derPUPEWenn sich eine mir nahestehende Organisation ehrlich machen würde, müsste sie bei einigen Infrastruktur-/Architektur-Themen klar sagen:
"Wir wollen keine stringente #CyberSecurity, wir wollen lediglich #CyberCompliance"
Angbor
C.Suthorn 
@[email protected] complience ist aber doch voraussetzung von security. Aber es geht den leuten ja nicht um complience zu vernünftigen dingen, sondern um complience zu in der vergangenheit getroffenen Entscheidungen bei denen heute klar ist, dass sie falsch sind und teilweise dies schon zum zeitpunkt der entscheidung erkennbar war.
Dr. Christopher Kunz@[email protected]
Hast Du ein Beispiel für eine Situation, wo die Betroffenen sich nicht an die gültigen Regeln halten, aber trotzdem die Sicherheit gewährleistet ist? mir fällt keines ein, aber ich bin interessiert.
@[email protected]
@Life_is @derPUPE Triviales Beispiel aus der aktuellen Anschauung: Cryptosuite nutzen, die nicht in den offiziellen und als "compliant" markierten Empfehlungen ist. Vgl. BSI TR-02102 und ChaCha20_Poly1305
Oder: Mails mit GnuPG verschlüsseln, obwohl nicht in der Org als compliant markiert.
Oder SSH nutzen, wo die Organisation Telnet vorsieht.
Compliance - auch und gerade im Kontext von ISO27001 - bedeutet _nicht_ Sicherheit, sondern beweisbare Befolgung der (tlw. selbst auferlegten) Regeln.
Oder: Mails mit GnuPG verschlüsseln, obwohl nicht in der Org als compliant markiert.
Oder SSH nutzen, wo die Organisation Telnet vorsieht.
Compliance - auch und gerade im Kontext von ISO27001 - bedeutet _nicht_ Sicherheit, sondern beweisbare Befolgung der (tlw. selbst auferlegten) Regeln.
@[email protected]
An diesen Aspekt hatte ich nicht gedacht. Aus meiner Sicht ist das nicht missachtung, sondern übererfüllung. Glücklicherweise bin ich nicht in der Situation.
(ssh - telnet ist auch ein nicht so optimales beispiel. Auf einem Raspberry Pi wollte ich telnet statt ssh nutzen, habe aber festgestellt, dass keine der im Web für mich auffindbaren anleitungen noch funktioniert. )
@[email protected]
Yrrsinn