jump to navigation

Forum

De discussie ruimte van dit blog. Heel geschikt voor off-topic discussies.

Advertenties

Reacties»

1. Gertjan - mei 30, 2006

Juridische aspecten zijn nuttig en noodzakelijk. Maar in hoeverre moeten we ons bij het opzetten van het FIS iets aantrekken van SOX regelgeving? Het is extra-territoriale wetgeving. Willen we deze last meteen inbouwen in het FIS en gedurende het ontwikkeltraject met ons meesjouwen, of maken we een connector (een interface) waar dit soort dingen naderhand op aangesloten kunnen worden?
Ik voel het meest voor het laatste. Eerst de eigen wet- en regelgeving, dan een hele tijd niets en als er tijd overblijft de krullen.

Gertjan 8)

2. Rolf - juni 5, 2006

M.i. staat Sox regelgeving buiten de scope van forensisch onderzoek. Sox gaat over transparantie in financiele rapportage en is als preventie voor witte-boorden criminaliteit. Sox zegt helemaal niets over hoe een eventueel (financieel) misdrijf te bewijzen is in het kader van computer forensics.

3. Gertjan - juni 5, 2006

Ok, dat klopt. Maar als je SOX regelimplementatie niet goed heeft gewerkt – dit niet tijdig is geconstateerd door de auditors – en er toch witte boorden criminelen hun slag hebben geslagen, kan het handig zijn als je FIS ook deze gegevens kan opkuchen. Dan moet het FIS wel “kennis” hebben van de benodigde informatie. Tenzij dit niet anders is dan de normaliter al gewenste of benodigde gegevens. Ik denk dat dit concurrentiegevoelige gegevens betreft die, zeker als ze in een dataset beschikbaar zijn met de andere gegevens uit het FIS, met de nodige omzichtigheid behandeld moeten worden. Vandaar mijn stelling: het kan allemaal wel, maar pas op een later tijdstip. Noem het de schaalbaarheid van het FIS.

4. Coen - juni 6, 2006

Ik ben het eens met de stelling van Rolf dat SOX los staand van forensisch onderzoek. Mocht er aanleiding bestaan tot het doen van forensisch onderzoek dan dienen de benodigde gegevens, op een juridisch houdbare wijze, verzameld te kunnen worden. SOX doet geen uitspraken over hoe een en ander opgeslagen en als bewijslast gebruikt kan/moet worden. SOX lijkt mij dus buiten de scope vallen.

5. Martin - juni 6, 2006

Heren,

Klopt, soxa valt buiten scope. Soxa doet wel uitspraken over bijvoorbeeld logische toegangsbeveiliging en IT operations/change management. Dit zijn aspecten die we mee moeten/kunnen nemen in deze opdracht

6. Gertjan - juni 11, 2006

Organisatorische inbedding, is dit een issue voor het FIS? Bert en Hans denken erover (http://berthans.wordpress.com/), ik deel hun mening niet. Maar wat vinden jullie ervan?

Volgens mij is het FIS een informatiesysteem, waarvan het management de eigenaar is (de directeur dus) en ergens bij P&O of POI zit de applicatiebeheerder. In ieder geval niet in de I(C)T. Eventueel kan de securitymanager, CISO, whatever, de applicatiebeheerder zijn.

Als er een incident is zal het calamiteitenteam – wiens taak het is zo snel mogelijk productie te herstellen en te laten hervatten – geen capaciteit beschikbaar hebben om met FIS te stoeien. In principe moeten de beschikbare beheerstools voldoende zijn om de aard en omvang van het incident (DDOS, virus, hacker) te detecteren en af te handelen.

Zaken waar het FIS voor bedoeld is (naar mijn mening), raken de diepere achtergronden van financiele malversaties, manipulatie van gegevensbestanden of databanken, opslag en transport van ongewenste informatie, etc.

Laat maar horen hoe jullie hierover denken.

Gertjan 8)

7. Wilbert - juni 12, 2006

Ik denk dat het FIS dusdanig dient te zijn dat er niet mee gestoeid hoeft te worden (een druk op de knop). Ook denk ik dat het moment van het drukken op de knop best wat later kan zijn dan op het moment dat het incident onder controle wordt gebracht.

Het beheer van het FIS zou los moeten zijn van het drukken op de knop. Ik kan me indenken dat het beheer gebeurd door de staande organisatie. Maar dat de beslissing om op de knop te drukken bijvoorbeeld door een overleg groep wordt beslist (bv CSO/CISO, HR, Legal).

8. Gertjan - juni 13, 2006

De suggestie om een overleggroep van belanghebbenden uit de business de beslissing te laten nemen op de knop te drukken snijdt hout. Bedankt!

Gertjan 8)

9. Gertjan - juni 13, 2006

De hitcounter die bij WordPress de bezoekersaantallen bijhoudt is niet helemaal fris: het ding telt terug! Van 681 hits opeens terug naar 676 en hij eindigt op 665 hits.

Zeker last van de warmte ?!

Gertjan 8)

10. Gertjan - juni 14, 2006

Eén regenbuitje en de hitcounter doet zijn werk weer 😉 Toch wel een apart, zo'n weergevoelige weblog. Zou hij vrijdag oranje worden als we winnen?

Gertjan 8) 

11. Wehbesei - december 13, 2008

Thanks!,


Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: