mboost-dp1
unknown
Der bliver altid gjort spekulationer om dette. Hvis det stod til eksperterne skulle ingen tage en IT-uddannelse på noget tidspunkt. Først lød det at der var for mange IT folk. Så lød det at der ikke var nok. Det kan være svært at finde ud af om man skal tage en IT uddannelse, for ingen kan sige hvordan situationen vil være når man er uddannet.
Hele denne uenighed om hvorvidt der er for få eller for mange IT folk bunder nok i, at der er uenighed om, hvad der egentlig bør ligge i uddannelsen.
For det første er der forskellige IT uddannelser, og hvis vi blot kigger på datalogistudiet på universitetet, så kan man komme ud med en bachelor-, kandidat-, eller ph.d.-grad. Man kan uden tvivl finde virksomheder, der kun vil ansætte personer med en kandidatgrad. Og man kan sikkert også finde virksomheder, der kun vil ansætte personer som er under 30 og har minimum 5 års erfaring.
Nogle virksomheder stiller simpelthen bare for specifikke krav, og det fører både til virksomheder, der har svært ved at finde medarbejdere, og personer, som har svært ved at finde job.
Hvis vi kigger på IT sikkerhedsfolk, så er jeg komplet uenig i den påstand der bliver fremført. Ikke før alle IT sikkerhedsprobelemerne er blevet løst vil jeg give ham ret i, at der er for mange folk indenfor faget.
Til gengæld er der nok for mange IT sikkerhedsfolk, som ikke ved hvordan man tager fat om roden til problemerne. Det er ikke nok at kunne sætte en firewall op, man skal altså vide hvordan sikkerhed designes ind i et system på alle niveauer. Og hvis sikkerheden på et niveau svigter, så skal man stadig kunne begrænse virkningen på sikkerheden af systemet som helhed.
For nu at tage fat i firewall eksemplet igen, så vil det sige, at hvis den er sat op af en IT sikkerhedsperson, som kan sit kram, så er den overflødig. Og den er overflødig fordi, at systemet bagved den er sikkert nok i sig selv.
Det gælder selvfølgelig ikke kun firewalls. Det samme kan man sige om en vilkårlig anden komponent, der kan være et sikkerhedshul i. Hvis der er et sikkerhedshul i en browser, så bør det ikke få de store implikationer, fordi den i sig selv kører i en sandkasse, hvor den ikke kan udrette stor skade.
I praksis er vi slet ikke i nærheden af det punkt, hvor den slags er som det bør være, og indtil vi når dertil har vi brug for flere IT sikkerhedsfolk. Men det er mindst lige så vigtigt, at IT folk generelt har forståelse for sikkerhed. Og det gælder alle lige fra programmører og designere til projektledere og marketingsfolk.
For det første er der forskellige IT uddannelser, og hvis vi blot kigger på datalogistudiet på universitetet, så kan man komme ud med en bachelor-, kandidat-, eller ph.d.-grad. Man kan uden tvivl finde virksomheder, der kun vil ansætte personer med en kandidatgrad. Og man kan sikkert også finde virksomheder, der kun vil ansætte personer som er under 30 og har minimum 5 års erfaring.
Nogle virksomheder stiller simpelthen bare for specifikke krav, og det fører både til virksomheder, der har svært ved at finde medarbejdere, og personer, som har svært ved at finde job.
Hvis vi kigger på IT sikkerhedsfolk, så er jeg komplet uenig i den påstand der bliver fremført. Ikke før alle IT sikkerhedsprobelemerne er blevet løst vil jeg give ham ret i, at der er for mange folk indenfor faget.
Til gengæld er der nok for mange IT sikkerhedsfolk, som ikke ved hvordan man tager fat om roden til problemerne. Det er ikke nok at kunne sætte en firewall op, man skal altså vide hvordan sikkerhed designes ind i et system på alle niveauer. Og hvis sikkerheden på et niveau svigter, så skal man stadig kunne begrænse virkningen på sikkerheden af systemet som helhed.
For nu at tage fat i firewall eksemplet igen, så vil det sige, at hvis den er sat op af en IT sikkerhedsperson, som kan sit kram, så er den overflødig. Og den er overflødig fordi, at systemet bagved den er sikkert nok i sig selv.
