens regler - skrevne eller uskrevne.

---

Hej

Det er selvfølgelig altid en god ide at kigge på test og uafhængig
organisationer såsom ICSA labs.

Lige netop ICSA labs har givet FortiGate certificat på :

På firewall:
http://www.icsalabs.com/html/communities/firewalls/newsite/certification//vendors_4/fortinet/index.shtml

IPSEC:
http://www.icsalabs.com/html/communities/ipsec/certification/certified_products/index.shtml

Det sammen gælder IDS.

- John

Produktet har også fået det på intrusion detection, IDS,

"Henrik Rask Mortensen" <henrikrask@mail.dk> skrev i en meddelelse
news:v%glb.11205$jf4.613526@news000.worldonline.dk...
>
> "Michael U. Hove" <pots_72@e-mail.dk> wrote in message
> news:bn43lv$2pk6$1@news.cybercity.dk...
> > Alex Holst wrote:
> >
> > > Skovgaard <john.skovgaard@post.tele.dk> wrote:
> > >
> > >>En helt andet mulighed er fortinet´s firewall, som indeholder IDS,
> > >>antivirus, VPN (Site-2-Site, VPN klient-2-Site.)
> > >
> > >
> > > Hvad er der blevet af Principle of Least Complexity? En firewall boer
> > > ikke lave andet end at filtre pakker. Hvorfor nu blande IDS og
antivirus
> > > software ind i det hele?
> > >
> >
> > Jeg tror det er lidt som fascinationen af stereo-anlæg med masser af
> > blinkende LED's, grafiske mig her-og-der, dolby 5000 osv osv.
> >
> > Hvis man med fare for liv og førlighed *skal* blande en analogi ind i
> > sikkerhedsdebatten, er det nuværende niveau i tilgangen til sikring af
> > datatrafik, ikke helt ulig et konfirmations-anlæg til 999,- fra Bilka:
> >
> > Masser af kulørt plastic og kulørte festlamper, men ikke så meget reelt
> > indhold...
> >
> > /mvh
> > michael
> >
>
> Hmm - man kan sige meget for og imod at have en "mixed" enhed, der kan
flere
> ting.
>
> Et krav må dog være, at boksen - hvad så ellers det er for en - er testet
af
> et uafhængigt organ som feks. ICSA labs !
>
> Jeg betragter Borderware firewall som noget af det sikreste (Application
> level firewall) - og selv dén kan andet end at være firewall idag.
>
> Det er simpelthen et krav fra brugerne at tingene skal kunne mere end én
> ting.
>
> Ret beset synes jeg det er mere relevant at kigge på, om leverandøren af
> firewalldelen også er den der leverer OS-delen til det samlede Firewall
> system således man kun har et sted at henvende sig, hvis der er problemer
og
> således man ikke får "mudderkastning" mellem firewalldelleverandøren og
> operativsystemleverandøren, hvis noget ikke virker.
>
> Hvis jeg endelig SKAL vælge side - hælder jeg mest til én boks til hver
> ting - men ikke for enhver pris.
>
> mvh
> Henrik Rask Mortensen
>
> --
> Dette indlæg er sendt som privatperson og afspejler ikke nødvendigvis
> holdningen i det firma jeg arbejder for.
>
> Indlægget er heller ikke på nogen måde sendt for at genere nogen eller
bryde
> nogens regler - skrevne eller uskrevne.
>
>
>

---

In article <bn43lv$2pk6$1@news.cybercity.dk>, Michael U. Hove wrote:
> Masser af kulørt plastic og kulørte festlamper, men ikke så meget reelt
> indhold...

http://www21.br-leg.dk/Store?ProductId=607957

---

Christian E. Lysel wrote:
> http://www21.br-leg.dk/Store?ProductId=607957

Man kan endda få 30 af dem, istedet for en 7000kr's firewall ..

// Hans, der godt ved hvad han ville vælge ...
--
Jeg - og andre - bliver gladest hvis man følger retningslinierne
på http://www.usenet.dk/netikette/ .. på forhånd tak :)

---

On Tue, 21 Oct 2003 21:21:28 +0200, Alex Holst <a@mongers.org>
wrote:

> Hvad er der blevet af Principle of Least Complexity?

