יומן אבטחה

ברשימתי הקודמת שעסקה בתקלות אבטחת מידע שמקורן בעובדים, טענתי שההתמודדות עם עובדים צריכה להיעשות דרך קבלת הפסיכולוגיה האנושית ולא דרך ניסיון "לתקן" את הזן האנושי. אני רוצה להבהיר מספר נקודות:

• העובדה שאני מתייחס להתנהגות אנושית כנתונה אינה מהווה טיעון כאילו לא ניתן להתמודד עם הגורם האנושי באבטחת מידע. אני מאמץ את הערתו של ניב בתגובות שיש להתייחס לעובדים כאל מערכת מיושנת שלא ניתן להטמיע בה אבטחה ויש להשתמש בבקרות מפצות. במקביל להנחה זו יש לפעול לשינוי התרבות הארגונית שכן זו אכן ניתנת לשינוי, אך לא מיידית.
• טענתי כי ההתמקדות במקרי קיצון כתרחישי איום מזיקה. לא התכוונתי לטעון כי תרחישי קיצון אינם אמורים להטריד או שלא אמורים להתמודד איתם, אלא שתרחישי קיצון, על כל הנזק הכרוך בהתממשותם, הרבה פחות סבירים ולא בהכרח מהווים את גורם הסיכון הראשון במעלה. ההתמקדות שלנו בתרחישי קיצון נובעת מעצלנות בלבד ולא מהיגיון אבטחתי מוצק. לשנות דפוסי חשיבה בתוך הארגון מאוד קשה, הרבה יותר קשה ומורכב מלהתמודד עם תרחיש קיצון שלטובתו ניתן לרכוש איזו טכנולוגיה. צריך להתמודד עם שניהם, אך כרגע האיום האמיתי נמצא בטיפול חסר לטעמי.
• אחת הטעויות הנפוצות בהקשר זה הוא הטיפול באירוע אבטחה כאירוע נקודתי. אחת המטרות שלנו בטיפול באירוע אבטחה הוא (אם לצטט את קליפורד גירץ, בערך...) לראות את הדומה בשונה. כלומר לראות מה לא חריג במה שקרה ומדוע זה יכול לקרות שוב. פעמים רבות אנו נוטים להניח כי העובדים שגורמים נזק או תקלות אבטחת מידע לארגון נגועים במניעים זדוניים. אחת מהטיות החשיבה הקלאסיות היא טעות הייחוס (לא זוכר את המינוח המדויק) - אנו נוטים לייחס הצלחות שלנו לגורמים פנימיים לנו (חוכמה, ידע וכדומה) וכישלונות לגורמים חיצוניים (הרצפה עקומה, המנכ"ל דפוק וכדומה). אותו הדבר, רק הפוך עם אחרים. הצלחתם היא פועל יוצא של גורמים חיצוניים וכישלונות לגורמים התלויים בהם ישירות. אני לא בטוח אם יש קשר ישיר בין המושג התיאורטי הזה לטענתי, אך נראה לי שהנטייה הטבעית שלנו היא להניח שעובדים שגרמו נזק עשו זאת בגלל גורמים פנימיים (ממורמרים, בעלי כוונות זדון וכדומה). הנחה זו יכולה להיות מכשלה רצינית אם ברצוננו לשפר את רמת אבטחת המידע בארגון - כדי לעשות זאת אנו חייבים להניח כי העובד עשה את התקלה ממניעים חיוביים. כי הנחת מניע שלילי מובילה אותנו לחריג, למקרה שקורה פעם בכמה שנים. אך הנחה בדבר מניע חיובי עשויה לפתוח לנו נקודת מבט על איך כל אחד מהעובדים יכול לגרום את אותו הנזק בכל רגע נתון - רק בגלל שניסה לעשות את עבודתו.
• ברשימה מעניינת של בועז רונן ב-themarker (גיליון מודפס, לא מצאתי את העותק המקוון) הוא כותב כי ארגונים נוטים לטפל בבעיות מזדמנות יותר מאשר בבעיות קבועות ומוצאים דרכים להצדיק את קיומן של הבעיות הקבועות. כך שטיפול בתאונות דרכים מוסבר באמצעות "הגורם האנושי", אך כאשר רכבת נתקעת במכונית מייד מקימים וועדת חקירה. כך מטפלים במקרים שבגללם נהרגים בממוצע כמות זעומה של אנשים ומזניחים את הטיפול בבעיה החמורה יותר שהורגת מאות כל שנה. אני חושב שזה סיכום טוב לטיעון שלי לגבי הטיפול בגורם האנושי.

אז איך בכל זאת עושים זאת? כמו שאמרתי, ההתחלה היא להכיר בכך שאנשים הם אנשים. בדיוק כמונו הם מעגלים פינות וחותכים נהלים שלא מתאימים להם. כדי לבנות מערכת אבטחת מידע טובה ברמה הארגונית, אין ברירה אלא לבנות מערכת גמישה שתיקח בחשבון את הצרכים של העובדים. הנחת היסוד צריכה להיות שאבטחת מידע חשובה כל עוד היא תורמת לתהליכים העסקיים של הארגון. בבחירה בין להעביר סיסמא לעובד אחר או לקדם תהליך מכירה, כל עובד יבחר במכירה. לכן אנחנו צריכים לזהות את הקונפליקטים הפוטנציאליים הללו ולנטרל אותם מבעוד מועד. במקום לשים את העובדים במקום בו הם צריכים לבחור בין המנהל הישיר למנהל אבטחת המידע, החוכמה היא לנטרל את הקונפקליקט כך שביצוע הנחיות המנהל משמעותו גם קיום תהליכים מאובטחים.