tag:blogger.com,1999:blog-992793962965674362.post3741264523830822847..comments2023-08-08T18:51:53.869+03:00Comments on בלוג אבטחת מידע: נוסחאות וחישובים אל מול סיכונים אמיתייםרוני בכרhttp://www.blogger.com/profile/15482360949360802193noreply@blogger.comBlogger4125tag:blogger.com,1999:blog-992793962965674362.post-73259833360456008012012-11-26T23:18:52.111+02:002012-11-26T23:18:52.111+02:00מה ששכח מר בכר לכתוב, זה יש חובה על יועץ אבטחת המי...מה ששכח מר בכר לכתוב, זה יש חובה על יועץ אבטחת המידע להיות בלתי תלוי ואסור לו להפחית מרמת החומרה של ממצא זה או אחר, גם אם הלרוח מתעקש. בנוסף, היום כבר משתמשים בחישובים מורכבים יותר כמו CVSS ותוספות שלוקחות בחשבון את מה שכתב מר בכר. אם יש סיכוי למשהו שלא נלקח בחשבון, אז כדאי לשפר את הנוסחא ואולי גם להחליף את היועץ.סטשnoreply@blogger.comtag:blogger.com,1999:blog-992793962965674362.post-86856318332496188902012-11-12T08:11:23.021+02:002012-11-12T08:11:23.021+02:00מה שמעניין זה שהלקוח תמיד צודק זה משפט שאומרים בחב...מה שמעניין זה שהלקוח תמיד צודק זה משפט שאומרים בחברת אבטחה. זה מעיד על סטנדרטים דועכים לטעמי. העניין של המכפלה של סיכון כפול נזק זה נחמד, אבל זה מודל חסר כל ערך - את הנתונים אתה מכניס אליו על פי תחושת בטן. זה כאילו מתמטיקה שבעצם בנויה על עבודת אלילים. אני דווקא חושב שהאינטואיציה הראשונית שלך - אם זה לא חשוב למה מטפלים בזה - נכונה. לא משנה אם זה מרגולציה או לא, זה שארגון מוציא כסף כדי לבדוק משהו לרוב אומר שהמשהו הזה שווה משהו.קול מן העברnoreply@blogger.comtag:blogger.com,1999:blog-992793962965674362.post-25703091616980622622012-11-04T23:58:47.640+02:002012-11-04T23:58:47.640+02:00אל תכליל את כל חברות ויועצי אבטחת המידע...
גם אני...אל תכליל את כל חברות ויועצי אבטחת המידע...<br /><br />גם אני לא "אוחז" מהמאלגוריתם הזה מהסיבה הפשוטה: אם מישהו יחליט "לזמבר" את החברה, (ככל שזו מערכת יותר רגישה) סביר שהוא יהיה מקצועי ולא יהסס להשקיע מאמץ בשביל לנצל את החולשה. כך שזה שהחולשה "קשה לניצול" או שהסבירות "לא גבוהה", זו לא סיבה להוריד רמת חומרה. אם כבר, משהו שקל לניצול זו סיבה להעלות לו את רמת החומרה.Srohttp://sro.co.il/noreply@blogger.comtag:blogger.com,1999:blog-992793962965674362.post-90415559592609343762012-10-24T05:08:19.999+02:002012-10-24T05:08:19.999+02:00זה שיועצי אבטחת מידע עדיין משתמשים בשטות הזו של הס...זה שיועצי אבטחת מידע עדיין משתמשים בשטות הזו של הסיכון שווה למכפלת ההסתברות בנזק רק מעיד על כך שהעולם הזה תקוע במקום כבר כמעט 15 שנה ויש בכך הרבה כדי להבין מדוע בעצם המתקפות כל הזמן מתפתחות בעוד שהאבטחה, במיוחד הארגונית תקועה במקום כבר שנים וסקרי הסיכונים של חברות היעוץ (כולן, לא אחת ספציפית דווקא) הם כלי מיושן במידה רבה שמשמש יותר לכסת"ח.<br />לעצם הענין, יש כמה אי דיוקים במה שאתה כותב: יש מערכות שבודקים אותן כי חייבים מבחינה רגולטורית (כגון 357) ולא כי באמת חייבים או רואים בהן סיכון, חיבור המערכת לרשת הלקוח אינו מעיד על סיכון גבוה למערכת עצמה, זו הגדרה לא נכונה, אם כי אני מבין כמובן את כוונתך בנושא. ושלישית, פגיעה בתדמית החברה היא סיכון שהוא אובר רייטד לגבי רוב רובן של החברות, לא הייתי משתמש בזה כטיעון. בשורה התחתונה אני מאד מסכים איתך שיש ליקוי יסודי בהבנה של חברות היעוץ וגם של ארגונים רבים, מהו בעצם סיכון.ניבhttp://www.linkedin.com/in/nivdavidnoreply@blogger.com