Marketingfolkene begyndte at skrive kravsspecs, tror jeg: "Box A
kan X, box B kan Y og box C kan Z, så vores box skal naturligvis
kunne det hele. Det ser bedst ud på et data sheet".

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark <Asbjorn@hojmark.org> wrote:
> On Tue, 21 Oct 2003 21:21:28 +0200, Alex Holst <a@mongers.org>
> wrote:
>
>> Hvad er der blevet af Principle of Least Complexity?
>
> Marketingfolkene begyndte at skrive kravsspecs, tror jeg: "Box A
> kan X, box B kan Y og box C kan Z, så vores box skal naturligvis
> kunne det hele. Det ser bedst ud på et data sheet".

Er der andre der så bliver set på med mistro når man har kastet det 10.
produkt ud fordi det er for kompliceret til at man kan have en rimelig
forventning om at produktet fortsat vil virke som forventet når det
bliver sat overfor en viljestærk og teknisk dygtig modstander?

"Jamen, Alex, alle de andre benytter det jo?"

Jeg tror det næste store tema her i gruppen skal være hvordan man taler
med beslutningstagere og på en eller anden måde minder dem om hvorfor de
har ansat en, og at man måske har lidt bedre forståelse for den aktuelle
situation end en tilfældig journalist der kan lidt med en computer.

Mere specifikt, hvad gør man, når man siger "Jeg har brug for data om
Foo for at kunne rådgive korrekt om Bar," og svaret er "Det er for
besværligt for os, at finde svaret på dine spørgsmål. Find på noget."

Hvordan overbeviser man en ledelse om, at man blot vil det bedste for
deres virksomhed og at man sagtens kan rådgive, men uden en konkret
forståelse af virksomhedens værdier er det meget sandsynligt at man
tager fejl?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:
> Asbjorn Hojmark <Asbjorn@hojmark.org> wrote:

[snip]

> Er der andre der så bliver set på med mistro når man har kastet det 10.
> produkt ud fordi det er for kompliceret til at man kan have en rimelig
> forventning om at produktet fortsat vil virke som forventet når det
> bliver sat overfor en viljestærk og teknisk dygtig modstander?

I høj grad, jeg arbejder p.t. på at udskifte en færdigkøbt FW-box med en
"hjemme-lavet" OS-firewall, fordi jeg er af den - måske arrogante -
opfattelse, at jeg er istand til at opbygge en ligeså god ell. bedre FW,
som en kommerciel producent. Samtidig vil jeg have 100% kontrol over
box'ens hardware + software ned til den sidste skrue.

Projektet er i midlertid blevet stoppet, fordi ledelsen ikke ønsker en
"hobby-løsning", og et eksternt konsulent firma, har anbefalet et
name-brand med endnu flere blinkende kulørte lamper...

> "Jamen, Alex, alle de andre benytter det jo?"
>
> Jeg tror det næste store tema her i gruppen skal være hvordan man taler
> med beslutningstagere og på en eller anden måde minder dem om hvorfor de
> har ansat en, og at man måske har lidt bedre forståelse for den aktuelle
> situation end en tilfældig journalist der kan lidt med en computer.

Faktisk oplever jeg gang på gang, at "the human factor" er en væsentlig
større risikofaktor, end diverse hardware/software sårbarheder. Hvis jeg
nu ved at jeg *har* ret, og ikke formår at få ledelsen til at handle
udfra det, er ledelsen selv en risikofaktor...men det er min skyld hvis
det går galt!

At overbevise ikke-teknikere (læs ledelse) om at vælge en anden rute end
flertallet, er i virkeligheden en lige så stor udfordring og væsentlig
del af den samlede sikkerhedsindsats, som at holde virksomhedens net
virus/spam/cracker/datatab - frit.

> Mere specifikt, hvad gør man, når man siger "Jeg har brug for data om
> Foo for at kunne rådgive korrekt om Bar," og svaret er "Det er for
> besværligt for os, at finde svaret på dine spørgsmål. Find på noget."

Hvis det er en bestilt audit/pen-test/analyse, må virksomhedens ledelse
vel selv tage ansvaret for at mangelfuld/tilbageholdt information leder
til mangelfuld sikkerhed.

