Last September, Forrester did a seminar in Amsterdam on data security – only 10% of the CTOs/CIOs that attended the meeting had plans to implement DLP in 2010.

The Europeans have a point – but, policies and procedures are only as good as the monitoring and enforcement behind them. This is where DLP comes into play- collecting data in several realms – data channels, content and organizational anomalies (downloads, uploads etc…).

In addition – there is a strong and well-known link between the social health of employees in an organization and the company’s economic/business health.  In a successful business unit – people are happy, and happy people contribute to the success of the business.   Unhappy people don’t identify, have problems contributing and leave or cross the line to malicious behavior.

For my money (and this is my experience in a dozen DLP deployments in EMEA) – the key value add of DLP technology is not the prevention part but the monitoring part and it’s role in a feedback / educational loop with the organization.

If you only do one thing this year – you should start measuring data security events and using those measurements to improve your policies, procedures and systems – and user education.

The recent case of the Opsec security violation on Facebook in Israel reported by the Jerusalem Post, is a good example of how a hierarchical organization (Army) is threatened by a flat social network. The good news was that the security countermeasure was found the social network itself – herein lies the lesson.

The IDF was forced to cancel a recent arrest operation in the West Bank after a soldier posted information about the upcoming raid on his Facebook page.The operation was scheduled to take place several weeks ago in the Binyamin region. The soldier, from an elite unit of the Artillery Corps, posted on his Facebook page: “On Wednesday, we are cleaning out [the name of the village] – today an arrest operation, tomorrow an arrest operation and then, please God, home by Thursday.”

The status update on the soldier’s page was revealed by other members of the soldier’s unit. His commanders then updated Judea and Samaria Division commander Brig.-Gen. Nitzan Alon, who decided to cancel the operation out of concern that the mission had been compromised.

Organizations need to leave the static top down control frameworks a few times a year and look outside the organization for links and interdependencies – and talk to the soldiers in the trenches in customer service, field sales and field service.

The information you will get from people outside your firm and from people with dirty hands is far more valuable than rehashing the ISO27001 check list in an audit.

The most valuable data is from questions you haven’t asked yet – not from a checklist in an Excel spreadsheet in the hands of a junior auditor from KPMG.

Hellman proposes that we need a  third state scenario (instead current state – > nuclear war) where the risk of nuclear holocaust has been reduced by several orders of magnitude from today to an acceptable level.

This makes sense and it’s an intriguing idea as an exercise in risk analysis of information security and data protection to see if there is a third state of reduced risk that where the risk of data breach and major data loss events is reduced to acceptable levels.

That’s one thing that got me thinking.

The second thing is the quote from Fyodr Burlatsky, one of Khrushchev’s speechwriters and close advisors, as well as a man who was in the forefront of the Soviet reform movement:

In Krushchev’s eyes [America insisting on getting its way on certain issues] was not only an example of Americans’ traditional strong arm policy, but also an underestimation of Soviet might. … Khrushchev was infuriated by the Americans’ … continuing to behave as if the Soviet Union was still trailing far behind.

So here we are – 2009 and President Obama is insisting on getting his way on certain issues with the  Iranians, who pose a serious nuclear threat to the world.  But no only Ahmadenijad – the Russians and the North Koreans are also  infuriated by the Americans’ … continuing to behave as if they are still trailing far behind.

I am on an email distribution list from the Israeli Export Institute for Israeli software and security companies. The Export Institute is organizing an event for Protecting Critical Infrastructure – the event is slated to take place Brandenburg, in Berlin-Schönefeld, 18 – 20 May 2009. I liked the use of standard security market-speak to describe the opportunity – from the following, it appears that the German market doesn’t view data loss and trusted insider threats as their top priority:

New studies estimate the size of the German IT Security market at around 5 billion Euros, and expect market size to double in the next 5 years. German security managers consider attacks on their companies’ IT Security and internet-related crime to be the most serious security threats to their businesses.

