לפני קצת יותר מחודש החלטתי שאני מקים גדר סביב הבית. השכנים החדשים נכנסים בקרוב ופרטיות זה דבר חשוב.

ראיתי עשרות גדרות, חשבתי על המון אופציות: עץ לאורך, עץ לרוחב, עמודים מעץ, עמודים מברזל, אולי גדר אלומניום או אולי גדר מפלסטיק דמוי עץ שמחזיק המון זמן ולא דורש תחזוקה… (שווה אבל יקר)

בכל מקרה, לאחר שהחלטתי וקניתי הובילו הכל אלי והתחלתי להתקין. זה לא היה קל אבל בסוף יצא בדיוק כמו שרציתי - מושלם ואני לא משוחד.

כשחזרתי לחנות ממנה קניתי את החומרים לגדר, שאל אותי המוכר אם הברגתי את השלבים העליונים של גדר העץ לעמודי הברזל? שאלתי, למה צריך? והוא ענה: אתה רוצה שיגנבו לך את קורות העץ? אתה רוצה שילדים יפרקו לך את כל הגדר? היום זה ל"ג בעומר. אתה חייב להבריג הוסיף ואמר, עוד קצת מאמץ ואתה מבטיח לעצמך שקט… אני מודה שבאותו רגע חשבתי לעצמי שהוא ממש השתגע. על מה לעזזל הוא מדבר? מי גונב עץ מגדר?

אתם בטח שואלים את עצמכם מדוע אני מספר לכם את הסיפור המסעיר הזה? הרי לא ציפיתם למאמר "עשה זאת בעצמך" של הום סנטר אלא למאמר נוקב בנושא אבטחת המידע - ובכן, החוויה הזו הזכירה לי מאוד את תהליך הערכת הסיכונים שארגונים עוברים בבואם להחליט לגבי פתרון אבטחת מידע אם בגלל רגולציה ואם בכלל.

לקוחות בכלל ואלו המתכננים פרויקטים חדשים בפרט משקיעים המון כסף ומשאבים בתכנון, ארכיטקטורה, רכישה, אינטגרציה, הטמעה, הדרכה ועוד אך משום מה, לא טורחים ל"הבריג" את "הבורג" האחרון הנדרש לאבטחת המידע. מדוע? משום שבמסגרת ה ההערכת הסיכונים של ארגונים, הסיכוי שארוע אבטחת מידע יתקיים, יסכן ויחשוף אותם הוא נמוך מאוד ובגדול הם צודקים, אלא מה? שיש הבדל מהותי בין הערכת הסיכונים שאני עשיתי עם הגדר להערכת הסיכונים של אותם ארגונים.

בהערכת הסיכונים שאני ביצעתי - הסיכוי לגניבת העץ מהגדר היא כל כך אפסית והסיכון כל כך נמוך שלקחתי החלטה שלא לאבטח את הגדר שלי עם ברגים. על פי נסיוני זה לא קרה אף פעם ביישוב שלי או בכלל.. כך שאם אני טועה אז כמה ילדים יחגגו על קורות עץ שלי -הנזק הוא מזערי והיחיד שיפגע הוא אני.

בהערכת הסיכונים של ארגון -  אם יתקיים ארוע אבטחת מידע, עלולים הרבה מאוד גורמים להפגע: לקוחות החברה, מוניטין החברה, ערך המניה ועוד .

רק לאחרונה פורסם כי טכנאי מחשבים גנב ממקום עבודתו (בנק אוף ניו יורק) 150 זהויות של עובדי הבנק לצד שורה ארוכה של עבירות הכוללות בין היתר: הלבנת כספים, קשירת קשר להונאה, חבלה במחשבים, אחזקת פרטים אישיים שלא כדין ועוד…

מה שמדהים בכל הסיפור הוא שהבחור החביב עשה זאת במשך 8 שנים ללא הפרעה ומבלי שאף אחד ידע על כך!!!!

הרי ידוע לכולנו שרגולציות כגון  PCI , SOX ואחרות נולדו לעולם בעקבות מקרי פריצה או אי סדרים פיננסיים שגרמו נזק כלכלי אדיר למליוני אנשים. רגולציות אלו הן תוצר של ועדות חקירה מיוחדות שבחנו את המקרים לעומק תוך נסיון לספק כלים לארגונים דומים פר תעשיה. המלצות הועדות והרגולציות נועדו למנוע את השנות המקרים או לפחות למזער את הסיכונים שרק הולכים ומתגברים מדי שנה - ראו ערך ענת קם, אתי אלון ועוד אלפי מקרים שארעו בשנים האחרונות לארגונים שהיו בטוחים ומשוכנעים שלהם זה לא יקרה.

מה קורה בפועל? במקום שארגונים יאמצו את הרגולציות וימנפו אותם לטובת הארגון תוך שיפור רמות האבטחה. קורה דבר די מדהים, ארגונים מתייחסים לרגולציה כעול ועושים את המינימום הנדרש בכדי לקבל את ההסמכה. לדאבון כולנו נראה שלארגונים חשוב לקבל את הההסמכה ולא יותר. מדוע? כי העלויות למימוש הרגולציה גבוהות מדי, כי בהערכת הסיכונים הסיכוי לאירוע אבטחת מידע יהיה תמיד נמוך, כי בכל ארגון אומרים פחות או יותר אותו דבר: אני סומך על העובדים שלי, הם עברו סיווג, אני מכיר אותם שנים…..וכי תחושת ה"לי זה לא יקרה" חזקה מאתנו.

בשורה התחתונה אני חושב שהגיע הזמן שארגונים יתחילו ל"הבריג". זה יקח קצת זמן, זו עבודה קשה, זה עולה מעט כסף יחסית לכלל הוצאות ה IT והחשוב מכל: הרבה מאוד אנשים וגורמים תלויים בכך. לא כמו במקרה שלי..

הפוסט הזה נכתב ביום יום רביעי, 26 במאי 2010, בשעה 11:19, והוא שייך לנושא אבטחת מידע. את כל התגובות והטראקבאקים אפשר לקרוא ב-RSS 2.0‏. אפשר להגיב על הפוסט כאן בבלוג הזה, או לשלוח טראקבאק מבלוג אחר.‏