יומן אבטחה

רצה הגורל ונפגשתי היום עם איש אבטחת מידע אצל אחד הלקוחות. אותו איש אבטחת מידע שטח בפני את משנתו כי אין טעם רב בניתוח איומים למערכת וזאת משני טעמים - האחד, במקרים רבים מפספסים בניתוח האיומים חלק מהאיומים והשני הוא שגם ככה הוא יודע מה להמליץ (אני מניח שהוא התכוון ל-best practice).

אז ככה, ניתוח איומים חיוני לתכנון נכון של אבטחה משני טעמים, האחד פנימי ליועץ/מומחה/מנהל והאחר חיצוני (כלפי הארגון).

מבחינה חיצונית, ניתוח האיומים מאפשר לחבר את פתרון האבטחה לצרכים הארגוניים. כלומר, ניתוח איומים אמור לעסוק בשאלה כיצד ניתן לתקוף את המערכת מבחינה עקרונית (השגת הרשאה ניהולית כדוגמה) וכיצד זה רלוונטי לארגון (למי יש הרשאת מנהל וכמה קל יהיה לקבל אותה). ניתוח האיומים מאפשר לזהות האם בעיה תיאורטית היא אכן בעיה מעשית (כיוון שלא כל איום הוא בעיה) וגם האם הפתרון תורם באופן מהותי לאבטחת המערכת. היכולת להציג את האיומים המהותיים לארגון מאפשר למנהל אבטחת המידע או ליועץ להסביר טוב יותר לארגון את הצורך בפתרון האבטחה ובכך מעלה את הסבירות למימושו.

מבחינה פנימית, ניתוח האיומים מאפשר למנהל/יועץ לבחון את הנחות היסוד שלו ולחדד את חושי האבטחה שלו. מי שמקפיד רק על best practice לא יצליח לעולם לתפור פתרון אבטחה אמיתי תחת אילוצים. פתרונות best practice מתאימים לסביבות בהן אין אילוצי תקציב, משאבי מחשוב, משאבי כוח אדם וכדומה. אם כן ניתוח איומים הוא אחד הכלים הטובים לשיפור עצמי וללמידה. סוג של שחמט עם עצמך.