לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


2/2009

שיווק אבטחת מידע


סיסו (אין לי שם טוב יותר) כותב על שיווק אבטחת מידע. אני מסכים עם חלק מהטיעונים שלו (לא אחזור עליהם, זו הזדמנות טובה לקרוא אותו), אבל אני חושב שהוא קצת מפספס את העיקר. הסיבה שאבטחת מידע נתפסת כגורם שלילי בארגון אינה תוצאה של שיווק חסר אלא תוצאה של עבודה עיקשת הנמשכת שנים. עבודה גרועה כמובן. בהערות כתב ישי כי על מנהל אבטחת המידע לראות במטרות העסק מטרות שלו. זו אמירה נכונה, אך חלקית. הטעות הראשונה של מנהלי אבטחת מידע היא שהם לא מבינים עסקים. זו אגב טעות נפוצה של אנשי IT בכלל. זו אותה הטעות שיוצרת מתח בין מחלקות עסקיות למחלקות מחשוב. כולם רואים את מטרות הארגון כמטרות שלהם (יש מי שיותר ויש מי שפחות) אך הנקודה המרכזית היא להבין כיצד הארגון עושה כסף. להבין לעומק. מתוך התובנה הזו ניתן גם באמת לגזור סיכונים עסקיים. סיכונים שחלקם הם סיכוני אבטחת מידע.
לאורך השנים, הן כמנהל אבטחת מידע והן כיועץ, יצא לי לראות הרבה מנהלי אבטחת מידע שעושים שגיאות יסודיות בניהול אבטחת המידע. שגיאות אלה התבטאו ביצירת תפיסה שלילית בארגון לאבטחת מידע. השגיאה הראשונה היא שימוש בלא כתחליף לנימוק. כשהייתי בסדיר (ובימים אלה במילואים) קבעתי לעצמי כלל - אם אני לא מסוגל להסביר לגורם המקצועי מולי את הסיכון באופן שישכנע אותו, ייתכן ואני מדבר שטויות. תמיד יכולתי לומר לא או להצמד לנוהל. אך אם לא ניתן למצוא היגיון בנוהל, אפשר בפשטות להניח שהוא חסר היגיון. השגיאה השניה היא זלזול בתהליכי עבודה עסקיים. כמתבוננים מהצד אנו נוטים לראות הכל בראייה ביקורתית. זו נטייה טבעית, בדיוק כמו שכל מי שנכנס לסופר ישר חושב איך הוא היה מסדר את המדפים טוב יותר. בתחומי קבלת החלטות זו הטייה שאין לה שם, אך משמעותה היא שאנו נוטים לדבר בבטחון על דברים ככל שאנו מבינים בהם פחות. כך אנו נוטים לפרש את התהליך העסקי בצורה פשטנית ונוטים להכתיב לגורמים העסקיים תצורת עבודה שנראית לנו נכונה יותר. פשוט כיוון שאנו מבינים באבטחת מידע ומבינים את כל הסיכונים, אך לא מבינים דיינו בעסקים ולכן לא מזהים סיכונים עסקיים הנובעים מצורת עבודה לא נכונה. התוצאה היא התנגשות ראש בראש עם הגורם העסקי, כאשר אנחנו יודעים מי באמת מכניס כסף לארגון. השגיאה השלישית והאחרונה היא הערכת יתר של סיכונים במקרה הטוב ושימוש באלגוריתם פחו"ס (פחד, חוסר ודאות, ספק) יתר על המידה במקרה הרע. בפגישה שהייתה לי לאחרונה באחד הבנקים דנו בנושא של הערכת סיכונים וחשיבותה. התוצאה הממשית של היעדר כלים טובים דיים לביצוע הערכת סיכונים בארגון היא ניפוח סיכונים והתייחסות לסיכונים לא רלוונטיים. ניפוח הסיכונים נובע מההנחה שעדיף לומר שייתכן שיגנבו ושלא יגנבו מאשר לומר שסביר שלא יגנבו ושיגנבו. זו הטייה שנובעת משנאת הפסד. אנו שונאים הפסד יותר משאנו אוהבים רווח. זו הטיה טבעית, אך משלמים לנו כדי לא ליפול בה. בפועל מנהל אבטחת מידע טוב מציג את הסיכונים ומאפשר לארגון שלו לקחת סיכונים שקולים בבטחון. הנושא של התייחסות לסיכונים לא רלוונטיים נובע מהנטייה הטבעית שלנו להתייחס לסיכונים אקזוטיים שנחרתים בזיכרון יותר מאשר לסיכונים ממשיים ויומיומיים. זו הסיבה שכולנו מפחדים מטרור אך כנראה שנמות מהתקף לב או תאונת דרכים. כשאני מרצה לגופי בטחון אני תמיד מנסה להסביר להם שמרגלים באים רק עם סיווג בטחוני. הם עדיין כולם חוששים מאיש האחזקה חסר הסיווג שירגל אצלם.
בתמצית, מנהל אבטחת מידע לא צריך לומר כן או לא. תפקידו הוא אחד - להבין מה הגורם העסקי צריך ולאפשר את זה. לא בתשעים אחוז ולא בשמונים אחוז. במאה אחוז. בשביל להבין מה הוא צריך לא צריך לשמוע מה הוא רוצה, צריך ללמוד ולחקור ולהבין מה הוא צריך. מה שהלקוח הפנימי אומר שהוא רוצה זה לא בהכרח מה שהוא רוצה. מה שהוא רוצה זה לא בהכרח מה שהוא צריך. היכולת להבחין בין אלה לא טריוויאלית.
נכתב על ידי , 23/2/2009 22:49   בקטגוריות ניהול אבטחת מידע  
12 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט


כינוי: 

גיל: 48




65,156
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2024 © עמותת ישראבלוג (ע"ר)