אבטחת סייבר ארגונומית

(של אוגו מיצי)
23/07/22

לא פעם הייתה לי הזדמנות להעריך גישות שונות להגנת סייבר, בתחומים שונים. פעמים רבות הגישה הייתה שטחית מדי, מדיניות האבטחה לא הספיקה כשהיא לא נעדרת לחלוטין, והדבר חשף את החברה לסיכון חזק מאוד של פשרה.

עם זאת, לדעתי, יישום של מדיניות מחמירה "מדי" לביטחון הגלובלי.

אני יודע שזו נראית סתירה, אולי פרובוקטיבית, אבל אנא עקבו אחריי בנימוק...

עובדה מבוססת היא שהחוליה החלשה במערכות מידע היא כמעט תמיד "דייב: טעות אנוש" (אני לא רוצה את החברים הרבים בשם דייב!)

אם ניישם מדיניות מחמירה מדי ומעטה מדי ידידותי למשתמש, לא מאוד "ארגונומי", כפי שהציעו הטובים מאוד @roarinpenguin, בהכרח משתמשים, הדחוסים בין סדן האבטחה לפטיש הפרודוקטיביות, יחפשו טריקים כדי לציית באופן רשמי למדיניות, ובו בזמן ימשיכו לעבוד בצורה חלקה.

הרשו לי לתת דוגמה קונקרטית: במשך זמן רב הוא היה לחוץ על הצורך סיסמאות מורכבות מאוד, שכלל מספרים ותווים מיוחדים בשילובים שונים.

זה הוביל רבים מדי משתמשים לרשום את הסיסמה איפשהו כדי לא לשכוח אותה, ובכך להביס לחלוטין את המטרה העיקרית של מדיניות.

ואז החובה ל לשנות את הסיסמה לעתים קרובות. המשתמשים "שינו" אותו, ואיפסו את הקודם. לאחר מכן נחסם השימוש החוזר. תוֹצָאָה? P @ ssword1, P @ ssword2, P @ ssword3...

זו רק דוגמה לומר שכדי להשיג אבטחה יעילה, נדרש שיתוף פעולה אקטיבי של משתמשים ומפעילים cybersec.

תוצאה זו מושגת בראש ובראשונה באמצעות הכשרה, קידום בתוך המבנה את המודעות לסיכונים המתנהלים (#ilbersagliosiamonoi), ולהתנהגויות שיש לנקוט כדי למזער אותם. אבל מעבר לזה, מי אחראי על מדיניות אבטחה עליו לנסות בכל דרך את הארגונומיה של הפתרונות, כדי להפוך את הציות לכללים שנקבעו, אני לא אומר לנעימה (בואו לא נגזים!) אבל לפחות לא מאוד פולשניות.

כמו כן, הסבר מדוע הוכנסו הגבלות מסוימות, שיתוף ככל האפשר בניתוחי הסיכונים שהובילו ליישומם, עוזר מאוד בהשגת אימוץ המשתמש.

לבסוף, טוב לזכור זאת תמיד "מי שמוותר על חופש למען ביטחון לא מגיע לא זה ולא זה" (בנג'מין פרנקלין).