Geplaatst op 27.3.2015 door

Security Paradigma Oud en Nieuw (2)

Het oude paradigma zegt dat alle Kwetsbaarheden moeten worden geïdentificeerd en geëlimineerd. Kwetsbaarheden worden gezien als tekortkomingen van de security organisatie: ze zijn een smet op het blazoen. 
De security manager probeert alle kwetsbaarheden aan te pakken en voelt zich soms een roepende in de woestijn. Hij krijgt regelmatig tegengas van het management die kwetsbaarheden bagatelliseert of mitigerende maatregelen disproportioneel vindt. 
Hierdoor kost het de security manager veel moeite de organisatie te overtuigen van nut en noodzaak van zijn beleid.

Het nieuwe paradigma zegt dat er teveel kwetsbaarheden zijn om ze allemaal te identificeren. Het elimineren van alle kwetsbaarheden is al helemaal niet mogelijk omdat het er domweg te veel zijn en omdat ze niet allemaal gekend zijn. 
De security manager zou zijn inspanningen moeten concentreren op kwetsbaarheden die bij kwaadwillenden bekend zijn, die eenvoudig zijn te misbruiken en op kwetsbaarheden die eenvoudig zijn te verhelpen. Voor mitigerende maatregelen tegen deze type kwetsbarheden zal hij sneller draagvlak bij het management vinden. 
Daarnaast moet hij de organisatie voorbereiden op misbruik van de resterende en nog onbekende kwetsbaarheden. 
Het communiceren over deze categorieën van kwetsbaarheden en het identificeren van mitigerende maatregelen worden dan een minder beladen activiteit voor de security organisatie.

Ik wens u veel voldoening in uw Security werk. Voor vragen en bespiegelingen kunt u mij altijd bereiken: Marcel Spit, voorzitter van het Adviescentrum, GSM 064 010 3353.

Zelf reageren