04
נוב
09

למה כדאי להגדיר מדיניות ולאכוף אותה על כל המשתמשים רטרואקטיבית

מתי בדקת את עצמך בפעם האחרונה, מנהל אבטחת מידע יקר? אני מתכוון, מתי ערכת סקירה מדוקדקת על החלטות והגדרות שביצעת בעבר?

למשל, נניח שיש לך מערכת DLP או SIEM או אפילו Firewall. מתי עברת על כל החוקים, אחד אחד, ובדקת שכולם פעילים, כולם מוגדרים נכון וכולם עדיין רלוונטיים? נלך על דוגמא עוד יותר פשוטה. מתי בדקת שהרשאות שניתנו בעבר לקבוצת עובדים, עדיין נדרשות ורצויות?

אנחנו נוטים לסמוך על החלטות ועבודה שעשינו, או שמישהו אחר ביצע, בעבר. הנה כמה דוגמאות לדברים שגיליתי תוך כדי כך שלא אישרתי אוטומטית בקשות למשתמשים 'על סמך מה שהיה בעבר'.

  • הרשאות לבסיסי נתונים בייצור: אחד המנהלים צעק עלי שלעובד שלו יש כבר שנים הרשאת עדכון, ושאני חייב להחזיר לו מייד ושאני פוגע ברמת השירות בחברה (לך תתווכח עם משפט מנצח כזה…). בשיחה שקיימתי עם אותו עובד, הוא תיאר את העבודה שלו. הוא לא היה צריך הרשאת עדכון ("פשוט היה לו כבר הרבה שנים"). הוא הסתפק בהרשאת קריאה וגם זה רק במקרי תקלות.
  • חיבור ממחשב נייד דרך מודם סלולרי: עובדים מתחברים לרשת ללא טוקן וללא סיסמא על החייגן.
  • חיבור ממחשב נייד דרך מודם סלולרי (עוד אחד): עובד מתחבר ממחשב נייד שלו ולא ממחשב של החברה. מחשב ללא הגנות מינימליות.
  • יוזרים משותפים ברשת: עובדים חולקים את אותו היוזר.
  • הרשאת אדמין על המחשב: זה נוח לעובד, זה בטוח. אבל כמעט אין סיבה שתהיה לו הרשאה כזו. 

ואיך גיליתי את התופעות האלה? בגלל שהחלטתי לא לאשר בקשות שנראו לי לא תקינות. למרות שהעובד טען שזה מה שיש גם לעובדים אחרים. בדקתי כל מיני בקשות כאלה, הגדרתי מדיניות חדשה (לא תמיד ידעתי מה היה מקובל בחברה בעבר), וכפיתי את המדיניות על כל המשתמשים.

כל מי שלא עמד במדיניות, נדרש לספק לי צידוק. לא תאמינו כמה מקרים חריגים, חלקם גובלים בשערוריה (כמו המקרים למעלה), גיליתי. חלק מהעובדים האלה אפילו לא ניסה להתווכח והבין שהמדיניות החדשה הגיונית וצודקת.


2 Responses to “למה כדאי להגדיר מדיניות ולאכוף אותה על כל המשתמשים רטרואקטיבית”


  1. 1 רונן
    06/11/2009 ב- 20:09

    במערכות Windows Server ישנם מנגנונים שונים לבדיקה של חלק מהדברים.
    בנושא ה-local admin שימוש ב-Restricted groups יכולח להקהל על חייו של ה-CISO אם כי זה לא פותר אותו מבדיקת האכיפה.
    מעבר לכך-נתקלתי במקרים בהם חשבונות משתמשים שפוטרו היו זמינים מעל לכחצי שנה לאחר שפוטרו
    (חקירה קטנה באמצעות dsquery תניב תוצאות),משתמשים שנטרלו להם את החשבון ב-AD אבל שכחו לנטרל את המשתמש ב-VPN (כי אף אחד לא טרח לכתוב נוהל),תוכנות לא חוקיות אשר הותקנו על מחשבים (במיוחד P2P) כי אף אחד לא טרח לבצע inventory על המחשבים ,לא מעט תחנות עם גישה חופשית להתקני USB שה-Policy הארגוני לא חל עליהם,לפטופים שנטרלו עבורם את כל ההתקנים נשלפים אבל שכחו לסגור שם את הבלוטוס ועוד הפתעות רבות.
    ללא ספק אני מסכים עם כל מילה שכתבת.
    CISO -הבלוג שלך אחד האיכותיים ברשת-ישר כוח!


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


נובמבר 2009
א ב ג ד ה ו ש
« אוק   דצמ »
1234567
891011121314
15161718192021
22232425262728
2930  

הרשומות הנצפות ביותר


%d בלוגרים אהבו את זה: