Categorie: Geen categorie

“Certificeringen onmisbaar voor IT’er”

  door

Certificeringen worden steeds belangrijker voor IT’ers nu het baanaanbod weer aantrekt, zo stelt de Computing Technology Industry Association (CompTIA)…Vanuit het perspectief van de werkgever, hebben IT-certificeringen als voordeel dat ze valideren dat iemand nieuwe of complexe technologieën kan begrijpen, hogere productiviteit biedt en meer inzicht heeft om problemen op te lossen”, aldus vice president Tim Herbert (bron).

Uiteraard zou ik, als certificerende instelling, ook beweren dat certificaten onmisbaar zijn voor de IT’ers. De eerste reactie op www.security.nl was te verwachten: Wij van WC-eend, adviseren WC-eend. En inderdaad, daar heeft het heel veel van weg.

Verder is het natuurlijk tegenstrijdig. Omdat het baanaanbod toeneemt wordt certificering belangrijker voor de IT”er? Ehm, volgens mij werkt het andersom. Als er minder banen zijn, juist dan is certificering (voor de verkoopbaarheid van je CV) belangrijk.

Bij een groot baanaanbod is het voor de recruiter, P&O-er of HR-manager makkelijker als er profielen binnenkomen met een certificering. Dan kunnen we lekker makkelijk matchen. Totdat het moment is aangebroken dat er weer krapte is op de arbeidsmarkt, dan zijn er geen gecertificeerde IT’ers meer te vinden. Nee, dan zullen de bedrijven weer moeten komen met een juiste beloning. Dat hoeft niet gelijk met: solliciteer nu en krijg twee lease auto’s, dat soort profielen wil je toch eigenlijk juist niet in huis hebben?

Nee, je zult een interessante werkomgeving moeten creëren, je zult de mensen uitdagingen en verantwoordelijkheid moeten geven. Dan kun je ze aan je binden.

Certificeringen, natuurlijk kunnen ze nut hebben. Maar om de certificering gelijk te stellen aan het begrijpen van nieuwe of complexe technologieën, hogere productiviteit en meer inzicht in het oplossen van problemen, nee, dat gaat te ver daar is toch echt meer voor nodig dan een certificering.

Grootschalige cyberaanval op energiebedrijven

  door

Tal van energiebedrijven zijn de afgelopen jaren het doelwit van cyberaanvallen geworden, afkomstig uit China…Het was de aanvallers te doen om informatie over projectfinancieringen en biedingen voor olie- en gasvelden…De aanvallers gebruikten traditionele aanvalsmethoden, zoals social engineering, spear-phishing, Windows exploits, Active Directory hacks en remote administration tools (RATs) (bron).

Je zou toch zeggen dat dergelijke grote bedrijven de beveiliging wel op orde hebben en dat de echt vertrouwelijke gegevens veilig achter slot en grendel liggen. Blijkbaar verkijken we ons hier op. Het is natuurlijk ook niet makkelijk maar je gaat er toch minimaal vanuit dat er patches worden doorgevoerd zodat er van de bekende exploits geen gebruik meer kan worden gemaakt.

Nu lijkt het of de energiebedrijven alleen met technische middelen van buitenaf worden aangevallen. Maar vergeet ook de zogenaamde “mollen” in de organisatie niet. Hoeveel informatie is er beschikbaar voor personeel en hoeveel van die informatie wordt vrolijk doorverkocht aan het buitenland?

Grote kans dat de energiebedrijven waar we het hier over hebben grote delen van de infrastructuur hebben uitbesteed aan India (of misschien wel China), ja, dan horen dit soort risico’s er bij.

Zo zie je maar, het digitale tijdperk waar we in zitten verandert ook de aanpak voor de informatiebeveiliging, of althans: dat zou moeten. de tijd dat we onze firewall strak in de gaten hielden omdat dat onze enige link met de vieze buitenwereld was, is echt voorbij.