> Hvordan overbeviser man en ledelse om, at man blot vil det bedste for
> deres virksomhed og at man sagtens kan rådgive, men uden en konkret
> forståelse af virksomhedens værdier er det meget sandsynligt at man
> tager fejl?
>

Prøver at forklare, at sikkerhed er en total proces, der bør inkorporere
virksomhedens samlede aktiviteter, og deraf følgende eksponering af
sårbarheder.

At sikkerhed ikke handler om sorte boxe, men er en aktiv holdning, mere
end en endegyldig løsning. (Måske en kliche i sikkerhedskredse, men
langtfra en realitet på bestyrelsernes bonede gulve!)

Og tvinger så (med trusler om installation af Zonealarm på deres
IIS-Server) ledelsen til at læse Schneiers "Secrets & Lies"og Andersons
"Security Engineering"

- Den sidste måske ikke så realistisk...

/mvh
michael

---

Michael U. Hove <pots_72@e-mail.dk> wrote:
> Prøver at forklare, at sikkerhed er en total proces, der bør inkorporere
> virksomhedens samlede aktiviteter, og deraf følgende eksponering af
> sårbarheder.

For et par uger siden bad jeg et medlem af ledelsen om at laese de
foerste par linier bag paa "Information Security Risk Analysis" der
siger man ikke blindt kan koebe sig til sikkerhed, man skal forstaa
virksomhedens vaerdier. Svaret var "Det er jeg skam klar over," og i
naesten samme aandedrag: "Det produkt vi snakkede om i gar.."

Nogle gange ved jeg virkeligt ikke hvor jeg skal starte.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:
> Michael U. Hove <pots_72@e-mail.dk> wrote:
>
>>Prøver at forklare, at sikkerhed er en total proces, der bør inkorporere
>>virksomhedens samlede aktiviteter, og deraf følgende eksponering af
>>sårbarheder.
>
>
> For et par uger siden bad jeg et medlem af ledelsen om at laese de
> foerste par linier bag paa "Information Security Risk Analysis" der
> siger man ikke blindt kan koebe sig til sikkerhed, man skal forstaa
> virksomhedens vaerdier. Svaret var "Det er jeg skam klar over," og i
> naesten samme aandedrag: "Det produkt vi snakkede om i gar.."
>
> Nogle gange ved jeg virkeligt ikke hvor jeg skal starte.
>

Et muligt skridt i den rigtige retning kunne være at arbejde mod en
ISO17799-certificering:

ISO 17799: "Management should set a clear policy direction and
demonstrate support for, and commitment to, information security through
the issue and maintenance of an information security policy across the
organization"

Klarere bliver det vist ikke...

De færreste virksomheder i DK er nok modne til en så omfattende
commitment til sikkerhed, men som en vejviser til fremtidige krav til
informationssikkerhed, er standarden ikke til at komme uden om.

http://www.iso-17799.com/

http://www.iso17799-made-easy.com/

/mvh
michael

---

"Michael U. Hove" <pots_72@e-mail.dk> wrote in message
news:bn6m80$pfe$1@news.cybercity.dk...
> Alex Holst wrote:
> > Michael U. Hove <pots_72@e-mail.dk> wrote:
> >
> >>Prøver at forklare, at sikkerhed er en total proces, der bør inkorporere
> >>virksomhedens samlede aktiviteter, og deraf følgende eksponering af
> >>sårbarheder.
> >
> >
> > For et par uger siden bad jeg et medlem af ledelsen om at laese de
> > foerste par linier bag paa "Information Security Risk Analysis" der
> > siger man ikke blindt kan koebe sig til sikkerhed, man skal forstaa
> > virksomhedens vaerdier. Svaret var "Det er jeg skam klar over," og i
> > naesten samme aandedrag: "Det produkt vi snakkede om i gar.."
> >
> > Nogle gange ved jeg virkeligt ikke hvor jeg skal starte.
> >
>
> Et muligt skridt i den rigtige retning kunne være at arbejde mod en
> ISO17799-certificering:
>
> ISO 17799: "Management should set a clear policy direction and
> demonstrate support for, and commitment to, information security through
> the issue and maintenance of an information security policy across the
> organization"
>
> Klarere bliver det vist ikke...
>
> De færreste virksomheder i DK er nok modne til en så omfattende
> commitment til sikkerhed, men som en vejviser til fremtidige krav til
> informationssikkerhed, er standarden ikke til at komme uden om.
>
> http://www.iso-17799.com/
>
> http://www.iso17799-made-easy.com/
>
> /mvh
> michael
>

Her er jeg enig - det kunne da også være Dansk Norm for EDB-sikkerhed
(DS.484-1 og -2), men selvfølgelig er man i et firma, der begår sig
udenlands er ISO 17799 nok den mest anerkendte.