The objective of the event is to expose the growing and dynamic Critical Infrastructure market in Germany to Israeli IT Security solutions and to arrange one on one business meetings between Israeli and German parties.
The target market in Germany is such as operators of critical infrastructures large airports e.g. Berlin and Frankfurt; Transportation & Logistics providers e.g. DHL, Lufthansa, Deutsche Bahn; Chemical industry e.g. BASF, Bayer and Energy e.g. RWE, e.on companies; State Law Enforcement bodies e.g. Federal Criminal Police, Border Police, Federal intelligence Service; Financial Institutions : Deutsche Bank, Commerzbank, Telecom companies e.g Deutsche Telekom, other enterprises and also system integrators e.g. T-Systems,Siemens, Secunet.

I got this from my sister in-law Judith Bedichi this morning – it was written by Dr. Guy Bechor and describes an escalation of security threats to the Jewish State of Israel.  The Israeli Supreme Court is highly-regarded yet clearly preferential to Israeli Arabs, with liberal rulings allowing operations of radical Islamic groups in the name of democracy and human rights.  Dr. Bechor submits that the Supreme Court is a  vulnerability that has been systematically exploited by false claims of groups like Adallah, aiding and abetting security threats to Israel. If you know Hebrew it’s an interesting read.

מסמך “החזון” שחיברה הנהגת ערביי ישראל - לאור מה שקרה בעכו.

מאת דר‘ גיא בכור

בחדשים האחרונים פרסמו ‘ועדת המעקב העליונה של ערביי ישראל‘, ‘וועד ראשי הרשויות הערביות‘ וארגון ‘עדאלה‘ את “מסמך החזון” ! שלהם, כיצד צריכה להיראות מדינת ישראל, ועל מה הם נאבקים. מעניין לציין שאת הארגונים הללו מממנים או מדינת ישראל או יהודים ליברלים מארצות הברית, החושבים שככה הם עוזרים לישראל.

בקצרה, אם לסכם את המסמך הגזעני הזה, הקובע ש “ישראל היא תולדה של פעולה קולוניאליסטית שיזמו האליטות היהודיות-ציוניות באירופה ובמערב“, אילו הם דרישות הערבים, הרואים ביהודים “רוב מהגר“:

1. ביטול חוק השבות.

2. ישראל לא תוגדר עוד כמדינה יהודית אלא כמדינה רב תרבותית.

3. תהיה חוקה פלסטינית, וחברי הכנסת יוכלו לפסול חוקים שיהיו מנוגדים לחוקה הפלסטינית.

4. כל הפליטים הפלסטינים יוכלו לחזור ויקבלו אזרחות ישראלית מלאה. גם פליטים ערבים אחרים יוכלו לקבל אזרחות.

5. אזרחות ישראלית מלאה תוענק לכל צאצא של אזרח שנולד בישראל או בחו‘ל, ולכל מי שיינשא לאזרח ישראלי.

6. המדינה תיסוג כמובן ‘מהשטחים הפלסטיניים‘ עד לגבולות 1967. שם תוקם כמובן מאליו מדינה פלסטינית נקייה מיהודים.

7. הפלסטינים בישראל יוכלו לבחור לעצמם גוף לאומי מייצג.

ועוד ועוד, למה אייגע אתכם. המסמך כל כך יהיר שכמובן ערביי ישראל, אופס, סליחה, ‘הפלסטינים שהאזרחות הישראלית נכפתה עליהם‘ – מכניסים לעצמם גול עצמי.

מדוע? ולמה אני מרוצה מאוד מן המסמך הזה?

כי עכשיו הוסרו כל המחיצות וההסתרות. האמת יצאה לאור.