Er zijn inmiddels legio toegangsmogelijkheden voor toegang tot data. Denk alleen maar aan alle smartphones en thuiswerkplekken. Het wordt tijd dat we enerzijds meer gaan denken in de risico’s maar anderzijds moeten we nu ook echt toe naar data security. Doen we dat op de juiste manier dan zijn we voor de toekomst ook nog eens voorbereid op het werken “in the cloud”.

Genoeg werk te doen de komende tijd alleen moeten de bedrijven eerst gaan begrijpen welke risico’s ze nu echt lopen.

Man overgoten met kokend water om Facebook-foto

  door

Omdat het vandaag Valentijnsdag is maar eens een berichtje van een heel ander kaliber (oh, nee, je bent het toch niet vergeten? snel langs de benzinepomp als je naar huis rijdt).

Een jaloerse vrouw heeft in Saudi-Arabië kokend water over het gezicht van haar slapende echtgenoot gegoten. Zij kon het niet hebben dat haar man succes had bij andere vrouwen vanwege zijn mooie foto op Facebook…Ze was ook jaloers omdat andere vrouwen naar haar knappe echtgenoot keken als ze samen op stap waren. (bron).

Wat we hier nu mee moeten in het kader van security en risk management? Ehm, ja, eigenlijk niet zoveel maar zo zie je maar dat er goed uit zien dus ook een enorm risico kan zijn. Vraag blijft natuurlijk wel wat je hier dan aan moet doen? Moet je expres je snor laten staan, je haar afscheren en weinig flatteuze kleding aan doen om er minder goed uit te zien?

Advocaat moet bh uittrekken bij bezoek aan client

  door

Zo, het is weer vrijdag. Laten we de week maar weer eens afsluiten met een luchtig bericht…en dat mag je letterlijk nemen in dit geval.

Vrouwelijke advocaten uit Rotterdam die clienten in de gevangenis willen bezoeken, moeten voor zij worden binnengelaten hun bh uittrekken. Beugel-bh’s worden vanwege veiligheidsredenen onder een scan gelegd (bron).

Blijkbaar kennen we de truc met de vijl in de taart inmiddels wel en zijn we over gestapt op andere manieren om de criminelen te voorzien van allerhande werktuig om zichzelf vrij te pleiten. Ik hou het graag netjes, maar je moet toch een behoorlijke dame zijn, wil je een vijl in je BH kunnen verstoppen.

Of schieten we hier toch niet een beetje door? Natuurlijk moet het onmogelijk zijn om wapens en werktuigen de gevangenis in te smokkelen. Maar hoe vaak is in het verleden een advocaat betrapt op dit soort praktijken? Het lijkt me dat advocaten toch een bepaalde ethiek aanhangen, of zie ik dat verkeerd?

Sterker nog: een advocaat is er helemaal niet bij gebaat als haar client voortijdig ontsnapt. Dan volgt er immers geen rechtszaak en valt er voor de advocaat dus niets te verdienen.

Nee, prima dat we allerlei beveiligingsmaatregelen willen nemen, maar deze maatregelen moeten toch echt gebaseerd zijn op een bestaand risico en zoals we allemaal weten moeten we daarbij de kans en impact bepalen om de juiste maatregelen vast te kunnen stellen. Persoonlijk acht ik de kans groter dat een interne medewerker zaken mee naar binnen smokkelt groter en die hoeven nu juist weer niet gescand te worden.

Zomaar wat overwegingen voor het weekend:

  • zijn beugel BH’s voor vrouwelijk gedetineerden dan ook verboden?
  • mogen advocaten (m/v) geen piercings hebben?

Onderscheid tussen mannen en vrouwen wordt overigens niet gemaakt want ook hij moest zijn BH afdoen:

Pentagon betaalde miljarden aan oplichters

  door

Het Amerikaanse leger heeft in drie jaar tijd 285 miljard dollar (207 miljard euro) betaald aan contractanten die het Pentagon oplichtten in diezelfde periode…Van 2007 tot en met 2009 betaalde het Pentagon alleen al 270 miljard dollar (196 miljard euro) aan 91 contractanten die op grote schaal fraudeerden (bron).