Jeg synes imidlertid den er meget lidt operationél - altså ikke let
tilgængelig at omsætte til noget der kan bruges i dagligdagen (men det er
nok fordi jeg ikke kender den godt nok)

ISF - Standard of good practice er, efter min mening, opnåelig i praksis da
det er god praksis der beskrives og ikke bedste praksis- den er udarbejdet
af erfaringer fra godt 200 firmaer og organisationer fra hele verden og min
erfaring er, at den kan bruges umiddelbart. Jeg vil næsten påstå, at hvis
man følger den, vil man også kunne blive certificeret efter ISO eller DS !

Hvad man bedst kan li´ er selvfølgelig individuel og jeg vil ikke dømme
nogen af disse standarder ud - de er alle gode værktøjer og man kan fra dem
få mange argumenter til sin ledelse, hvis ikke de helt er med på ideen om
IT-sikkerhed !

mvh
Henrik


--
Dette indlæg er sendt som privatperson og afspejler ikke nødvendigvis
holdningen i det firma jeg arbejder for.

Indlægget er heller ikke på nogen måde sendt for at genere nogen eller bryde
nogens regler - skrevne eller uskrevne.

---

Michael U. Hove <pots_72@e-mail.dk> wrote:
> Alex Holst wrote:
>> Michael U. Hove <pots_72@e-mail.dk> wrote:
>>
>>>Prøver at forklare, at sikkerhed er en total proces, der bør inkorporere
>>>virksomhedens samlede aktiviteter, og deraf følgende eksponering af
>>>sårbarheder.
>>
>>
>> For et par uger siden bad jeg et medlem af ledelsen om at laese de
>> foerste par linier bag paa "Information Security Risk Analysis" der
>> siger man ikke blindt kan koebe sig til sikkerhed, man skal forstaa
>> virksomhedens vaerdier. Svaret var "Det er jeg skam klar over," og i
>> naesten samme aandedrag: "Det produkt vi snakkede om i gar.."
>
> Et muligt skridt i den rigtige retning kunne være at arbejde mod en
> ISO17799-certificering:
[..]

Jeg ved ikke helt hvordan en standard skal kunne loese ovenstaaende
kommunikations/forstaaelse/noget problem. Jo mere jeg taenker over det,
jo mere villig er jeg til at afskrive det som almindelig inkompetence
eller dovenhed. Naar man saa hurtigt gaar fra at udtrykke forstaaelse
til at udvise totalt mangel paa samme ved jeg ikke hvad det ellers
skulle vaere. Ovenstaaende er ikke et enkeltstaaende tilfaelde.

Maaske jeg skulle fordybe mig i transaktionsanalyse et stykke tid.

Den paagaeldende organisation har ioevrigt arbejdet mod ITIL paa meget
svagt blus i noget tid, men der er aldrig blevet gjort noget serioest ud
af indsatsen. (ITIL indeholder et ganske fornuftigt framework for
security management.)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Alex Holst" <a@mongers.org> wrote in message
news9j61-cpb.ln1@miracle.mongers.org...
> Michael U. Hove <pots_72@e-mail.dk> wrote:
> > Alex Holst wrote:
> >> Michael U. Hove <pots_72@e-mail.dk> wrote:
> >>
> >>>Prøver at forklare, at sikkerhed er en total proces, der bør
inkorporere
> >>>virksomhedens samlede aktiviteter, og deraf følgende eksponering af
> >>>sårbarheder.
> >>
> >>
> >> For et par uger siden bad jeg et medlem af ledelsen om at laese de
> >> foerste par linier bag paa "Information Security Risk Analysis" der
> >> siger man ikke blindt kan koebe sig til sikkerhed, man skal forstaa
> >> virksomhedens vaerdier. Svaret var "Det er jeg skam klar over," og i
> >> naesten samme aandedrag: "Det produkt vi snakkede om i gar.."
> >
> > Et muligt skridt i den rigtige retning kunne være at arbejde mod en
> > ISO17799-certificering:
> [..]
>
> Jeg ved ikke helt hvordan en standard skal kunne loese ovenstaaende
> kommunikations/forstaaelse/noget problem. Jo mere jeg taenker over det,
> jo mere villig er jeg til at afskrive det som almindelig inkompetence
> eller dovenhed. Naar man saa hurtigt gaar fra at udtrykke forstaaelse
> til at udvise totalt mangel paa samme ved jeg ikke hvad det ellers
> skulle vaere. Ovenstaaende er ikke et enkeltstaaende tilfaelde.
>
> Maaske jeg skulle fordybe mig i transaktionsanalyse et stykke tid.
>
> Den paagaeldende organisation har ioevrigt arbejdet mod ITIL paa meget
> svagt blus i noget tid, men der er aldrig blevet gjort noget serioest ud
> af indsatsen. (ITIL indeholder et ganske fornuftigt framework for
> security management.)
>
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.mongers.org

