ארכיון עבור דצמבר, 2010

27
דצמ
10

המלך הוא עירום

בעבר הרחוק, ארגונים פיננסיים לא היו מחויבים להגן על עצמם מבחינת אבטחת מידע, בדומה למגזרים אחרים במשק. גם לאחר שנחקק חוק הגנת הפרטיות, מעטים הטמיעו מנגנוני אבטחת מידע.

כאשר  אירעו דליפות מידע, עורכי דין עטו על טרפם כמוצאי שלל והגישו תביעות.

בשנות האלפיים, גופים שונים תקננו רגולציות בתחום, בעיקר על המגזר הפיננסי. בנקים, חברות ביטוח, חברות השקעות, חברות אשראי, הבורסה ועוד – כולם חייבים לעמוד היום בתקנות אבטחת מידע שונות. גם ארגונים לא פיננסיים צריכים לעמוד בתקנות שונות.

ועדיין, במקרה של דליפת מידע, כמו במקרים אחרים שאינם קשורים לאבטחת מידע, עורכי הדין יוצאים לקרב. הם ישחיזו סכינים בהנאה רבה, ישלפו חרבות ויריחו את הכסף, ירוצו לבית המשפט ויחפשו כותרות בעיתון.

כיוון שוויקיליקס נהיה טרנד, אז עכשיו הדביקו כותרת כזו למלך. ולא מפתיע לגלות שהמלך הוא עירום. תחשבו איזה מידע עורכי דין שומרים עליכם במשרדם. מידע הקשור בהליכי גירושין, פרטים רפואיים הקשורים בתביעות, הון פיננסי, הסכמי ממון וירושה ועוד. וכיצד זה שלשכת עורכי הדין לא השיתה על עורכי הדין רגולציה בתחום אבטחת מידע? כיצד עורכי דין מעיזים שלא להגן על הרשת שלהם כיאות? לשכור יועץ אבטחת מידע?

מבלי להכיר את הנתונים, אני מעריך שרשתות התקשורת ברוב המשרדים אינן מאובטחות כיאות. שהם פוטרים את זה במשפט כגון: עזבו אותי משטויות (=הוצאות 'מיותרות').

ובטח גם כאן, יצוץ עורך דין זריז שיתבע 'בשם מרשו' את שני משרדי עורכי הדין המסכנים האלה שפרצו להם. 😦

מודעות פרסומת
10
דצמ
10

לא חייבים להתקדם עם הטכנולוגיה

הרבה פעמים אני שומע טענות שהארגון חייב להתקדם עם הטכנולוגיה. נדמה לי שגם כאן היו תגובות בסגנון הזה. אני עונה לטענה הזו, שלא תמיד חייבים לאמץ כל טכנולוגיה.
זה 'טוב' אולי למי שחובב גאדג'טים. גם למנהלים שונים שחושבים שזה טוב. הבעיה היא שמנהלים אלה חובבי גאדג'טים או שהם לא מבינים בעסקים וחושבים שלהיות קול יקדם אותם. כבר ראיתי מקרים שמיזמים שנסמכו על טכנולוגיה קוליות לא הצליחו עסקית רק כי לא קלעו לצרכי הלקוחות. (אבל עד שעלו על זה שפכו הרבה כסף והמנהל התראיין בכל מיני אמצעי תקשורת).
הבעיה בזה היא שהפתרונות האלה פוגעים לרוב באבטחת מידע. קשה מאוד להוכיח שמשהו חדש פגיע וחשוף להתקפות. עד שנגרם נזק לארגון.
אנשי אבטחת מידע מנסים (וצריכים) להצביע על איומים פוטנציאליים עוד בשלב התכנון. כשבוחנים טכנולוגיה חדשה, קשה מאוד לחשוב על ולמפות את כל האיומים. לפעמים, רק לאחר שהפתרון נמצא בשוק הרבה זמן, מגלים איום שלא חשבו עליו קודם וזה בגלל שמישהו הצליח לנצל פרצה.
אחזור על הנקודה החשובה הזו במילים אחרות. הדרך הנכונה היא לחשוב על סט איומים ולתפור להם מנגנוני הגנה. לאחר מכן, ננסה לתקוף מנגנונים אלה בכדי לוודא שיוצאים לשוק עם פתרון מאובטח.
שלחו לי את הלינק הבא שממחיש את הנקודה. לא בטוח שהרבה מנהלי אבטחת מידע היו חושבים על האיום שעולה מהליכה ברחוב עם הכרטיסים שמותקן בהם צ'יפ RFID. כנראה בגלל זה הצליחו לנצל את הפרצה. הסרטון הזה הציף לי איום שלא חשבתי עליו קודם. שווה צפיה.
לסיכום, לפני שרצים להטמיע טכנולוגיות חדשות בארגון, בפרט כאלה שנחשפות לשימוש לקוחות חיצוניים, צריך להבין האם זה קריטי לארגון והאם ניתן לתפור מעטה הגנה מספק. לא חייבים לעשות שימוש בכל טכנולוגיה בשוק.

