Tussen de vele RSAc-sessies met technische analyses, buzzwords, doemtijdingen en positieve toekomstvoorspellingen door, is het altijd prettig om een thema te ontdekken. We hebben het al gehad over de drie D's, maar een andere is het idee dat je mensen nodig hebt. Logisch natuurlijk, maar als beveiligers, analisten én leveranciers tegelijk roepen dat tools geen panacee zijn, valt dat op. Een paar citaten van de conferentie:

Ira Winkler, directeur van Secure Mentem en Computerworld-auteur, stelt dat tools mensen niet kunnen vervangen:

"Als een leverancier je perfecte beveiliging belooft met een product, dan is het een idioot of een leugenaar. In beide gevallen moet je er geen zaken mee doen."

HackerOne's Katie Moussouris hekelt wetgeving die bijvoorbeeld pentesting een gevaarlijke bezigheid maken, zoals een onlangs presidentieel bevel, en draconische maatregelen die juist de mensen die zo hard nodig zijn achter de tralies zetten:

"Ik zei het vorige week ook nog op de cybertop in Den Haag: we moeten ophouden met wetgeving die onze best & brightest wegjagen. We hebben die goede mensen nodig. Ervaring is zoveel waardevoller dan een diploma."

Grant Geyer, nota bene productbaas bij RSA, vindt dat producten nooit een vervanger kunnen zijn van ambachtelijk werk:

"Tools zijn er om IT'ers bij te staan. Wat we écht nodig hebben zijn jagers die op zoek gaan naar infiltranten. We moeten af van die houding dat de configuratie wordt gedaan en de tools dan zorgen voor de beveiliging."