Jeg tror problemet er generelt hos langt de fleste - og problemet, hvad er
det så:

Ledelserne rundt omkring tror stadig IT-sikkerhed er ngoet der skal foregå i
IT-driftafdelingen.

Det er det IKKE efter min mening - IT-Sikkerhed skal starte og udspringe som
en strategisk beslutning i ledelsen akkurat som de laver budgetter,
forretningsstrategier osv.

Hvis pågældende firma mener noget seriøst med ITIL burde de også forstå det
med IT-sikkerhed. Jeg vil næsten påstå,a t hvis man har indført ITIL
principperne kommer IT-sikkerheden for en stor dels vedkommende med helt
"gratis"

Mvh
Henrik


--
Dette indlæg er skrevet og sendt privat af mig og har på ingen måde
tilknytning til det firma jeg arbejder for og er som sådan heller ikke
nødvendigvis et udtryk for dette firma´s holdninger.

---

Henrik Rask Mortensen <henrikrask@mail.dk> wrote:
> Jeg tror problemet er generelt hos langt de fleste - og problemet, hvad er
> det så:
>
> Ledelserne rundt omkring tror stadig IT-sikkerhed er ngoet der skal foregå i
> IT-driftafdelingen.

Ja, men *hvordan* formidler man det til den slags personer jeg har
beskrevet? Jeg savner input fra skribenter der har været i samme
situation men for hvem det er lykkedes at få ledelsen til at forstå, at
der skal mere end snak til. Når vi kun snakker eller lægger planer er
ledelsen 100% enig med mig, men når jeg rent faktisk skal bruge
information om virksomheden til at danne et beslutningsgrundlag, eller
jeg forslår ændringer til procedurer eller systemer sker der intet.

Organisationen *tror* på at IT sikkerhed er vigtigt, der er blot ikke
vilje og support til at gøre noget ved det.

Hvilke magiske ord får den slags mennesker til at følge igennem på
aftaler?

> Hvis pågældende firma mener noget seriøst med ITIL burde de også forstå det
> med IT-sikkerhed. Jeg vil næsten påstå,a t hvis man har indført ITIL
> principperne kommer IT-sikkerheden for en stor dels vedkommende med helt
> "gratis"

Ja, det har man så ikke endnu. (Altså indført ITIL).

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Alex Holst" <a@mongers.org> wrote in message
news:h8jk61-m9n.ln1@miracle.mongers.org...
> Henrik Rask Mortensen <henrikrask@mail.dk> wrote:
> > Jeg tror problemet er generelt hos langt de fleste - og problemet, hvad
er
> > det så:
> >
> > Ledelserne rundt omkring tror stadig IT-sikkerhed er ngoet der skal
foregå i
> > IT-driftafdelingen.
>
> Ja, men *hvordan* formidler man det til den slags personer jeg har
> beskrevet? Jeg savner input fra skribenter der har været i samme
> situation men for hvem det er lykkedes at få ledelsen til at forstå, at
> der skal mere end snak til. Når vi kun snakker eller lægger planer er
> ledelsen 100% enig med mig, men når jeg rent faktisk skal bruge
> information om virksomheden til at danne et beslutningsgrundlag, eller
> jeg forslår ændringer til procedurer eller systemer sker der intet.
>
> Organisationen *tror* på at IT sikkerhed er vigtigt, der er blot ikke
> vilje og support til at gøre noget ved det.
>
> Hvilke magiske ord får den slags mennesker til at følge igennem på
> aftaler?
>
> > Hvis pågældende firma mener noget seriøst med ITIL burde de også forstå
det
> > med IT-sikkerhed. Jeg vil næsten påstå,a t hvis man har indført ITIL
> > principperne kommer IT-sikkerheden for en stor dels vedkommende med helt
> > "gratis"
>
> Ja, det har man så ikke endnu. (Altså indført ITIL).
>
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.mongers.org