Det gælder selvfølgelig ikke kun firewalls. Det samme kan man sige om en vilkårlig anden komponent, der kan være et sikkerhedshul i. Hvis der er et sikkerhedshul i en browser, så bør det ikke få de store implikationer, fordi den i sig selv kører i en sandkasse, hvor den ikke kan udrette stor skade.
I praksis er vi slet ikke i nærheden af det punkt, hvor den slags er som det bør være, og indtil vi når dertil har vi brug for flere IT sikkerhedsfolk. Men det er mindst lige så vigtigt, at IT folk generelt har forståelse for sikkerhed. Og det gælder alle lige fra programmører og designere til projektledere og marketingsfolk.
#3
Problemet er jo nok at der ikke er stillinger nok til alle de IT sikkerhedsfolk. Jeg kan godt følge dig i at du gerne vil have IT sikkerhedsproblemer løst. Problemet er bare at jo mere IT udstyr, programmer ja generelt kode der bliver lavet jo flere sikkerhedsproblemer medfører det til. Det er lidt en uendelig vej.
Og ja, så har du nok også ret i at der er for mange inden for området der ikke har 100% styr på det.
Problemet er jo nok at der ikke er stillinger nok til alle de IT sikkerhedsfolk. Jeg kan godt følge dig i at du gerne vil have IT sikkerhedsproblemer løst. Problemet er bare at jo mere IT udstyr, programmer ja generelt kode der bliver lavet jo flere sikkerhedsproblemer medfører det til. Det er lidt en uendelig vej.
Og ja, så har du nok også ret i at der er for mange inden for området der ikke har 100% styr på det.
Problemet er at de fleste it sikkerheds folk er alt for dårligt uddannede. For at en it sikkerheds strategi skal være succesfuld skal den accepteres igennem hele organisationen, og det betyder at ud over at forstå firewalls, ids/ips, antivirus, spamfiltre mm skal man også være expert i kommunikation.
Desværre er de fleste it folk nørder, og intet ondt i det, men de vil have stor gavn af kurser i it kommunikation og forhandlings teknik.
Desværre er de fleste it folk nørder, og intet ondt i det, men de vil have stor gavn af kurser i it kommunikation og forhandlings teknik.
Spørgsmålet er også hvad man forbinder med sikkerhedsfolk.
De fleste sikkerhedsfolk vil jo gerne arbejde med ting som er meget sikkerhedsrelateret og det er jo begrænset med stillinger indenfor Computer Forensic og Incident Handling. Eller også er folk meget begrænsede indenfor et felt som Cisco switche eller en bestemt type firewall.
Der bliver jo så uddannet nogle folk som er mere allround og som kan klare de mest gængse sikkerhedsting i et firma. Det er jo nok dem som menes ikke er dygtige nok og som der kommer for mange af.
Jeg har f.eks. selv en CISSP, fordi jeg mente det ville være et godt supplement til mit arbejde. Men at gå så langt som at betegne mig selv som sikkerhedsmand er måske lige i overkanten.
Men jeg hører jo nok til den gruppe de taler om.
De fleste sikkerhedsfolk vil jo gerne arbejde med ting som er meget sikkerhedsrelateret og det er jo begrænset med stillinger indenfor Computer Forensic og Incident Handling. Eller også er folk meget begrænsede indenfor et felt som Cisco switche eller en bestemt type firewall.
Der bliver jo så uddannet nogle folk som er mere allround og som kan klare de mest gængse sikkerhedsting i et firma. Det er jo nok dem som menes ikke er dygtige nok og som der kommer for mange af.
Jeg har f.eks. selv en CISSP, fordi jeg mente det ville være et godt supplement til mit arbejde. Men at gå så langt som at betegne mig selv som sikkerhedsmand er måske lige i overkanten.
Men jeg hører jo nok til den gruppe de taler om.
#8 Kendskab til teknologier og produkter og kommunikationsfærdigheder er helt sikkert vigtige ting, men jeg synes at du glemmer to meget vigtige ting: Forståelse for sikkerhed og hvad der udgør god sikkerhed.
Tag en ting som regler for kodeord, hvis du tvinger folk til at skifte for ofte eller kodeordene er for lange så opnår du ikke andet end at de ligger skrevet på post-it notes under tastaturet, og den høje sikkerhed du havde håbet på at opnå er væk eller rettere som jeg så det skrevet på et tidspunkt: Sikkerheden er så høj at enhver idiot kan gå lige ind.
Tag en ting som regler for kodeord, hvis du tvinger folk til at skifte for ofte eller kodeordene er for lange så opnår du ikke andet end at de ligger skrevet på post-it notes under tastaturet, og den høje sikkerhed du havde håbet på at opnå er væk eller rettere som jeg så det skrevet på et tidspunkt: Sikkerheden er så høj at enhver idiot kan gå lige ind.
#10 Jeg er helt enig, men jeg mener det er et område der efterhånden er kommet meget mere fokus på allerede. Tag f.eks antallet af diltagere på CISSP kurserne. Det er netop kurser der fokusere på brede i sikkerhed, istedet for dybde. Da jeg for et par år siden var til eksamen var vi over 40.
Det er stadig områder som nørderne (jeg er en af dem) finder attraktivt.
Det er stadig områder som nørderne (jeg er en af dem) finder attraktivt.
Jeg tror nu godt vi bruge lidt flere godt uddannede inden for IT-sikkerhed. De kunne jo passende tage arbejdet fra de selvudnævnte eksperter og journaliter der udtaler sig til daglig. Man bliver jo ligefrem pinligt berørt når man læser en artikel som den Computerworld køre p.t. (http://www.computerworld.dk/blog/kurt/681?cid=1&a=cid&i=1&pos=8), her kunne man f.eks. godt have brugt at en rigtig ekspert havde stoppet artiklen og tævet journalisten med en frossen porre. Det havde gavnet os alle.
det kan da hellere ikke være længe før de første virksomheder begynder at slå jopopslag op, der kræver 5 års erfaring i Vista.
#13
Det er da en pæn dårlig artikkel. Og der er intet nyt i den. Det de der beskriver har jo været muligt siden... Ja altid. Vil da gætte på det også er muligt i OS X og Linux (uden dog at vide det)
Har en person fysisk adgang til computern er den eneste beskyttelse at smadre alle kommunikationsporte (USB, CD, Diskdrev...), samt lave et system, som ødelækker harddisken hvis kabinettet åbnes.
Det skal jo være muligt at kunne geninstallere sit system, men det kan så argumenteres, at den eneste mulighed der, er ved at formatere disken først, så man ikke får adgang til gammel data.
Men disken kan jo også bare pilles ud, og sættes over i en anden comp som slave, også kan man overtage rettighed på alle mapper, og har dermed adgang til data.
Den største risiko i verden er den almindelig bruger, og det er nærmere dem som skal uddannes. Kender f.eks en som aldrig logger af sin comp, når han går hjem fra arbejde, "For det gør den jo selv" som han siger... Ja, men i det tidsrum inden den gør, kan enhver bruge hans login. Det er jo direkte dumt...
Det er da en pæn dårlig artikkel. Og der er intet nyt i den. Det de der beskriver har jo været muligt siden... Ja altid. Vil da gætte på det også er muligt i OS X og Linux (uden dog at vide det)
Har en person fysisk adgang til computern er den eneste beskyttelse at smadre alle kommunikationsporte (USB, CD, Diskdrev...), samt lave et system, som ødelækker harddisken hvis kabinettet åbnes.
Det skal jo være muligt at kunne geninstallere sit system, men det kan så argumenteres, at den eneste mulighed der, er ved at formatere disken først, så man ikke får adgang til gammel data.
Men disken kan jo også bare pilles ud, og sættes over i en anden comp som slave, også kan man overtage rettighed på alle mapper, og har dermed adgang til data.
Den største risiko i verden er den almindelig bruger, og det er nærmere dem som skal uddannes. Kender f.eks en som aldrig logger af sin comp, når han går hjem fra arbejde, "For det gør den jo selv" som han siger... Ja, men i det tidsrum inden den gør, kan enhver bruge hans login. Det er jo direkte dumt...
Og nu hvor Windows er blevet sikker med Vista. Er der jo ikke brug for så mange sikkerhedsfolk. [rimshot]
IT sikkerhed er mange ting. Der hvor jeg selv har erfaring med IT sikkerhed, i udvikling, er der ihvertfald ikke for mange der ved noget om sikkerhed. Udvikling er også et område der bliver mere og mere relevant efter som trusselsbilledet ændrer sig og malware oftere og oftere er rettet mod tredjeparts software.
#9
Hvis du har taget en CISSP kan du da ikke være helt dum til det hele. Med mindre jeg husker forkert kræver den da en hel del erfaring. Men er den ikke mere minded på folk med det overordnede ansvar?