Blijkbaar hebben ze bij het Pentagon nog niet van de regels gehoord die allerlei bedrijven opgelegd hebben gekregen (denk aan SOx, Anti-Money Laundring, en ga zo nog maar even door). Het is natuurlijk een beetje dubbelzinnig. We leggen de bedrijven die zaken willen doen in Amerika allerlei (veelal onzinnige) maatregelen op om schandalen te voorkomen terwijl de Amerikaanse overheid 285 miljard “down the drain” stuurt.

Even voor de beeldvorming. Hieronder zie je 1 miljard, doe dat maal 285 en je weet hoeveel geld er verloren is.

It’s as simple as that…ik heb er niet meer over te vertellen.

Veiligheidszorg kost 757 euro per persoon

  door

De bestrijding en bestraffing van criminaliteit, verloedering en overlast kostte in 2009 per Nederlander 757 euro, zo heeft het Centraal Bureau voor Statistiek (CBS) berekend. Volgens de cijfers die het bureau donderdag bekendmaakte, is in dat jaar in totaal 12,5 miljard euro aan zogenoemde veiligheidszorg uitgegeven, 4 procent meer dan in 2008 (bron).

Dit zijn nog eens gegevens waar we wat mee kunnen? Of niet? Op zich zijn het kale feiten en je kunt natuurlijk conclusies trekken. Is het teveel, is het te weinig? Maar dat is natuurlijk lastig, we zouden moeten kijken naar welke schade voorkomen is als gevolg van deze budgetten.

Bijna de helft van alle uitgaven in 2009 is opgegaan aan preventie – het voorkomen van criminaliteit en overlast – door politie en beveiligingsbedrijven. De rest is uitgegeven aan opsporing, tenuitvoerlegging van straffen en andere activiteiten. De kosten voor veiligheidszorg vormen 2,2 procent van het bruto binnenlands product.

Er is dus zo’n 6 miljard uitgegeven om criminaliteit te voorkomen. Is dat het waard? Ja een goede vraag. Deze vraag zien we ook vaak als we kijken naar beveiliging in de bredere zin van het woord. Hoeveel moeten we als bedrijf nu besteden aan beveiliging en welke schade voorkomen we daar dan mee? Er zijn verschillende manieren om de Return on Investment te berekenen, ook voor beveiliging maar in hoeverre je daar nu echt iets mee kunt blijf ik persoonlijk een lastige vinden.

Hebben we geen incidenten gehad dan kan het betekenen dat we voldoende besteed hebben aan beveiligingsmaatregelen, maar het kan net zo goed betekenen dat we gewoon geluk hebben gehad of er juist veel te veel aan hebben besteed.

Beveiligen kun je zien als een verzekering. Ik betaal al jaren premie en hoop dat ook nog vele jaren te mogen doen zonder dat ik gebruik hoef te maken van mijn verzekering. Nu het financieel met veel mensen even wat minder gaat zouden we natuurlijk massaal onze verzekeringen op kunnen zeggen. Toch doen we dat niet omdat we het belang er van inzien. Waarom wordt er dan door veel organisaties wel bezuinigd op beveiliging?

Natuurlijk moeten we waken voor dubbele verzekeringen, net zo goed als we moeten waken voor dubbele (lees: vaak onzinnige) beveiligingsmaatregelen. Doen we dat op de juiste manier dan kunnen we kostenefficiënt de grootste risico’s afdekken. We kunnen daarbij wellicht een verband leggen met de gegevens uit deze tekst: laten we nu eens 2,2 procent van onze omzet besteden aan beveiliging waarvan we dan de helft inzetten voor preventie…een mooi streven lijkt me…of niet?

Te laat voor Moerdijk

  door

Zijn we hier nog aan het discussiëren over wie nu schuldig is en wie moet betalen voor de brand in Moerdijk. De Chinezen hebben snel hun conclusies getrokken en komen tot de conclusie dat de bestaande brandweerwagens niet goed genoeg meer zijn.

De Chinezen hebben een leuk speeltje waar iedere brandweerman zijn vingers bij aflikt. Een door een jet-propeller aangedreven waterkanon dat vier ton water per minuut kan spuiten. Het maximale bereik van deze waterblazer is 120 meter. Voor de prijs van 456-duizend dollar wisselt het kanon van eigenaar (bron).

