IT security @ Ivellio Vellin

Re(4): IT security @ Ivellio Vellin

kombipaket — Mon, 19 Apr 2010 13:20:32 GMT

Ad 1: Klar wird er mehr können, als er können soll. Nur darf nichts von dem, was er kann, die Sicherheit gefährden können.

Ad 2: Außer Streit - Logo.

Re(3): IT security @ Ivellio Vellin

codeslayer — Sun, 18 Apr 2010 22:51:13 GMT

ad 1.) Man wird Systeme niemals so abdichten können, dass jeder nur das machen darf was er soll. Auch ohne bewusstes Handeln werden Mitarbeiter Lücken finden, die die Sicherheit bedrohen könnten.
Leider muss man in gewissen Fällen von gewissen Sperren abstand nehmen und die letzte Entscheidung dem User überlassen. Für diese Fälle muss man ein gewisses Verständnis und Disziplin aufbauen.

ad 2.) Außer wenn mp3 auf dem Rechner abzuspielen zur einer der Aufgaben gehört.
Die Befindlichkeiten des einen können auch Notwendigkeiten des anderen sein.

Re(2): IT security @ Ivellio Vellin

kombipaket — Sun, 18 Apr 2010 09:17:28 GMT

IT security fängt vorallem bei der Disziplin der Mitarbeiter

Obwohl ich den Rest deines Postings voll unterschreibe - diesen einen Teilsatz bestreite ich massivst.

Wenn Security von den Mitarbeitern abhängig ist - dann hast Du de facto keinen Schutz vor internen "Bösewichten". Das kann massive Probleme bringen - ich denke da an wirklich bös abgeschaßte Mitarbeiter, interne Streitereien, Mobbing, und simpel Leute, die ihren Zugang dem Mitbewerb freistellen/verkaufen.

. Das kann nämlich wieder zur fehlenden Akzeptanz der Lösung führen

IMHO das Hauptproblem... Und da geht es gar nicht um behinderte Geschäftsprozesse (eine Security, die Geschäftsprozesse kompliziert, ist zum sterben verurteilt), sondern simpel oft um Befindlichkeiten a la "Wie jetzt ? 10 Jahre konnte ich meine MP3s auf meinem Rechner abspielen und jetzt darf ich keine mehr reinkopieren ???"

Wenn die Security aber fein rennt, kann der Mirarbeiter genauso wie vorher _arbeiten_ - und er wird kein vorgeschobenes Argument finden, warum die neue Lösung schlecht ist.

Re: IT security @ Ivellio Vellin

kombipaket — Sun, 18 Apr 2010 09:11:31 GMT

Ich kenne CSOs nur inhouse - und würde schwer davon abraten, so etwas extern zu lösen... Einfach weil ich mir das nicht vorstellen kann.

Wie soll das gehen ?
Wer nimmt neue Produkte sicherheitstechnisch ab ? Wer begleitet Applikationsentwickler und prüft _von_Anfang_an_, ob da nicht krude Designfehler entstehen (wie es gerade in der Anfangsphase von Projekten schnell mal jedem passieren kann) ? Wer prüft Abläufe ?

Wie schon gebracht - Sicherheit ist ein Prozess. Mal schnell einen externen Berater einkaufen und den machen lassen - und danach ist man sicher - spielt es IMHO nicht.

Nachdem das aber ein Prozess ist, der solange dauert wie das Firmenbestehen - kann ich mir kaum vorstellen, dass das extern Sinn macht. Außer es handelt sich um eine seeehr kleine Bude wie einen Friseurladen mit minimalistischer EDV für das Rechnungslegen. Dann brauchst aber auch keinen Externen

Ich gebe aber gerne zu, dass meine Sicht seehr einseitig gefärbt ist, weil ich eben nur die Gschicht mit CSO und eigener Struktur in der Firma kenne.