הרי עד היום ארגונים ערביים אזרחיים-לכאורה פשוט ‘מרחו‘ את בית המשפט העליון, ויחד איתו יהודים תמימים בעולם, וישראלים תמימים לא פחות מהם, כאילו מדובר כאן על מאבק ל‘שוויון‘ אזרחי בישראל, דהיינו לתת לערביי ישראל מעמד אזרחי אישי ובכך יחיו כאזרחים מלאים ושווים. עכשיו המסכה הוסרה. לא שוויון רוצה מנהיגות ערביי ישראל אלא שלטון. לא לחיות לצד הרוב היהודי אלא במקומו. לא לכבד את בית המשפט העליון שנתן להם סעד אלא להשתלט עליו, ולסלק ממנו את השופטים היהודים. אין במסמך מילה לא על זכויות היהודים, לא על לאומיות יהודית או על זכויות היסטוריות של היהודים. דבר. אילו פולשים, טפילים, שהסיטואציה שתיווצר עם חזרת מיליוני הפליטים הפלסטינים תסלקם ממילא.

אפילו אש“ף לא העיז לנקוט בלשון כזו, ובמדיניות כל כך גזענית.

רק הנאצים העיזו להתנסח כך לגבי היהודים, ועד הצורך לסלקם.

וזה קורה כאן.

אני מרוצה כי עכשיו טענות משפטיות לא יוכלו להתחפש עוד.

ומי שלא הבין זאת בעבר יבין זאת עכשיו. תודה לכם עדאלה ויתר הארגונים הממומנים על ידינו, שנתתם לנו להבין בזמן מי אתם, ולאילו שעדיין לא הבינו זאת - עשיתם זאת עכשיו במסמך שלכם בצורה משכנעת ומצויינת.

עכשיו הגיע זמנו של הרוב היהודי לאמר את דברו :

1. הגיע הזמן לבטל את השפה הערבית כשפה רשמית בישראל. עכשיו ברור כי עדאלה לחמה על שילוט בערבית בכל פינה בארץ כעניין לאומני ולא אישי. ערביי ישראל הרי יודעים עברית טוב מרבים מאיתנו.

2. הגיע הזמן לבטל את ההגדרה של ישראל כ‘מדינה יהודית ודמוקרטית‘. שום מדינה לא מגדירה את עצמה כדמוקרטיה אלא מי שצריכה להתנצל על משהו. אני לא צריך להתנצל על דבר. מדינת ישראל היא מדינה יהודית.

3. ועדת המעקב ושאר הארגונים בתחפושת - מתפקדים כארגונים לאומניים אנטי- ישראליים. זה הזמן לבדוק האם ארגונים כאלה חוקיים בכלל במדינת ישראל. גם לדמוקרטיה מותר להתגונן, כאשר חרב האיום כבר מוטלת לפניה על השולחן. המנהיגות הערבית העניקה במסמך את הלגיטימציה המלאה לעשות זאת.

4. יש מקום לבדוק המשך העברת תקציבים ממשלתית לרשויות שהשתתפו במסמך הגזעני הזה. ישראל לא תממן עוד את מי ששואף לחסלה. ראשי הרשויות הערביות נבחרו לנהל את העיריות שלהם (דבר שרובם נכשלים לעשות) ולא לשמש שופר תעמולתי ערבי.

5. והחשוב ביותר. בג“‘ץ הבין או צריך להבין. הוילון הוסר. לא דרישה לשוויון אישי לפנינו אלא לאומנות פלסטינית מבפנים, החוברת ללאומנות ערבית מבחוץ. ועם זה, כאשר זה גלוי וברור, נדע להסתדר.

המנהיגות הערבית אולי אינה מבינה זאת, הרי כל המסמך שלהם מעיד על כך שלא למדו שום לקח מן ההיסטוריה, מאבותיהם ומסביהם.

אך הציבור היהודי בארץ התבגר. התבגרנו. הבנו.

אנחנו לא מטומטמים עוד, כפי שרובנו היינו לפני עשר שנים !!!

אנחנו ניבנה וניבנה, נשתרש ונעמיק, כאשר מיליוני יהודים עוד

יגיעו לכאן.

תודה לכם, מנהיגות ערביי ישראל, שאתם פועלים במרץ לחזק את הציונות שלנו, הגאה והבוטחת בעצמה.

