לפני קצת יותר מחודש החלטתי שאני מקים גדר סביב הבית. השכנים החדשים נכנסים בקרוב ופרטיות זה דבר חשוב.
מאותו יום התחלתי לתכנן את הגדר שאני רוצה. ראיתי עשרות גדרות, חשבתי על המון אופציות: עץ לאורך, עץ לרוחב, עמודים מעץ, עמודים מברזל, אולי גדר אלומניום או אולי גדר מפלסטיק דמוי עץ שמחזיק המון זמן ולא דורש תחזוקה (האופציה האחרונה נשמעת טוב אך יקרה מאוד…).
בכל מקרה, לאחר שהחלטתי הלכתי וקניתי את העץ המתאים העמודים המתאימים הברגים המתאימים והצבע המתאים (יותר נכון שמן עץ). הובילו אלי את הכל והתחלתי להתקין. זה היה לא קל אבל בסוף יצא בדיוק כמו שרציתי - מושלם ואני לא משוחד
כשחזרתי לחנות ממנה קניתי, שאל אותי המוכר: אם הברגתי את השלבים העליונים לברזל? שאלתי: למה צריך? והוא ענה: אתה רוצה שיגנבו לך את העץ? אתה רוצה שילדים יפרקו לך את כל הגדר? היום זה ל"ג בעומר. אמרתי לו: על מה אתה מדבר מי גונב עץ מגדר? לא שמעתי על אף מקרה של גניבת גדר…
בהערכת הסיכונים שאני ביצעתי הסיכוי לגניבת העץ מהגדר היא כל כך קטנה שלקחתי החלטה שלא לאבטח את הגדר שלי עם ברגים. על פי נסיוני זה לא קרה אף פעם ביישוב שלי או בכלל ואין סיכוי שזה יקרה אצלי. בקיצור לוקח על עצמי את הסיכון.
למה אני מספר לכם את הסיפור המסעיר הזה? הרי לא מדובר כאן באתר של הום סנטר. ובכן החוויה הזו מאוד הזכירה לי את מה שקורה כיום בתחום אבטחת המידע.
לקוחות בכלל ואלו המתכננים פרויקטים חדשים בפרט משקיעים המון משאבים: בתכנון, ארכיטקטורה, רכישה, אינטגרציה, הטמעה, הדרכה….. ואת "הבורג" האחרון הנדרש לאבטחה הם לא טורחים להבריג. מדוע? כי בהערכת הסיכונים של ארגונים, הסיכון שארוע אבטחת מידע יתקיים, יסכן ויחשוף אותם הוא נמוך מאוד ובגדול הם צודקים, אלא מה? שיש הבדל מהותי בין הערכת הסיכונים שאני עשיתי עם הגדר להערכת הסיכונים של אותם ארגונים.
בהערכת הסיכונים שלי - אם יגנבו לי את הגדר היחיד שיפגע הוא אני.
בהערכת הסיכונים של ארגון - אם יתקיים ארוע אבטחת מידע, עלולים הרבה מאוד גורמים להפגע: מוניטין החברה, ערך המניה, הכנסות החברה ועוד ולראיה עיינו בערך ענת קם, אתי אלון ועוד עשרות אלפי מקרים שארעו בשנים האחרונות, לארגונים, שהיו בטוחים ומשוכנעים שלהם זה לא יקרה.
העניין נכון גם לעניין הרגולציות השונות.
הרי ידוע לכולנו שרגולציות כמו PCI , SOX ואחרות נולדו לעולם בעקבות ארועי אבטחת מידע או אי סדרים פיננסיים שגרמו נזק כלכלי אדיר. רגולציות אלו הם תוצר של ועדות חקירה מיוחדות שבחנו את המקרים לעומק, תוך נסיון לספק כלים לארגונים דומים פר תעשיה, על מנת למנוע את השנות המקרים או לפחות למזער את הסיכונים שרק הולכים ומתגברים ואני לא מרגיש צורך לחזור שוב על הסטטיסטיקות המטרידות.
מה קורה בפועל? במקום שארגונים יאמצו את הרגולציות וימנפו אותם לטובת הארגון תוך שיפור רמות האבטחה. קורה דבר די מדהים, ארגונים מתייחסים לרגולציה כעול ועושים את המינימום הנדרש בכדי לקבל את ההסמכה. מדוע? כי העלויות למימוש הרגולציה גבוהות מדי, כי בהערכת הסיכונים הסיכוי לאירוע אבטחת מידע תמיד יהיה נמוך, כי בכל ארגון אומרים פחות או יותר את אותו דבר: אני סומך על העובדים שלי, הם עברו סיווג, אני מכיר אותם שנים… וכי תחושת ה"לי זה לא יקרה" חזקה מאתנו.
בשורה התחתונה אני חשוב שהגיע הזמן שארגונים יתחילו להבריג. זה יקח קצת זמן, זו עבודה קשה, זה עולה כסף אבל הרבה מאוד אנשים וגורמים תלויים בכך, שלא כמו במקרה שלי.
תחשבו על זה