05
דצמ
10

קוד חיצוני באתר האינטרנט הארגוני

לא מעט אתרי אינטרנט משלבים בקוד האתר גם קוד של אתרים אחרים/חברות אחרות. דוגמא נפוצה היא פניה לקוד של גוגל. ישנן מספר סיבות לכך, החל מהרצון לנתח/לפלח סטטיסטית תנועה  של גולשים, דרך הפניה לפרסומות ועד קמפיין שיווקי ממוקד.

ישנם גם מקרים בהם מעתיקים קוד חיצוני לאתר החברה. זה יכול להיות מאחת הסיבות לעיל, או מהרצון לחסוך בפיתוח (למשל JS).

כרגיל במקרים האלה, זה עלול ליצור מספר בעיות. כאשר מפנים לקוד חיצוני, אין לנו שליטה על הקוד. הוא עשוי להשתנות בלי ידיעתנו. ייתכן שאתרים אליהם הפנינו גולשים, יציעו תכנים או מבצעי שיווק שאינם הולמים את מטרות הארגון. במקרים הקיצוניים, זה יוביל לגניבת סיסמאות ו – Cookies. ואפילו שתילת סוסים טרויאניים על המחשב תחת הכובע של אתר לגיטימי (תזכרו שהגולש גלש לאתר שלכם).

מה עושים? אין כאן פתרונות קסם. כותבים את הקוד בעצמנו או לפחות מורידים ועוברים על כל שורת קוד. רוכשים ומתקינים כלי סטטיסטיקות על השרת הארגוני. נמנעים מהפניה לאתרים חיצוניים.

02
דצמ
10

כתיבה נכונה של מסמך (מדיניות אבטחת מידע)

אנחנו מייצרים הרבה מסמכי מדיניות ונהלים ומצפים שהעובדים יקראו אותם ויפעלו ברוח ההנחיות. אנחנו מניחים שכולם מבינים אבטחת מידע, מבינים את הטקסט שאנו כותבים ויש להם הרבה זמן פנוי וחשק לקרוא מסמכים כאלה.
ארגון SANS פרסם מדריך לכתיבה טכנית נכונה של נהלי אבטחת מידע. הנחיות אלה נכונות לכתיבת כל מסמך ולא רק נהלים. תרגמתי ותמצתתי את הנקודות החשובות:

  1.  מי, מה, היכן, מתי, למה:
    משתמשים זקוקים למידע תמציתי ורהוט. אין להם זמן וחשק לקרוא מסמכים מייגעים המצריכים מהם לנתח ולהבין מה המסר של המדיניות. הקוראים עשויים גם להעלות הנחות שגויות. המסמך אינו נוהל או הנחיות עבודה וצריך להכיל רק מה חייב להיעשות ולמה, לא כיצד להיעשות.
  2. כתיבה טכנית:
    א) עשו שימוש בכתיבה טכנית תקנית. "פחות זה יותר". אל תאריכו בניסוחים.
    ב) הצמידו את הפועל לשם העצם, בלי תוספות באמצע.
    משאבי טכנולוגיית המידע, אשר מהווים את נכסי המידע של החברה, צורכים חלק ניכר מתקציב החברה.
    ג) כתבו בזמן פעיל, לא סביל.
    מטרת המדיניות היא להקנות למשתמש כלים לשימוש נכון במשאבי הארגון. המדיניות מקנה למשתמש כלים לשימוש נכון במשאבי הארגון.
    ד)  כתבו בתמציתיות
    ה) עיצוב המסמך עשו שימוש בפונט אחיד וקריא. רצוי בגודל 11 או 12. בניגוד למקובל, פונט David אינו מאוד ברור. אני ממליץ על Arial או Calibri.
    ו) השתמשו בתבנית אחידה לכל מסמכי הניהול והמדיניות.
  3. הכירו את אוכלוסיית הקוראים (כתבו בעברית של תיכון)
    אל תתנסחו גבוהה בשפה מליצית של בלשן שפה. כתבו בעברית תקינה ברמה של תיכון בכדי שהקורא יבין מה אתם רוצים ממנו.







דצמבר 2010
א ב ג ד ה ו ש
« נוב   ינו »
 1234
567891011
12131415161718
19202122232425
262728293031