Securitatea informațiilor nu este știință

În ciuda cantității imense de informații aflată la dispoziția noastră, deocamdată securitatea informațiilor nu este știință! Chiar dacă se predă în facultăți, tot nu este știință. Chiar dacă există „certificări„, tot nu este știință!

Deciziile se iau pe bază de experiențe personale, bune practici, bugete disponibile, „preferințe„ tehnologice, percepții….

Dacă ar fi știință am identifica mai multe informații despre costurile asociate „succesului„ și nu „lipsei„ mecanismelor de protecție. Lucrurile se complică și mai mult dacă voi aduce în discuție cele două „subsisteme„ cu care ne întîlnim în majoritatea organizațiilor: „economicul„, respectiv „tehnicul„. Fiecare din aceste două subsisteme are propriile percepții asupra situațiilor cu care se confruntă organizația din care fac parte. Între cele două se află utilizatorul.

Avînd percepții diferite și costurile asociate unui „eveniment„ vor fi diferite. De exemplu, în România cerințele de conformitate sînt minimale în ceea ce privește securitatea informațiilor. Dacă întrebăm care sînt costurile și beneficiile „conformității„ este foarte probabil să avem răspunsuri diferite în funcție de apartenența „repondentului„: economic sau tehnic. Unii ar putea considera că „politicile„ și „procedurile„ sînt controale foarte bune în timp ce ceilalți vor spune că este nevoie de cît mai multă tehnologie. De cele mai multe ori ambii omit din discuție….omul/utilizatorul și experiențele acestuia.

Indiferent de ce este scris în „misiunea„ sau „viziunea„ oricărei companii, rațiunea de a fi a acesteia este una singură: crearea profitului. Nici un antreprenor nu pornește la drum ca să dea salarii sau mînat de gîndul că omenirea are nevoie de fel de fel de bunuri. Ca antreprenor te confrunți cu o realitate: ai resurse limitate! NGF, IPS, DoS, AET, APT…nu îți vor spune prea multe niciodată dacă nu ai citit de unul singur cîte ceva.

Ești conștient, de exemplu, că certificarea ISO27001 nu îți aduce prea multă securitate, dar îți aduce „altceva„, de care tu, cel din „economic„ ești mult mai interesat. Mai „satisfăcut„, după cum se învață în anul întîi în facultățile de econmie la „Teoria utilității„. 300 de pagini de „politici„ și „proceduri„ cumpărate cu 500 euro produc mai multă „satisfacție economică„ decît un IPS de 8000 euro. Nici măcar nu este o abordare greșită: am de ales între A și B (satisfacție maximă la costuri minime) sau nu mă interesează subiectul.

Școala ne învață cele 3 caracteristici ale securității informațiilor: confidențialitatea, integritatea și disponibilitatea (CIA). La cursurile tehnice nu ni se spune însă că resursele companiei vor fi limitate, obiectivele economice divergente și că va fi aproape imposibil să le asigurăm pe toate 3. Aici intervine „compromisul„. Nu e nimic nou, toată viața omului este o sumă de „compromisuri„ sau alegeri. Cîteodată și indiferență.

Așa stînd lucrurile „cineva„ ar trebui să poată explica că ceea ce „economicul„ percepe ca fiind un cost și „tehnicul„ ca fiind un beneficiu se poate regăsi în profitul companiei. Să luăm de exemplu „costul„ asociat unui curs minimal de securitate pentru angajați. Oare cîte organizații vor plăti un astfel de curs din proprie inițiativă și nu ca o cerință impusă de terți? (Nu am în vedere un curs „generalist„ ci unul adaptat specificului și mediului organizației în cauză). Ultimele tehnologii implementate într-o organizație nu vor oferi securitatea dorită dacă nu vor fi utilizate așa după cum au fost ele proiectate și dacă au fost achiziționate fără a înțelege „contextul„ organizației….

Afirm ori de cîte ori am ocazia că dacă îți dorești securitate trebuie să înțelegi oamenii. Aceasta deoarece ei sînt cei care folosesc tehnologia și iau decizii. Pentru că angajatul nu este o sursă inepuizabilă de efort în folosul organizației care îi plătește salariul.

Să ne imaginăm că avem 100 de angajați. I-am instruit, le-am explicat toate lucrurile importante legate de securitatea informațiilor. Fiecare angajat are cont de mail, are cunoștințe despre ceea ce înseamnă phishing. Fiecare angajat primește cel puțin 2 mailuri suspecte pe zi a căror verificare durează cel puțin 3 minute. Le vom cere să verifice orice mail care conține linkuri sau vom investi într-o soluție care face această verificare în mod automat? Îți plătești angajații să verifice mailuri și situri sau pentru alte sarcini? (Vezi So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users)

Zona tehnică este și mai fascinantă. Aici se produce și se vinde după dictonul „divide și cucerește„. Ceea ce este bine, pentru că se evită abordarea oarecum științifică (mai corect spus pseudoștiințifică) precum  că problemele legate de securitatea informațiilor sînt cam aceleași în toate tipurile de organizații. Da, „știința„ care vine de la furnizorii de soluții este mult înainte față de „știința„ asimilată la nivel de organizații. Acesta este „norocul„. „Ghinionul„ este doar în comportamentul nostru.

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s