מדידת אבטחה בשיטת Kata לשיפור

אנו משתמשים בקטות שיפור כדי לשפר את התהליכים שלנו. כתבנו בלוג מפורט בנושא זה, אך העיקרון הוא שניתן לשפר תהליך על ידי ביצוע שינויים קטנים וממוקדים ומדידת ההתקדמות לקראת המטרה. המדידה היא חיונית בתהליך זה; אם לא מודדים, אי אפשר לדעת אם יש מה לשפר או אם השינויים היו יעילים. למרבה המזל, לרוב קל יחסית למצוא מה למדוד.

למה אבטחה?

בואו נעבור לנושא האבטחה. אבטחה היא דבר חשוב. כולנו יודעים זאת. אנחנו לא רוצים שהשם והכתובת שלכם יפורסמו באינטרנט, ואנחנו לא רוצים שתאבדו את תוצאות הבחינות שלכם. אבטחה גבוהה יותר היא דבר טוב. אבל אבטחה גבוהה יותר לא בהכרח משמעותה אבטחה טובה יותר. אם נציב אזעקה על כל דבר שעלול להשתבש ונפקח על כל תנועה במערכות שלנו, נטבע בים של התראות שיסיחו את דעתנו. לא יהיה לנו זמן לעבוד על שום דבר אחר. לכן עלינו לבחור מה לעשות. עלינו למדוד את רמת האבטחה אם ברצוננו לשפר את תהליכי האבטחה שלנו. אבל איך מודדים אבטחה?

דרכים למדידת אבטחה

אבטחה היא לא דבר פשוט למדידה, במיוחד בטווח זמן קצר. עבור תהליכים מסוימים, ניתן למדוד את הזמן שלוקח למשתמש לבצע משימה מסוימת בדף אינטרנט, או לספור את מספר השאלות בנושא מסוים. לאחר מכן, ניתן לבצע את השינויים ולמדוד שוב כדי לראות כיצד השתנו המספרים. אך עבור תהליכי אבטחה, פשוט אין מספיק זרימה בתהליך. לדוגמה, לא ניתן לקבל מדידות משמעותיות ממספר הפרות הנתונים. לא ניתן להשתפר מ-0, והיעדר הפרות נתונים אינו מעיד על היעדר אפשרות להפרות נתונים, וזה אחד הדברים שמעניינים אותנו. לכן עלינו לחשוב על דרכים אחרות.

ספירת בעיות אבטחה

בואו נודה בזה, אין מערכת דיגיטלית ללא בעיות אבטחה. במיוחד מערכת שמשתנה כל הזמן. כאשר מתגלות בעיות כאלה, יש לדווח עליהן. מדובר בכל דיווח על בעיות אבטחה במערכת, החל מנתונים זמינים במקום שבו הם לא אמורים להיות ועד לאדם שאיבד את המפתח למשרד. אחת הדרכים למדוד זאת היא לספור את מספר בעיות האבטחה.

מדד זה יכול להיות שימושי מאוד, אך גם מטעה מאוד. פחות בעיות לא בהכרח אומר פחות תקלות, אלא רק שאתה מוצא פחות. זה כמו חיפוש אוצרות: אם לא תחפור בחול, לא תמצא שום דבר מעניין, אך לא תוכל לומר שאין אוצר. במובן מסוים, עלייה במספר דוחות האבטחה פירושה שאנו מקבלים תמונה טובה יותר של מצב האבטחה שלנו. זו יכולה להיות מטרה חשובה, אך היא אינה הדרך הנכונה למדוד אבטחה.

ציות לחוקים ולתקנות

במקום באמצעות מדידה, אבטחה מוערכת לעתים קרובות על סמך סטנדרטים ספציפיים. באיחוד האירופי, מדובר בדרך כלל ב-GDPR, חוק האבטחה המחמיר ביותר בעולם. החוק מתאר כללים לטיפול בסוגים שונים של נתונים. הוא מספק רמת אבטחה ואחריות בסיסית, במיוחד בכל הקשור לשימוש לא נאות ולשימוש לרעה בנתונים.

כמובן שזה חשוב. אם יש לך בעיות הקשורות ל-GDPR, יש לפתור אותן. לא רק מסיבות משפטיות, אלא גם משום שאנו דואגים לאבטחת לקוחותינו. אנו תואמים ל-GDPR ונמשיך להיות תואמים. עם זאת, זוהי רק נקודת התחלה, ומכאן יש עדיין גמישות רבה והזדמנויות לבעיות אבטחה.

