ארכיון עבור 4th ב-נובמבר, 2009

04
נוב
09

למה כדאי להגדיר מדיניות ולאכוף אותה על כל המשתמשים רטרואקטיבית

מתי בדקת את עצמך בפעם האחרונה, מנהל אבטחת מידע יקר? אני מתכוון, מתי ערכת סקירה מדוקדקת על החלטות והגדרות שביצעת בעבר?

למשל, נניח שיש לך מערכת DLP או SIEM או אפילו Firewall. מתי עברת על כל החוקים, אחד אחד, ובדקת שכולם פעילים, כולם מוגדרים נכון וכולם עדיין רלוונטיים? נלך על דוגמא עוד יותר פשוטה. מתי בדקת שהרשאות שניתנו בעבר לקבוצת עובדים, עדיין נדרשות ורצויות?

אנחנו נוטים לסמוך על החלטות ועבודה שעשינו, או שמישהו אחר ביצע, בעבר. הנה כמה דוגמאות לדברים שגיליתי תוך כדי כך שלא אישרתי אוטומטית בקשות למשתמשים 'על סמך מה שהיה בעבר'.

  • הרשאות לבסיסי נתונים בייצור: אחד המנהלים צעק עלי שלעובד שלו יש כבר שנים הרשאת עדכון, ושאני חייב להחזיר לו מייד ושאני פוגע ברמת השירות בחברה (לך תתווכח עם משפט מנצח כזה…). בשיחה שקיימתי עם אותו עובד, הוא תיאר את העבודה שלו. הוא לא היה צריך הרשאת עדכון ("פשוט היה לו כבר הרבה שנים"). הוא הסתפק בהרשאת קריאה וגם זה רק במקרי תקלות.
  • חיבור ממחשב נייד דרך מודם סלולרי: עובדים מתחברים לרשת ללא טוקן וללא סיסמא על החייגן.
  • חיבור ממחשב נייד דרך מודם סלולרי (עוד אחד): עובד מתחבר ממחשב נייד שלו ולא ממחשב של החברה. מחשב ללא הגנות מינימליות.
  • יוזרים משותפים ברשת: עובדים חולקים את אותו היוזר.
  • הרשאת אדמין על המחשב: זה נוח לעובד, זה בטוח. אבל כמעט אין סיבה שתהיה לו הרשאה כזו. 

ואיך גיליתי את התופעות האלה? בגלל שהחלטתי לא לאשר בקשות שנראו לי לא תקינות. למרות שהעובד טען שזה מה שיש גם לעובדים אחרים. בדקתי כל מיני בקשות כאלה, הגדרתי מדיניות חדשה (לא תמיד ידעתי מה היה מקובל בחברה בעבר), וכפיתי את המדיניות על כל המשתמשים.

כל מי שלא עמד במדיניות, נדרש לספק לי צידוק. לא תאמינו כמה מקרים חריגים, חלקם גובלים בשערוריה (כמו המקרים למעלה), גיליתי. חלק מהעובדים האלה אפילו לא ניסה להתווכח והבין שהמדיניות החדשה הגיונית וצודקת.




נובמבר 2009
א ב ג ד ה ו ש
« אוק   דצמ »
1234567
891011121314
15161718192021
22232425262728
2930  

הרשומות הנצפות ביותר