Er wordt in Moerdijk gesproken over een schade van zo’n 4 miljoen (ja, ja, lijkt me aan de lage kant, maar goed). Voor 450 ton kunnen we al zo’n gigantisch waterkanon kopen. Lijkt me geen onverstandige beslissing. En natuurlijk hebben we niet altijd een grote brand maar als het waterkanon niet aan het blussen is, kan de politie hem inzetten om grote groepen demonstranten of hooligans uit elkaar te jagen. Wedden dat ze het daarna nooit meer proberen?

Excuus voor de eerste 17 seconden, ik kan er geen Bami van maken, maar wie weet wat er gezegd wordt mag uiteraard reageren.

Datingsite verliest privegegevens 28 miljoen mensen

  door

De gratis online datingsite Plenty of Fish is de privégegevens van 28 miljoen leden verloren, zo heeft de oprichter van de site laten weten. Eén of meerdere aanvallers maakten gebruikersnamen, e-mailadressen en wachtwoorden buit (bron).

Nou, daar zat je dan. Lekker anoniem, met een nickname te proberen je leven nog enigszins kleur te geven. Op zoek naar een date vanuit je luie, veilige, stoel omdat het in de kroeg maar niet wilde lukken (ja, oke, is misschien een wat gekleurde stelling). Nu ligt je hele ziel en zaligheid op straat en ben je niet anoniem meer.

Ik kende de site niet en moest uiteraard direct even een kijkje nemen. Even de zoektermen aanpassen en je ziet de Nederlandse profielen. Ik geloof niet dat ik iemand ken, maar moet ook direct toegeven dat ik niet verder heb gekeken dan de eerste pagina.

Volgens Frind ging het om een ongekend goed geplande en geraffineerde aanval. Uitgevoerd door de Argentijnse beveiligingsonderzoeker Chris Russo. Zoals uit het verdere bericht te lezen is, is degene die de aanval pleegde inmiddels bekend. Ook zo benieuwd wat er nu zal gebeuren? Waarschijnlijk niet zoveel want hoewel het internet weinig (lands)grenzen kent, kent de wetgeving die nog wel.

Om daar echt iets aan te doen moeten we de oude gedachte van landsgrenzen los laten. Geen afzonderlijke landen meer, slechts 1 politiek bestuur (een hele berg bezuinigen), 1 munt (geen economische crisis meer), 1 taal (geen miscommunicatie meer). Wat zou de wereld toch heerlijk eenvoudig kunnen zijn…

Vijftien bedrijven in regio met groot risico

  door

Begonnen we deze week met de 119 risicobedrijven in Zuid-Holland, sluiten we af met de 15 risicobedrijven in de provincie Utrecht.

Liefst vijftien bedrijven in de provincie vallen in dezelfde risicoklasse als Chemie-Pack in Moerdijk. Dat blijkt uit een inventarisatie van RTV Utrecht (bron).

Waar maken ze zich in Utrecht zorgen om? 15 verspreid over de provincie. Zuid-Holland zal wel aan kop gaan met zijn 119. Maar natuurlijk moeten ze zich ook in Utrecht zorgen maken, de kans dat het daar fout gaat is natuurlijk ook enorm.

Het leuke van het bericht is dat er ook een overzicht gegeven wordt van de bedrijven:
– Brandstofdepot van Gulf Oil, Nigtevecht
– Schoonmaakmiddelenfabriek Ecolab, Nieuwegein
– Katalusatorenfabriek BASF, De Meern
– Brandstofopslag Van der Sluijs, Utrecht
– Drukkerij Biegelaar, Maarssen
– Schoonmaakmiddelenbedrijf Johnson, Mijdrecht
– Industriële vetten van Smit en zoon, Amersfoort
– Vuurwerkonderneming Breeschoten De Kruiterij, Veenendaal
– Vuurwerkgroothandel GBV Weco, Veenendaal
– Vuurwerkonderneming Rosa Investment, Veenendaal
– Transportonderneming TDG, Veenendaal
– Gashandel Bakker, Rhenen
– Gasdepot Primagaz, Woudenberg
– Van Appeldoorn chemische logistiek, Woudenberg

Laten we eerlijk zijn, er staan er toch een aantal tussen waarbij je niet zo snel zou verwachten dat daar een enorm risico is. Wat te denken van: Katalusatorenfabriek, Drukkerij Biegelaar en Transportonderneming TDG?

