יומן אבטחה

תגובות לקטע: החוליה החלשה  הוספת תגובה חדשה


משתמש מאומת (האתר שלי) , 22:59 20/6/2007:
שלום, אני חדש כאן, הבלוג שלך מרתק.
 
רציתי לציין כי יש לי בעיה עם הבחירה שלך להאמין כי עובדים הם אנשים טובים בעלי כוונות טובות. אני מסכים איתך שרובם המוחלט של העובדים הם כאלו, אך אני לא חושב שאבטחת מידע באה להגן מפניהם. אבטחת מידע, להבנתי, מגיע לגונן מפני שני סוגים של אויבים - חיצוניים (דהיינו אלו שאינם עובדים בחברה) ופנימיים (דהיינו עובדים בחברה שאינם אנשים טובים בעלי כוונות טובות, בהגדרתם). הטענה כי חיפוש אחר עובד בעלת כוונות זדון לא יוביל רחוק כי יגרום להתמקד בתרחיש קיצון משולה לטענה כי חיפוש אחר מחבל מתאבד לא תוביל אותנו רחוק כי מדובר בתרחיש קיצון. אני מסכים שמדובר בתרחיש קיצון - אך חשוב להגן מפניו.
 
לגבי סוגיית קיטלוגם של עובדים כבעיה או אילוץ, אני חושב שמדובר בסמנטיקה. סך הכל אני חושב שתסכים שעובדים הם אילוץ, אבל הם אילוץ די בעייתי (כי קשה לשלוט בו ולהבין את דרך פעולתו באופן מוחלט)

הוסף תגובה לתגובה  קישור ישיר לתגובה

, 09:10 21/6/2007:
אתה טועה במידה מסויימת. חשוב להבין שאבטחת המידע אינה באה להגן רק מפני העובדים "הלא טובים" או בעלי הכוונות הרעות, אלא מפני העובד הממוצע שמייצר כשלי אבטחה בשוגג. זה לא כי הוא מעביר סיסמאות כי הוא מנסה לפרוץ לחשבון לא שלו, אלא הוא צריך כרגע להיכנס לעשות משהו לצורך עבודתו וכפי שציין עומר, התהליך הקיים באותו ארגון לא נותן לו מענה מספיק מהיר או אפקטיבי.
זה מאד דומה לתקלות מחשוב או תפעול. רבות מהן נובעות משימוש לא נכון של עובדים, אבל רובם לא עושים זאת בכוונה, פשוט ככה הם עובדים והמערכות לא תוכננו לתת לזה מענה. לא בעיה של העובדים - בעיה של המערכת.

הוסף תגובה לתגובה  קישור ישיר לתגובה  ^

 (האתר שלי) , 19:58 21/6/2007:
אוקיי, מספר הבהרות.
אני לא חושב שלא צריך לבחון את התרחישים השליליים, אלא שרוב התקלות (לפחות כמותית) מגיעות מכיוון משתמשים חיוביים. צריך להתייחס לאפשרות של משתמשים זדוניים, אך רוב הבעיות (שבתורן מאפשרות לפורץ לחדור באמת) הנן תולדה של משתמשים עם כוונות טובות. הדוגמה המועדפת עליי היא לא מחבלים אלא נהגים. זה חשוב לחפש את הנהגים הפליליים, אך הבעיה מגיעה מהנהג הממוצע. אם המשטרה תקבל את זה שיש התנהגות מסוימת של נהגים, היא עשויה לחפש דרכים אפקטיביות להתמודד עם תאונות דרכים במקום עוד ועוד קנסות.

אני אתחכם. אני מסכים שמדובר בסמנטיקה - כלומר זה עניין של משמעות. אני חושב שההבדל מאוד משמעותי ומתבטא בתפיסות עולם שונות. אצלי העובד הוא לא אילוץ בעייתי, הוא נתון. כמו מיקום המבנה של הארגון. אצל ה"בעייתנים", העובד הוא מכשול ולכן צריך "לטפל" בו. זה הרבה מעבר לבחירת מילים שונה.