Jeg har personligt valgt GIAC certificeringer til at få papir på mine beskedne evner inden for it sikkerhed. De er meget handson og lab arbejde.
Hvis du har taget en CISSP kan du da ikke være helt dum til det hele. Med mindre jeg husker forkert kræver den da en hel del erfaring. Men er den ikke mere minded på folk med det overordnede ansvar?
Jeg har personligt valgt GIAC certificeringer til at få papir på mine beskedne evner inden for it sikkerhed. De er meget handson og lab arbejde.
#3
Øh.
I en verden hvor alle skal have den samme adgang til diverse
services kan jeg godt følge dit argument.
Men i den virkelige verden er da der stort behov for at
opdele adgang.
Bare fordi at der skal være adgang til port 1433 på LAN behøver
man jo ikke synes at alle på internettet skal kunne connecte.
For nu at tage fat i firewall eksemplet igen, så vil det sige, at hvis den er sat op af en IT sikkerhedsperson, som kan sit kram, så er den overflødig. Og den er overflødig fordi, at systemet bagved den er sikkert nok i sig selv.
Øh.
I en verden hvor alle skal have den samme adgang til diverse
services kan jeg godt følge dit argument.
Men i den virkelige verden er da der stort behov for at
opdele adgang.
Bare fordi at der skal være adgang til port 1433 på LAN behøver
man jo ikke synes at alle på internettet skal kunne connecte.
[url=#5]#5[/url] Cigarfar
Der er selvfølgelig den mulige udvikling, at for mange uddannede indenfor området fører til lavere løninger, hvilket så igen kan få virksomhederne til at ansætte lidt flere IT sikkerhedsfolk. Det er ikke ligefrem den udvikling jeg håber på, men det kunne hjælpe på sikkerheden.
En langt mere gavnlig udvikling ville være, om alle IT uddannelserne øgede deres fokus på sikkerhed. For en lille smule viden hos alle i branchen kan give en positiv effekt på sikkerheden, som er meget svær at opnå, med en hær af personer, der udelukkende beskæftiger sig med IT sikkerhed.
[url=#8]#8[/url] Eiffel
[url=#9]#9[/url] Cyberguyen
[url=#11]#11[/url] Pally
Det er naturligvis et plus, at den er uafhængig af leverandører. Men kravet om fire års erhverserfaring er lidt uheldigt i en branche, hvor der i forvejen stilles for mange krav om erhvervserfaring. Det nytter ikke, hvis alle virksomheder stiller krav om erhverserfaring. Der er i sagens natur mange nyuddannede uden erhverserfaring. Til personer under uddannelse vil jeg da så lige benytte lejligheden til at man overvejer et studiejob eller et internship. Min fornemmelse er, at det kan være lærerigt. Og hvis man gør det godt kan det også hjælpe når man engang skal ud at søge job efter man er færdig.
[url=#15]#15[/url] fennec
[url=#22]#22[/url] arne_v
Men jeg vil stadig holde fast i, at en firewall burde være overflødig også i denne situation. Hvis serveren behandler nogen form for kritiske data, så bør der være en autentifikation, som i sig selv ville være nok til at forhindre uvedkommendes adgang udefra.
Men selvfølgelig er en total blokering af alt trafik på porten simplere end korrekt autentifikation. Og en simplere løsning har mindre risiko for fejl. Så i denne situation vil en firewall være et fornuftigt ekstra lag af sikkerhed.
Problemet er jo nok at der ikke er stillinger nok til alle de IT sikkerhedsfolk.Det kan jeg umiddelbart komme i tanke om to mulige forklaringer på. Enten at der er uoverensstemmelse mellem hvad der indgår i uddannelsen, og hvad virksomhederne efterspørger. Det kan så enten skyldes, at uddannelsen ikke er god nok, eller at virksomhederne ikke ved, hvad de har brug for. Eller også vil virksomhederne ikke prioritere sikkerhed højt nok. Hvis det er tilfældet må de personer som træffer beslutninger om ansættelser vide for lidt om IT sikkerhed. Det fører os så tilbage til min tidligere kommentar om, at der er brug for forståelse af IT sikkerhed i langt flere funktioner.
Der er selvfølgelig den mulige udvikling, at for mange uddannede indenfor området fører til lavere løninger, hvilket så igen kan få virksomhederne til at ansætte lidt flere IT sikkerhedsfolk. Det er ikke ligefrem den udvikling jeg håber på, men det kunne hjælpe på sikkerheden.