]]> http://www.software.co.il/wordpress/2008/11/%d7%9e%d7%a1%d7%9e%d7%9a-%d7%94%d7%97%d7%96%d7%95%d7%9f-%d7%a9%d7%97%d7%99%d7%91%d7%a8%d7%94-%d7%94%d7%a0%d7%94%d7%92%d7%aa-%d7%a2%d7%a8%d7%91%d7%99%d7%99-%d7%99%d7%a9%d7%a8%d7%90%d7%9c-%d7%9c/feed/ 0 http://www.software.co.il/wordpress/2008/11/70-years-after-kristallnacht/ http://www.software.co.il/wordpress/2008/11/70-years-after-kristallnacht/#comments Wed, 12 Nov 2008 07:16:00 +0000 admin http://www.software.co.il/wordpress/?p=797 It’s sad that on the 70th anniversary of Kristallnacht,  Ehud Olmert and Tzipi Livni felt compelled to mitigate their political vulnerabilities with offers of appeasement to Palestinian terrorists.

Political spin is not a sound replacement for national pride.

Translated literally from the English as the Night of Broken Glass, Kristallnacht was a pogrom  in Nazi Germany in November 9-10. That night, 82 Jews were murdered and 25,000–30,000 were arrested and deported to concentration camps.

Olmert, Livni and Peres should listen up and learn from an event that happened this Friday in Berlin.

I got this item – courtesy of Joseph Bernadette.

The Rykestrasse synagogue in Berlin was torched  on Kristallnacht. This past Friday  saw rabbis bringing the Torah to the synagogue, in a ceremony witnessed by political leaders and Holocaust survivors from around the world. The synagogue, with a capacity to seat 1,200, has been described as one of the jewels of Germany’s Jewish community. Rabbi Chaim Roswaski, who presided at the ceremony ,described the reconstruction as “a miracle.” The re-opening comes at the start of a Jewish culture Festival this week in Berlin.

Who would have thunk?

No question is more important for mounting  effective security countermeasures. The management, IT and security practitioners cannot expect to mitigate risk effectively without knowing the objectives and cost of potential attacks on their organization.

We all depend on transaction processing to run our business and make decisions, no matter how big or small we are. We all use business applications (most of them Web-based these days) to buy, sell, pay vendors and collect from customers.

The prevailing security model predicates defense in depth of transaction systems. The most common strategies are to mitigate risk with network and application security products that are reactive countermeasures; blocking network ports and services, detecting known application exploits, or by blocking entry of malicious code to the network.

Are any of these security countermeasures likely to be effective in the long-term? Can attacks on a business be neutralized with defensive means only? In other words, is there a “fire and forget” security solution for the business? The answer is clearly no.

This is for three reasons:

1. You must understand the attacker. If you understand what a terrorist wants (suicide bomber in a shopping mall sometime next week),  you can save lives with a preemptive attack. In the physical world – we defend the citizens of our country with both defensive and offensive means.  Often a political decision that is up for public scrutiny and criticism, nonetheless we do attack our enemies – with military action; commando raids, precision bombing or carpet bombing.
2. You must understand yourself. Defensive “fire-and-forget” security countermeasures such as an IPS are not a replacement for understanding of where the threats lie and how much your assets are worth. A  Checkpoint SmartDefense firewall can help protect against malformed IMAP commands but  it cannot detect extrusion of proprietary company assets in a gmail attachment. An application firewall can help mitigate well-known XSS vulnerabilities but won’t fix bugs in customized application source code or mend system configuration problems.
3. You must consider the alternate cost. There is no reason for us to attempt to take rational decisions in the real world but abstain from cost-benefit calculations in the cyberspace.  The cost of mounting a cyber attack on a company, bribing/social-engineering an employee to mail a file with all employee details is far less than what the company spends on its information security systems. With  inherently asymmetrical costs of cyber defenses versus cyber attacks, it’s high time to change the rules. Robert Bejtlich has a fascinating discussion on his blog – Mutually Assured DDOS. It’s a catchy title with a lot of interesting insights – but personally – I am not sure that projection of power and deterrence and mutually assured destruction is an acceptable corporate or government business objective.