Re: IT security @ Ivellio Vellin

Dr. Mabuse — Fri, 16 Apr 2010 12:31:48 GMT

http://www.schoeller.at

Re(6): IT security als konzept

gaizkrogn — Fri, 09 Apr 2010 09:37:46 GMT

consultant für den consultant für den consultant.. das wäre dann der rekursive ansatz um die hohe arbeitslosigkeit zu bekämpfen?!?!

achja ich weiß nicht, warum nicht jemanden vom dienstleister einladen der sich die vorhandene IT infrastruktur zu gemüte führt? meinst du man wird dermaßen subjektive empfehlungen geben? also in meiner firma läuft das nun so, dass wir versuchen selbst eine möglichst detaillierte bestandsaufnahme unserer geräte zu machen. dann überlegen wir uns noch was wir in zukunft haben wollen (in erster linie mehr sicherheit im netzwerk) und dann werden wir mit dem paket verschiedene IT dienstleister kontaktieren, vielleicht erstmal konkret die internetauftritte durchforsten und dann die engere auswahl zu einem gespräch einladen. das kostet nichts und führt vermutlich zu einer guten lösung.

ich halte nicht viel von externen consultants weil erfolgsgarantie gibts wie gesagt eh keine und somit kann man es auch selber versuchen (mit dem nötigen know-how). was man verliert ist eventuell ein bisschen zeit..

Re(5): IT security als konzept

Fly — Thu, 08 Apr 2010 14:07:57 GMT

Ich gehe üblicherweise mit Pispers konform, und 90% der selbsternannten Consultants kannst Du auch in die Tonne hauen (weil sie Dir wirklich nur sagen was Dir die Putze über einem Kaffee auch enthüllt hätte), in dem Fall geht's aber um etwas recht Spezielles.

Du kannst einen Consultant recht schnell abklopfen auf sein Wissen. Erstens kannst Dir natürlich 'nen Consultant für Deinen Consultant zulegen, aber dann wird's langsam echt bizarr. Sinnvoller isses da zu gucken ob er ein "Eunuch" ist (also "weiss" wie's geht aber selbst noch nix getan hat) oder ob er vorher auch mal was Anständiges gearbeitet hat. Und natürlich merkst schnell ob er anfängt irgendwelche Lösungen aufzuzählen bevor er überhaupt weiß was Deine Firma so tut oder was sie eigentlich braucht.

Das Consulting bei dem einzuholen der Dir 'ne Lösung verkaufen will würde ich nicht empfehlen, weil dabei immer die Gefahr besteht dass der sofort erkennt, dass Du ganz unbedingt sein Superduperpaket brauchst, auch wenn Du 'ne 30-Mann Bude ohne Server oder VPN bist... ehschowissen...

Re(4): IT security als konzept

gaizkrogn — Thu, 08 Apr 2010 12:07:00 GMT

IT consultant ist wohl dann der begriff der hier gerade im raum schwebt.

tut mir leid, aber den link kann ich mir hierzu fast nicht mehr verkneifen..
http://www.youtube.com/watch?v=ko5CCSomDMY

fakt ist, es ist so der richtige weg. ja, wir brauchen eine genaue abschätzung dessen, was wir brauchen und danach kann ein dienstleister kommen. die fragen sind nun: will mein chef das? können wir das alleine oder brauchen wir besagten consultant? bieten manche dienstleister nicht ohnehin consultants an? fragen auf die ich in den kommenden tagen hoffentlich antworten finden werde!!

Re(2): IT security @ Ivellio Vellin

Raydoo — Thu, 08 Apr 2010 11:04:01 GMT

Bacher ist auch meine Empfehlung

Re(3): IT security als konzept

Fly — Wed, 07 Apr 2010 14:15:33 GMT

Klar. Deswegen würd ich hier bestenfalls nach so einem Berater fragen, nicht nach einer ausführenden Firma.

Die Anforderungen, gerade im Sicherheitsbereich, sind von Firma zu Firma erheblich unterschiedlich. Was für die eine perfekt ist, ist für die andere zu wenig, zu viel, oder einfach der falsche Ansatz. Hier einen Berater zu haben, der erstens mit einigen Firmen bereits gearbeitet hat und andererseits die Anforderungen eines (nicht grad sicherheitstechnisch geschulten) Kunden in ein Anforderungsprofil mit dem eine Sicherheitsfirma etwas anfangen kann übersetzen kann, kann 'ne Menge Geld sparen helfen.

Hab nicht nur einmal erlebt, dass 'ne Minimundusfirma mit vielleicht 30 Mitarbeitern eine fette Astaro in der höchsten Ausbaustufe gedacht für einige Megabyte Filterregeln und 2-10mbit Permanenttraffic, sowohl ein- als ausgehend, viele VPN, viel externer unsicherer Zugriff, etc) rumstehen hat die sich fadisiert weil die Mitarbeiter grad mal mail und "ein bissi Internet" brauchen. Kostenpunkt Fantasie, Erklärung "no, des hod uns de Firma g'mocht, de wos des aa bei $sehr_große_FIrma_die_sowas_tatsächlich_braucht g'mocht hod".