הוסף תגובה לתגובה  קישור ישיר לתגובה  ^

, 09:15 21/6/2007:
אני מסכים לגמרי עומר. אחד הדברים שנוכחתי בהם בשנים האחרונות, הוא שבמאמץ נואש לטפל בגורם האנושי עלתה מאד בארגונים חשיבות ההסברה והמאמץ לטפל במודעות עובדים ולרתום אותם לטובת האבטחה. ככל שאני רואה יותר אני מבין יותר כמה העלות-תועלת של מאמץ זה היא בעייתית (אגב בעבר חשבתי אחרת). קודם כל, לעובדים אין שום אינטרס מהותי לשמור על אבטחת מידע ברמה שאתה מבקש מהם, בסופו של דבר כמעט לעולם יגבר האינטרס התפעולי/עסקי המיידי להעתיק את החומר לדיסק און קי, לשלוח במייל הביתה כדי להמשיך לעבוד עליו וכן הלאה. שנית, עובדים בארגונים גם ככה מופצצים בכמויות מידע, הודעות ארגוניות, נהלים וכן הלאה, כך שנושא האבטחה הוא עוד אחד מאלף נושאים שהעובד צריך להיות מודע אליו, לא ממש תופס מקום ראשון בקוגניציה שלו.
שלישית, תהליכי מודעות בדרך כלל מתבצעים פעם אחת מידי תקופה לא קצרה. במהלך התקופה הזו הגיעו עובדים חדשים, נהלים השתנו, תהליכים שונו ועוד, כך שנוצר מצב שבאופן קבוע יש קבוצה משמעותית של אנשים שבכלל לא מודעים מספיק לנושא האבטחה ולאו דווקא עברו הדרכה מסודרת בתחום.

הוסף תגובה לתגובה  קישור ישיר לתגובה

, 09:21 21/6/2007:
רביעית: אם אין אכיפה ובקרה שוטפת ונראית לעין (כלומר מקרים שמפורסמים בצורה גלויה בארגון לצורך הרתעה) המודעות לא שווה הרבה, מה גם שארגונים רבים לא ממש רוצים או רצים לטפל בעובדים שסרחו בצורה משמעותית ו/או נראית לעין, הן מטעמי HR, טעמים משפטיים, פסיביות של מנהל אבטחת המידע וכן הלאה (במיוחד ארגונים שאין בהם מנגנון ציות מובנה כגון ארגונים בטחוניים או פיננסיים).

ושורה תחתונה - ההתייחסות לעובד כבעיה היא אכן בעייתית. מסכים שצריך להתייחס לעובד כאל אילוץ, כמו מערכת מיושנת שאין בה יכולות אבטחה ולכן נדרשות בקרות מפצות כדי לאבטח אותה. אותו דבר לגבי עובדים - צריך להתאים תהליכים, מנגנונים, אמצעים טכנולוגיים ושיטות בקרה ואכיפה כדי לצמצם את הסיכון בנושא הגורם האנושי. אינני אומר שלא צריך לשאוף למודעות עובדים ואפילו לפעול לצורך כך מדי פעם, אבל כנראה שלא פה קבור הכלב (זהו עצם הענין...).

הוסף תגובה לתגובה  קישור ישיר לתגובה  ^

 (האתר שלי) , 19:59 21/6/2007:

אתה מוזמן לכתוב רשימת אורח בנושא.

הוסף תגובה לתגובה  קישור ישיר לתגובה  ^

משתמש מאומת (האתר שלי) , 18:34 22/6/2007:
אני חייב להודות שאני רואה הרבה פעמים בעובדים בעיה שצריך להתמודד איתה. זה לא אומר שכשאני רואה את זה כך זה מספיק אלא צריך לבדוק מה הכשלים שאותם עובדים "בעייתיים" יכולים לייצר.
הרבה פעמים אני מגיע למסקנה שאין טעם לטפל בבעיות אבטחה מסויימות פשוט כי אין להם פתרון יעיל.
 
מעבר לזה אני חייב ציין שהפוסט והדיון שבעקבותיו בתגובות השאיר אותי עם טעם של עוד.
נהנתי.
 

הוסף תגובה לתגובה  קישור ישיר לתגובה

אבירם (האתר שלי) , 06:12 28/6/2007:
עומר, יפה אמרת.
מי שמתייחס לעובדים כאל "בעיית אבטחת מידע" יגשים את הנבואה. כך גם מי שמתעקש על המשוואה "אבטחת מידע היא ההיפך מקלות שימוש" ועוד כהנה וכהנה "אקסיומות" שאינן יותר מעצלנות מחשבתית.


הוסף תגובה לתגובה  קישור ישיר לתגובה

 (האתר שלי) , 20:00 28/6/2007:
מסכים לחלוטין. בדיוק כמו הטענה שאבטחת מידע עולה כסף (כי שרתים, תוכנה ורשיונות גדלים על העצים).

הוסף תגובה לתגובה  קישור ישיר לתגובה  ^

הוספת תגובה חדשה:

סוג תגובה:

 שם:
 email:
 
(או מספר הבלוג)   האתר שלי:
  מצב רוח: ריק                           בחר: ריק קול סבבי אה? סטנדרטי אוף עצוב עצבני
קוד אבטחה:
במשלוח התגובה אני מאשר/ת כי ידוע לי שהאחריות לתוכן התגובה היא עליי ולא על האתר ישרא-בלוג ומנהליו.  
שלח