En langt mere gavnlig udvikling ville være, om alle IT uddannelserne øgede deres fokus på sikkerhed. For en lille smule viden hos alle i branchen kan give en positiv effekt på sikkerheden, som er meget svær at opnå, med en hær af personer, der udelukkende beskæftiger sig med IT sikkerhed.
[url=#8]#8[/url] Eiffel
de vil have stor gavn af kurser i it kommunikation og forhandlings teknik.Hvor kommer forhandlings teknik ind i billedet? Hvorvidt ting skal gøres på en sikker måde eller ej burde aldrig være objekt for forhandling. Selvfølgelig vil der være situationer, hvor man skal diskutere, hvilken teknisk løsning der skal anvendes. For at vurdere hvilke risici hver enkelt løsning indeholder er tilstrækkelige tekniske viden hvad man har brug for.
[url=#9]#9[/url] Cyberguyen
De fleste sikkerhedsfolk vil jo gerne arbejde med ting som er meget sikkerhedsrelateret og det er jo begrænset med stillinger indenfor Computer Forensic og Incident Handling.Hovedparten af arbejdet indenfor IT sikkerhed drejer sig jo netop om at gøre den type stillinger overflødige. I mange sikkerhedsstillinger får du jo kun brug for det, hvis du ikke har gjort dit arbejde ordentligt.
Der bliver jo så uddannet nogle folk som er mere allround og som kan klare de mest gængse sikkerhedsting i et firma. Det er jo nok dem som menes ikke er dygtige nok og som der kommer for mange af.Et bredt kendskab er jo netop vigtigt, men det kan selvfølgelig sagtens tænkes at der er mange som ikke er dygtige nok. Man kan kende til nok så mange sikkerhedsprodukter, men hvis ikke man forstår hvordan sikkerhed virker, så nytter det intet. Den vigtigste viden er den som ikke er knyttet til noget specifikt produkt.
[url=#11]#11[/url] Pally
Selv om vi i Danmark (endnu) ikke har den store tradition for certificeringer, så er CISSP i mine øjne helt klart en af de bedre.Har ikke hørt om den før. Men jeg fandt frem til den her beskrivelse: http://en.wikipedia.org/wiki/CISSP
Det er naturligvis et plus, at den er uafhængig af leverandører. Men kravet om fire års erhverserfaring er lidt uheldigt i en branche, hvor der i forvejen stilles for mange krav om erhvervserfaring. Det nytter ikke, hvis alle virksomheder stiller krav om erhverserfaring. Der er i sagens natur mange nyuddannede uden erhverserfaring. Til personer under uddannelse vil jeg da så lige benytte lejligheden til at man overvejer et studiejob eller et internship. Min fornemmelse er, at det kan være lærerigt. Og hvis man gør det godt kan det også hjælpe når man engang skal ud at søge job efter man er færdig.
[url=#15]#15[/url] fennec
samt lave et system, som ødelækker harddisken hvis kabinettet åbnes.Lækkert! Jeg vil sige, at man kan komme langt med kryptering af disken. Selvfølgelig skal man også overveje situationen, hvor nogen kan slippe afsted med at kopiere disken og installere en keylogger, der opsnapper passwordet, næste gang du booter. Men den er ikke så sandsynlig. En beskyttelse mod at maskinen booter fra andre medier end harddisk vil reducere risikoen for at nogen kan kopiere disken og installere en keylogger uden at du opdager det.
[url=#22]#22[/url] arne_v
Bare fordi at der skal være adgang til port 1433 på LAN behøverI den situation kan en firewall være handy, det har du fuldstændig ret i. Men at gå fra at vide hvordan en firewall sættes op til også at vide, i hvilke situationer det giver mening at bruge den, er et stort skridt i den rigtige retning.
man jo ikke synes at alle på internettet skal kunne connecte.
Men jeg vil stadig holde fast i, at en firewall burde være overflødig også i denne situation. Hvis serveren behandler nogen form for kritiske data, så bør der være en autentifikation, som i sig selv ville være nok til at forhindre uvedkommendes adgang udefra.
Men selvfølgelig er en total blokering af alt trafik på porten simplere end korrekt autentifikation. Og en simplere løsning har mindre risiko for fejl. Så i denne situation vil en firewall være et fornuftigt ekstra lag af sikkerhed.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund