De wet van Yoran en Spaf

eWeek heeft een mooie tip voor Spaf's eerste principe van beveiligingsbeheer: Als u verantwoordelijk bent voor beveiliging, maar niet de bevoegdheid hebt om regels op te stellen of overtreders te straffen, is het uw eigen rol in de organisatie om de schuld op u te nemen als er iets groots misgaat.

Het principe werd voor het eerst gepubliceerd in het boek dat ik samen met professor Gene Spafford van Purdue University schreef, Praktische UNIX en internetbeveiliging . Het is direct van toepassing op de zaak van Amit Yoran, die ontslag nam bij de National Cyber ​​Security Division van het Department of Homeland Security. Volgens auteur Ben Rothke miste Yoran zowel een belangrijke titel als de juiste autoriteit - wat alles is in de regering.

Persoonlijk denk ik dat het cyberbeveiligingsprobleem er een is dat moet worden opgelost door langzaam een ​​consensus op te bouwen - niet met de computerbeveiliging, maar met de computergebruikers in de hele overheid. We hebben een heel diep probleem dat voortkomt uit het inzetten van een reeks computersystemen die erg moeilijk te beveiligen zijn. Het oplossen van de situatie wordt een meerjarig project - een project waarbij de autoriteit zal komen uit consensus, het bouwen van bruggen en de overtuigingskracht van argumenten, niet uit organigrammen en budgetlijnen.

De hele benadering van de cyberspace-beveiliging van de tsaar is fundamenteel gebrekkig. Ik hoop dat de volgende regering met een nieuwe aanpak kan beginnen.





Ik moet er rekening mee houden dat ik co-auteur ben van Praktische en UNIX-beveiliging met Dr. Spafford, maar de wet is helemaal van hem.

zich verstoppen