Gute Firma, keine Frage, nur die falsche für die gefragte Lösung. "One size fits all" spielt's hier einfach nicht. Und "viel hilft viel" ist genauso 'n Murks, weil die Filterregeln von der Wall kein Mitarbeiter dort pflegen könnte, selbst wenn er wollte.

Re(2): IT security als konzept

user96106 — Wed, 07 Apr 2010 14:06:34 GMT

das kann dir mit externem berater aber auch passieren. da musst auch erstmal einen guten finden

Re: IT security als konzept

Fly — Wed, 07 Apr 2010 14:03:49 GMT

Wie gesagt, wenn Ihr es wirklich ernst meint, holt Euch einen externen Berater mit entsprechendem Background an Bord, der die für Euch richtige Firma aussuchen hilft. Besser drei-vierstellig in einen Berater investiert, als 2xfünfstellig in zwei Lösungen weil die erste 'n Windei war.

IT security als konzept

gaizkrogn — Wed, 07 Apr 2010 13:33:17 GMT

hey! jop, genau so eine abzocke will ich eben nicht. aber grundsätzlich verstehe ich zum glück schon etwas von IT lösungen und von einem "ordentlichen" netzwerkaufbau. die fachbegriffe sind mir weitestgehend auch bekannt und somit kann ich auch abschätzen ob mich jemand übers ohr hauen will oder nicht. hoff ich halt!
dass IT security ein prozess und kein produkt ist, weiß ich natürlich. aber IT dienstleister vertreiben "es" oft als gesamtkonzept oder eben als produkt, daher meine frage auf diese art.
auf ivellio vellin bin ich im wesentlichen durch einen tipp von einem bekannten gekommen. sie bieten firewall, backup, verschlüsselung, etc. auch datenrettung in einem paket an was ich sehr gut finde. genau so etwas wäre auch gewünscht!
ich denke man muss sich der anforderungen bewusst sein und dann je nach dienstleister entscheiden, oder? wie schon geschrieben wurde, es gibt dienstleister wie sand am meer und viele durchtesten geht nicht.

Re(3): IT security @ Ivellio Vellin

codeslayer — Wed, 07 Apr 2010 11:30:58 GMT

Ich war u.a. in einer sehr bekannten Wiener Spielesoftwarefirma in einer leitenden IT Position tätig, und wir haben die IT security selbst gemanaged bzw. punktuell externe Leistungen dazugekauft. Da kommt man im Laufe der Zeit drauf wie es laufen sollte.
Wir mussten eine Gradwanderung zwischen Freiheit und Einschränkungen vollziehen. Vorallem in so einem Umfeld wo die Mitarbeiter eine recht "lockere" Arbeitsumgebung aus der Vergangenheit (10+ Jahre) gewohnt waren.
Als wir begonnen haben mehr Augenmerk auf IT security (und safety) zu legen waren viele der heutigen HW & SW Produkte gar nicht vorhanden oder steckten in Kinderschuhen. Wir mussten uns viele Sachen selbst erarbeiten und aus Fehlern lernen.

Re(4): IT security @ Ivellio Vellin

Fly — Wed, 07 Apr 2010 08:38:29 GMT

Darum geht's noch nicht mal. Häufig begegnen mir, wenn ich zu sowas geladen werde, zwei Phänomene:

1. Die Kunden, die per saldo nur und ausschließlich was wollen weil's die Versicherung (oder die ISO) will. Denen isses de facto egal ob was passiert, hauptsach die Versicherung ist zufrieden oder die ISO-Auflagen erfüllt.

2. Die Kunden, die zwar Sicherheit wollen, die darf vielleicht sogar was kosten, aber nur einmal und dann für immer. Die wollen ein Produkt, das man in die Ecke stellt und das passt dann auf. Für immer und ewig. Einmal installieren, dann vergessen. Und bloß nicht irgendwelche Abläufe in der Firma ändern oder gar Mitarbeiter schulen und/oder instruieren oder sonstwie "vom Arbeiten abhalten".

Beides ist für mich ein Grund den Auftrag an dieser Stelle zu beenden.

Re: IT security @ Ivellio Vellin

Fly — Wed, 07 Apr 2010 08:36:07 GMT

Ich kenne die Firma (offiziell) nicht. Entsprechend sag ich auch nix zu ihr.