Jeg tror *desværre* at den eneste måde er, at en person der har forstand på
IT-sikkerhed også får forstand på psykologi, politik og salgsteknik. Hvis du
kan disse ting også og samtidig har en enorm tålmodighed - ja så tror jeg du
har en chance

Der findes ikke noget universalmiddel. Jeg deltog i et kursus i foråret -
"Selling security to senior management" - jeg havde håbet her at få nogle
af de magiske ord du efterlyser - men fik det ikke. Til gengæld blev jeg
klar over, at det er nødvendigt at være lommepsykolog, politiker og
salgsekspert med alt hvad dertil følger. Hvis du er det, tror jeg som sagt
du er godt stillet.

Henrik

---

"Alex Holst" <a@mongers.org> wrote in message
news:h8jk61-m9n.ln1@miracle.mongers.org

> Ja, men *hvordan* formidler man det til den slags personer jeg har
> beskrevet? Jeg savner input fra skribenter der har været i samme
> situation men for hvem det er lykkedes at få ledelsen til at forstå,

Desværre er jeg bange for at der ikke er ret mange af slagsen. Måske er
problemet at en reel forståelse af problemet forudsætter en vis fordybelse.
Min oplevelse er, at beslutningstagerne (dem, der for alvor har noget at
skulle have sagt) foretrækker et 'abstract' så snart det handler om
ITbeslutninger. Og jeg tror at det er ret normalt at folk med indsigt nægter
at reducere udtalelser til et 'abstract' - hvorfor ledelsen
informationsleverandører ofte bliver sagsbehandlertyperne (hos er de som
regel DJØF'ere), folk for hvem succes ikke er substansen i en indstilling,
men hvor smertefrit, den går gennem systemet. Vi andre udtrykker os alt for
nuanceret - hvilket opfattes som overflødig komplicering i stedet for at man
erkender at problemerne reelt ikke lader sig beskrive på en halv A4side.

> at
> der skal mere end snak til. Når vi kun snakker eller lægger planer er
> ledelsen 100% enig med mig, men når jeg rent faktisk skal bruge
> information om virksomheden til at danne et beslutningsgrundlag, eller
> jeg forslår ændringer til procedurer eller systemer sker der intet.

Jeg oplever gang på gang den enorme afstand der er mellem erklærede
hensigter og viljen til at acceptere konsekvenserne af at efterleve disse.

> Hvilke magiske ord får den slags mennesker til at følge igennem på
> aftaler?

"Det kommer i Ekstrabladet" kan i en begrænset periode virke - men som regel
fanges processen på et eller andet tidspunkt af en bureaukrat - hvorefter
substansen går tabt.


Vh
Jan

---

Alex Holst wrote:

> Henrik Rask Mortensen <henrikrask@mail.dk> wrote:
>
>>Jeg tror problemet er generelt hos langt de fleste - og problemet, hvad er
>>det så:
>>
>>Ledelserne rundt omkring tror stadig IT-sikkerhed er ngoet der skal foregå i
>>IT-driftafdelingen.
>
>
> Ja, men *hvordan* formidler man det til den slags personer jeg har
> beskrevet? Jeg savner input fra skribenter der har været i samme
> situation men for hvem det er lykkedes at få ledelsen til at forstå, at
> der skal mere end snak til. Når vi kun snakker eller lægger planer er
> ledelsen 100% enig med mig, men når jeg rent faktisk skal bruge
> information om virksomheden til at danne et beslutningsgrundlag, eller
> jeg forslår ændringer til procedurer eller systemer sker der intet.

Virksomheder styres af mennesker, mennesker er generelt dovne og
ignorante...dovenskab, ignorance og IT-sikkerhed går dårligt sammen.

> Organisationen *tror* på at IT sikkerhed er vigtigt, der er blot ikke
> vilje og support til at gøre noget ved det.