Ook weten we nu dat er wel wat concentratie vuurwerk in Veenendaal ligt opgeslagen. Dan ga je toch ineens anders naar een stad kijken, of niet?

In ieder geval is het goed dat er nu eindelijk weer eens wat aandacht voor is. De vuurwerkramp was blijkbaar alweer te lang geleden, de regels en controles waren alweer wat versoepeld…tijd dat we er nu eens echt goed naar gaan kijken en ook naar blijven kijken.

Helaas is het waar: een land heeft zo af en toe een ramp nodig om weer eens bij de les te komen…jammer dat we er niet in slagen om ook bij de les te blijven. Ook zo benieuwd wat de volgende ramp wordt? Ik eigenlijk niet maar dat er weer wat aan zit te komen, ja dat mag duidelijk zijn. Hopelijk een ramp met een kleine impact.

MINISTER: RISICO SPOOR AANVAARDBAAR

  door

Minister Schultz van Haegen heeft blijkbaar ook een lesje in risicomanagement genomen. Op de vragen of de infrastructuur van de spoorwegen nog veilig genoeg zijn, wordt aangegeven dat het risico aanvaardbaar is.

Hartstikke goed, want we komen nog te vaak tegen dat geprobeerd wordt alle risico’s af te dekken, terwijl risicoacceptatie ook een deel van je risicomanagement kan zijn.

De minister sprak tijdens het vragenuurtje over een aanvaardbaar risico. Bij Zevenaar botste een passagierstrein op een goederentrein nadat koperdieven de beveiliging van het spoor hadden vernield (bron).

Toch begin ik na deze uitspraak te twijfelen over de zogenaamde “risk appetite” van de overheid. Ik heb lange tijd gedacht dat de overheid risicomijdend gedrag zou moeten vertonen. Blijkbaar heb ik het mis en is de verharding van de maatschappij nu echt ingezet. Waarom? Nou, omdat als de Minister een treinbotsing als een acceptabel risico gaat zien, dan hebben we volgens mij toch ergens een verkeerde wissel genomen. Waar is de tijd gebleven dat de overheid de burgers moest beschermen?

Het gaat er bij risicoacceptatie natuurlijk altijd om, om de kans en de impact te bepalen. Als de kans groot is (in dit geval wist je bijna dat het een keer fout zou gaan) dan is risicoacceptatie wellicht niet de beste keuze. Als er daarnaast ook nog een hoge impact kan zijn (verlies van mensenlevens) dan wordt risicoacceptatie nog onwaarschijnlijker. Of is dit risicomanagement 2.0?

Wellicht moeten we hier vanuit ARBO-optiek eens naar kijken. Als werkgever ben je verplicht een veilige werkomgeving voor je medewerkers te creëren. Als ze van hun burostoel vallen heb je al een probleem. Zou de NS dan niet ook een veilige werkomgeving voor de machinisten en conducteurs moeten creëren?

Op zich is het natuurlijk ook niet zo raar dat het koper gestolen wordt. Raar is wel dat je een onderdeel van je beveiligingssysteem gebruikt met een dergelijke hoge waarde. Je gaat toch ook geen 24-karaat gouden deurbeslag aan de buitenkant van je deur hangen? Dat is vragen om moeilijkheden.

Als we de Minister mogen geloven moeten we de komende tijd nog wat treinongelukken accepteren omdat ProRail wel werkt aan ander materiaal, maar dat is nog niet beschikbaar of nog niet volledig uitgerold. We kunnen in ieder geval niet van haar zeggen dat ze geen verantwoordelijkheid durft te nemen. Slaap lekker, mevrouw de Minister…ik neem voorlopig even de auto (want mijn remmen zijn niet van diamant en zijn dus niet interessant voor dieven).