יומן אבטחה

בהמשך לדיון הזה ולרשימה הזו, חשבתי ששווה לנסות להבין קצת יותר טוב מה הופך מומחה אבטחת מידע לכזה. יש לי בעיקר שברי רעיונות בנושא, אבל אני חושב שהפתיח של הכתבה הזו (נגישה רק לבעלי מנוי) הוא התחלה טובה:

For 14 months, candidate after candidate trudged through Andre Gold's office hoping to be offered a coveted position with the Continental Airlines information security team. Gold saw them all during his hunt for talentCISSPs, CISMs, MSCEs, each with impressive technical chops, but....

"They could not define risk, or they did it by what the CISSP book says," says Gold, director of information security for the airline. "To the business side, it's important to have an entity that can articulate risk in terms of the business. I can find people who write rules and put in firewalls. All I ask them is, 'Why? What's the risk? How will it impact revenue?'"

אני חושב שהתנאי הראשוני למי שרוצה להיות מומחה אבטחת מידע הוא להבין מדוע אבטחת מידע חשובה לארגון בו הוא עובד או לו הוא מייעץ. תשובות בנוסח כדי להגן על סודיות המידע, שלמותו ואמינותו וזמינות המידע ומערכות המידע לא יתקבלו בברכה.

זו גם לטעמי אחת נקודות הכשל המרכזיות של הרבה מהעוסקים באבטחת המידע. התוצאה היא חוסר שיתוף פעולה של גורמי מחשוב וגורמים עסקיים, זלזול בתחום אבטחת המידע, בזבוז משאבים וכמובן - רמת אבטחה נמוכה.

זו לא שאלה פשוטה, יש בה יותר מורכבות ממה שנדמה. מאוד קשה לדעת מה התרומה של פתרון אבטחתי כזה או אחר ולכן הגישה היותר נכונה היא לנסות להבין מול מה מתמודדים. במקרה כזה הדרך הנכונה היא לנסות לתאר את איומי האבטחה הטכנולוגיים או הארגוניים במונחים של איומים עסקיים קונקרטיים (אני לא מדבר על מערכות web אל מול האינטרנט, שם המלאכה יותר פשוטה).

בכל מקרה, זה רק היבט אחד של מומחיות אבטחת מידע ודיון יתקבל בברכה