Jeg tror at IT-sikkerhed som "pratisk videnskab" har det væsentlige
problem, at truslerne er for fjerne for den jævne leder.

Medmindre vedkommende rent faktisk *er* interesseret i OSI modeller og
RFC læsning, er det nok svært med evnen til at forstå "ham
sikkerhedsnørden".

Jeg tror endvidere ikke at det er mangel på vilje, men snarere at IT
sikkerhed er en proaktiv proces i en reaktiv verden.

Indtil en incident rent faktisk indtræffer, er IT sikkerhed bare endnu
en udgift i en presset økonomi. Først hvis noget rent faktisk sker, kan
udgiften retfærdiggøres, hvorimod det nye ERP/CRM/CMS/SAP - whatever
giver resultater her og nu.

> Hvilke magiske ord får den slags mennesker til at følge igennem på
> aftaler?

Hvis jeg vidste det, ville jeg komme dem på flaske og sælge dem til
højestbydende...

Desværre er fornøjelsen ved at kunne råbe "I TOLD YOU SO DIDN'T I!!!",
ikke så stor, når man ved at det i sidste ende er ens egen r.., der
kommer i klemme.

/mvh
michael

[snip]

---

Alex Holst skrev:

> Den paagaeldende organisation har ioevrigt arbejdet mod ITIL paa
> meget svagt blus i noget tid, men der er aldrig blevet gjort noget
> serioest ud af indsatsen. (ITIL indeholder et ganske fornuftigt
> framework for security management.)

MS har banket noget sammen med baggrund i ITIL:

http://microsoft.com/mof

Jeg kender ikke til ITIL og ved derfor ikke om MOF er noget skrammel,
når det sammenlignes med ITIL. Men det er nok lettere at sælge MOF til
ledelsen, når det kommer fra MS, fremfor en ukendt trediepart.

Hvis jeg skal sælge MOF til min ledelse, og det er min umiddelbare
plan da jeg tror vi kan have gavn af det, skal jeg sikkert selv skrive
noget kortfattet til dem i pixibogstil (i princippet noget meget let-
forståeligt i stilen "hvem, hvad, hvorfor og hvordan").

---

Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
> Alex Holst skrev:
>
>> Den paagaeldende organisation har ioevrigt arbejdet mod ITIL paa
>> meget svagt blus i noget tid, men der er aldrig blevet gjort noget
>> serioest ud af indsatsen. (ITIL indeholder et ganske fornuftigt
>> framework for security management.)
>
> MS har banket noget sammen med baggrund i ITIL:
>
> http://microsoft.com/mof

Ja, det har jeg stiftet bekendtskab med. Jeg tror desvaerre ikke der er
nogen specifik metode der kan hjaelpe mig her. Det handler mere om
mennesker der aftaler een ting, og derefter loeber fra aftalen. Det er
vist ikke on topic for denne gruppe. Jeg har nu forklaret dem i 3 simple
punkter hvad jeg *ikke* er i stand til at goere, medmindre de foelger de
aftaler der er lavet.

Guderne maa vide om det hjaelper.

FUT: email

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Michael U. Hove skrev:

> Og tvinger så (med trusler om installation af Zonealarm på deres
> IIS-Server)

Mener du det, alvorligt, at du ville installere Zonealarm på en produk-
tionsmaskine?

---

Peder Vendelbo Mikkelsen wrote:
> Michael U. Hove skrev:
>
>
>>Og tvinger så (med trusler om installation af Zonealarm på deres
>>IIS-Server)
>
>
> Mener du det, alvorligt, at du ville installere Zonealarm på en produk-
> tionsmaskine?
>

Det var nu mest ment som et forsøg på at være morsom...

Jeg ville ikke installere Zonealarm på min kaffemaskine!

/mvh
michael

---

"Michael U. Hove" wrote:
>
> Jeg ville ikke installere Zonealarm på min kaffemaskine!

Kører din kaffemaskine Windows??

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont wrote:
> "Michael U. Hove" wrote:
>
>>Jeg ville ikke installere Zonealarm på min kaffemaskine!
>
>
> Kører din kaffemaskine Windows??
>

Ja, men *Java-fortolkeren* bruger sgu nogen helt forkerte klasser, og
dyret kan kun klare 10 kopper før den skal rebootes, for slet ikke at
tale den forbandede startup melodi....

/mvh
michael