הערכת סיכונים

לפני זמן מה, התחלנו לבחון את תקן ISO 27001. התקן מתאר שיטת עבודה עם מערכת ניהול אבטחת מידע (ISMS) לפיקוח וטיפול באבטחת מידע. לכן התחלנו לעבוד על מערכת ISMS זו, מכיוון שהיא תספק לנו מסגרת טובה יותר לבחינת ביצועינו בתחום האבטחה.

כחלק ממערכת ניהול אבטחת המידע (ISMS), התחלנו לבצע הערכות סיכוני אבטחה. בפגישת הערכת סיכונים, אנו דנים ברשימה ארוכה של סיכוני אבטחה אפשריים עם קבוצת עובדים ממחלקות שונות: מהנדס תוכנה, מנהל טכנולוגיות מידע וממונה על פרטיות. עבור כל סיכון, אנו נותנים דירוג לסבירות התרחשותו ולהשפעתו אם יתרחש. כך מתקבלת רשימה של בעיות אפשריות שונות שיש למנוע או למתן, מסודרות לפי חשיפתן, שילוב של סבירות והשפעה.

זה אולי נראה דומה מאוד לספירת בעיות אבטחה, אך יש בו כמה הבדלים מעניינים:

1. יש להם דירוג חשיפה, המסייע לנו לבחור מה לטפל כדי להשיג את האפקט הגדול ביותר;

2. הערכת הסיכונים הבאה כוללת את אותה רשימת סיכונים, כלומר אנו יכולים להשוות את התקדמות החשיפה של הסיכונים במקום את מספרם.

זה מקל מאוד על ביצוע המדידות מתוך הערכות הסיכונים. כעת יש לנו שיטה מובנית לבחינת האבטחה של Easy LMS. אנו ממלאים את הערכת הסיכונים במידע שאנו אוספים מדוחות על בעיות אבטחה ומהתצפיות היומיומיות שלנו, ואז משפרים צעד אחר צעד.

הסמכה

ישנה בעיה במדידה מתוך הערכת הסיכונים: היא עלולה שלא להיות אובייקטיבית לחלוטין. אנו יכולים לדווח רק על מה שאנו רואים ולדרג אותם על סמך הניסיון והמחשבות שלנו בנושא. זה בעצם יוצר בועה עם מה שאנו יודעים ועם מה שאנו עובדים עליו, אך היא לא מראה לנו מה יש מחוץ לבועה.

לכן, החלטנו להמשיך עם תקן ISO 27001 במלואו, אשר מתאר גם תהליך הסמכה. גורם חיצוני ידרג אותנו על יישום אמצעי האבטחה וה-ISMS; בעיקרון, בדיקה כדי לראות אם אחרים מסכימים שאנחנו נמצאים במקום שבו אנחנו חושבים שאנחנו נמצאים.

לכן אנו עובדים במרץ כדי להתכונן לתהליך ההסמכה, ומקווים שנוכל לקרוא לעצמנו "מוסמכים לפי תקן ISO 27001" מתישהו בשנת 2023!

כיצד אנו מיישמים אמצעי אבטחה יעילים

כעת יש לנו תהליך לשיפור האבטחה. בחרנו את הדברים שצריך לשפר והתחלנו ליישם אותם בחברה. עם זאת, אנחנו עדיין לא שם. עלינו גם לוודא שהיישום יהיה מוצלח.

העניין הוא שכולם יודעים שאבטחה היא דבר חשוב, אבל אנשים לא באמת אוהבים לעסוק בזה. זה יכול להפוך במהרה למשהו דומה למסים: צריך לעשות את זה, אבל זה מטלה מעיקה. איך נוכל לוודא שזה לא יהפוך לבעיה?

הסרת מכשולים

הסיבה העיקרית לכך שאמצעי אבטחה עלולים לא לעבוד היא שאנשים מוצאים דרכים לעקוף אותם. הבעיה היא באמצעי האבטחה, לא באנשים. משמעות הדבר היא שקיום דרכי עקיפה פשוט נוח יותר מאשר קיום הכללים והתהליכים. התהליך כולל מכשולים רבים מדי, וטבע האדם הוא לבחור בדרך הקלה ביותר. הדבר עלול לגרום לתוצאות הרות אסון.

דוגמה קיצונית לכך היא אסון בופאל ב-1984, שבו הוזנחו מספר אמצעי אבטחה. עיר שלמה הוצפה בגז רעיל, אלפי אנשים נהרגו ומעל חצי מיליון נפצעו. כמובן, תקריות אבטחה ב-Easy LMS לא יגרמו לנזקים קיצוניים כאלה, אך הן מראות עד כמה קל לעקוף אמצעי אבטחה, למרות ההשלכות האפשריות.

