Ifrågasätt dina konsulter

av Stefan Pettersson

För några veckor sedan hävdade jag att säkerhet är ganska enkelt ändå. I större utsträckning än de flesta tror är det sunt förnuft och erfarenhet som är grunden. En av riskerna med att uppfattningen inte är särskilt utbredd är att vi säkerhetsfolk enkelt kan lura folk. Det är inte helt ovanligt, branschen är full av FUD. Ett utmärkt exempel dök upp på Server Fault för några dagar sedan: Our security auditor is an idiot, how do I give him the information he wants?.

En systemadministratör har råkat ut för en ”security auditor” som begär att få ut listor på bl a alla användares lösenord och en massa andra dumheter, oklart i vilket syfte. När han blir ifrågasatt svarar han med hot och en allmän översittarattityd. Som sagt, en idiot.

Om din säkerhetskonsult rekommenderar något som du tycker verkar konstigt eller underligt, ifrågasätt! Antingen ska konsulten kunna övertyga dig eller så ska de kunna ändra sig och förklara varför. Säkerhet är en typisk market of lemons och öppenhet är extremt viktigt.

Tack Ted Meyer som pekade ut tråden på Server Fault!


Stefan Pettersson

Annonser