Nur gibt's grad in der Branche unheimlich viel Snakeoil. Und entsprechend viele, die aus der Tatsache dass der Kunde meist NOCH weniger über das Thema weiß Geld machen.

Auf jeden Fall solltet Ihr einige Leute interviewen und sie abklopfen, optimalerweise mit jemandem auf Eurer Seite, der zumindest 'nen Hauch Ahnung hat und entscheiden kann, ob der, der da redet, auch was sagt.

Re(3): IT security @ Ivellio Vellin

user96106 — Wed, 07 Apr 2010 08:21:51 GMT

drum funktioniert es ja vielfach auch nicht. denn in vielerlei entscheidungsträgergehirnen reicht es ja, wenn an vorderster front eine fette cisco oder checkpoint appliance steht und alles ist gut.

und natürlich darf es auch so keine einschränkungen im netz geben, denn was zuhause funktioniert hat auch gefälligst im unternehmen zu funktionieren. kann ja ned sein, dass man die neuesten cracks und pornmovies ned downloaden kann. das schränkt einfach nur die arbeitsweise ein.

Re(2): IT security @ Ivellio Vellin

Fly — Wed, 07 Apr 2010 06:17:03 GMT

Doschau, kennen wir uns?

Das war mit Abstand die kürzeste und beste Zusammenfassung des Problems. Security ist ein Prozess, kein Produkt.

Re: IT security @ Ivellio Vellin

codeslayer — Tue, 06 Apr 2010 22:30:25 GMT

IT security fängt vorallem bei der Disziplin der Mitarbeiter und entsprechenden Policys seitens der Firmenleitung an.
Ein IT Security Dienstleister sollte dies auf jeden Fall berücksichtigen, das Unternehmen entsprechend analysieren und passende Policys der Geschäftsleitung vorschlagen. Es ist auch wichtig die Sicherheitsmaßnahmen so zu skalieren, das die eigentlichen Geschäftsprozesse des Kunden nicht gelähmt werden. Das kann nämlich wieder zur fehlenden Akzeptanz der Lösung führen und die Bemühungen sinnlos machen.
Mit einer einmaligen Hauruck-Aktion kann man das Problem meist nicht in den Griff bekommen. Das muss man meistens Iterativ erarbeiten, also grob gesprochen:
1. Analysieren
2. Planen
3. Implementieren
4. Kontrollieren
5. ...wieder zu Schritt 1 bis es passt

Ein "gscheiter"[TM] Dienstleister sollte das auf jeden Fall so machen.

Re: IT security @ Ivellio Vellin

codeslayer — Tue, 06 Apr 2010 22:30:25 GMT

Re: IT security @ Ivellio Vellin

-Transformer2K- — Tue, 06 Apr 2010 20:07:59 GMT

http://www.network.co.at und http://www.bacher.at sind auch zwei gute EDV-Dienstleister! bei Ivellio-Vellin haben wir höchsten die Druckerwartung in Vertrag

Re: IT security @ Ivellio Vellin

Wizard51 — Tue, 06 Apr 2010 18:31:21 GMT

http://www.hth.co.at
http://www.acp.at

Hab mit den beiden in Sachen Security sehr gute Erfahrungen gemacht.

Re: IT security @ Ivellio Vellin

user96106 — Tue, 06 Apr 2010 18:21:07 GMT

solche firmen gibts wie sand am mehr, du solltest halt genau definieren was du unter IT security verstehst. im prinzip musst du ja schon mal zwischen netzwerkkomponenten und server/client komponenten auftrennen.

bei meinem alten arbeitgeber machten wir gute erfahrungen mit snt und itsdone. bei der jetzigen firma wird alles inhouse erledigt mit eigenem personal.

IT security @ Ivellio Vellin

gaizkrogn — Tue, 06 Apr 2010 17:47:13 GMT

hey leute! brandaktuelle frage: in meiner firma wurde vor 2 wochen durch einen virus oder trojaner (genau weiß das eigentlich niemand ) das komplette netzwerk lahmgelegt und das hat uns ziemliche umstände bereitet. jetzt läuft zum glück wieder alles halbwegs ok aber sowas soll natürlich in zukunft nicht mehr wieder passieren.. darum bittet mich mein chef jetzt ich soll nach einem IT dienstleister ausschau halten. ich bin dabei auf ivellio vellin gekommen, weil die in österreich IT security anbieten. kennt die zufällig jemand? ich würde gerne vorher ein paar inoffizielle meinungen einholen bevor ich mich dort auf die matte stelle..