עדיף להפוך את נהלי האבטחה לפשוטים ככל האפשר. באופן ספציפי יותר, נסו להפוך אותם לקלים יותר מאשר לעקוף את האמצעים. ייתכן שיהיה צורך לנקוט בצעדים נוספים למטרות אבטחה, אך לא יותר מדי. לא צריך להיות זמן המתנה נוסף. נהלי האבטחה לא צריכים למנוע מהעובדים לבצע את עבודתם; הם צריכים להדריך אותם כיצד לבצע אותה בצורה בטוחה יותר.

נהלי אבטחה לא צריכים למנוע מעובדיך לבצע את עבודתם; הם צריכים להדריך אותם כיצד לבצע אותה בצורה בטוחה יותר.

ניקח לדוגמה דיווח על בעיה אבטחה. נניח שצריך לעשות זאת באמצעות מערכת תיוק מותאמת אישית, שבה יש לחפש ולמלא פרטים רבים, שרובם לא ישמשו בכל מקרה, מה שלוקח לעובד 15 דקות מזמנו. ייתכן שהמערכת תשמש בתחילה, אך היא אינה בת-קיימא. קל יותר לעשות זאת מאוחר יותר ולשכוח מזה. עכשיו ניקח מערכת אחרת, שבה עובד יכול לשלוח הודעה פשוטה ב-Slack עם תיאור קצר של הבעיה, והיא תטופל. עדיין יש כמה שלבים שעל העובד לבצע, אבל הם קלים מאוד ולא דורשים מאמץ רב. ואולי עוד יותר חשוב, העובד כבר לא אחראי לפתרון הבעיה. הוא שולח את ההודעה ויכול להמשיך בעבודתו, וזה הרבה יותר קל מאשר להתמודד עם ההשלכות הבלתי נמנעות של תקלת אבטחה. אז במקום לאלץ אנשים לעבוד בצורה לא יעילה ואז להאשים אותם בטעויות, אתם בוחנים מה לא יעיל בתהליך, ומשפרים אותו כדי שיהיה קל יותר.

כמובן שישנם צעדים שניתן לנקוט כדי להגביר את האבטחה, אך מכשולים בדרך של העובדים מקשים עליהם את העבודה ללא צורך. ניתן להסיר מכשולים רבים באמצעות אוטומציה או חלוקת משימות פשוטה.

בטיחות לאנשים

דיברנו בעבר על בטיחות אנשים בהקשר של טעויות. ניתן להחיל זאת גם על אבטחה. אנשים צריכים להיות מסוגלים לדבר על אבטחה, להזכיר בעיות אבטחה ולתקן את התנהגותם של אחרים ללא השלכות שליליות. אם עובדים מרגישים שהם לא יכולים לדבר על אבטחה או שהם לא יודעים היכן לעשות זאת, אמצעי האבטחה יהוו מכשול עבורם. לכל העובדים יש מומחיות וניסיון בתחום שלהם, ולכן הם יודעים עם מה הם עובדים.

אנשים צריכים להיות מסוגלים לדבר על אבטחה, להזכיר בעיות אבטחה ולתקן את התנהגותם של אחרים ללא השלכות שליליות.

הם יכולים לעזור על ידי הצעת אמצעים לבעיות אבטחה ספציפיות, הם יכולים לתת משוב על אמצעים שכבר יושמו, והם יכולים להודיע לך על מכשולים בדרך. לכן, כששמענו שמישהו איבד את המפתחות או שהניירת הכרוכה בהכנת ראיון עם לקוח הייתה רבה מדי, לא כעסנו ולא זלזלנו. שמחנו שהם פנו אלינו עם המידע הזה. אם לא תתייחסו למשוב זה כאל מידע חשוב או אם לא תעשו דבר עם המשוב, תאבדו את העניין של העובדים בעבודה בטוחה.

המשך להשתפר 

כבר דיברנו על שיפור אבטחת המידע שלנו, אך לא פחות חשוב להמשיך ולשפר את תהליכי האבטחה עבור העובדים שלנו. אם לא תקשיבו לעובדים שלכם באופן פעיל ותשנו את מה שלא עובד, אמצעי האבטחה יפסיקו בסופו של דבר לתפקד. העובדים, כמו החברה עצמה, ימשיכו להשתנות. Easy LMS תמשיך להשתנות, וכך גם נהלי האבטחה שלנו, לא רק כדי לשפר אותם, אלא גם כדי להקל עליהם.