על החלטות, מנהלים, מחלקות סגורות ואבטחת מידע

מספרים על מחלקה סגורה בבית חולים לחולי נפש שבכל שנה התכנסה בו "וועדת שיחרורים", שהייתה בוחנת את המצב של כל החולים ומחליטה מי ישוחרר ומי לא. ההחלטה הסופית הייתה על פי ראיון שערכו עם המועמדים לשחרור. מטרת הראיון הייתה לבדוק את יכולת החולה לתפוס את המציאות בצורה נכונה.

אחד החולים שהגיע לראיון ונחשב  לכזה שהסיכויים שלו להשתחרר היו גבוהים ביותר, נשאל:

"מה לא תוכל לעשות אם ייפגע לך הפה?"

"אני לא אוכל לדבר, לא אוכל לטעום, כנראה גם לא לאכול"

"יפה, ומה אם ייפגע לך האף?"

"אני לא אוכל להריח"

חברי הוועדה, שהיו כבר מרוצים וכמעט החליטו לשחרר את האיש, ביקשו לשאול שאלה נוספת, אחרונה ומסכמת:

"תגיד, מה יקרה אם לא יהיו לך אוזניים?"

"אה, זה פשוט – אני לא אראה כלום".

"אתה בטוח?"

"כן. ברור – אם לא יהיו לי אזניים אני לא אראה כלום"

כלאחר כבוד הוחזר החולה למחלקה הסגורה ובילה שם שנה נוספת. אחרי שנה אותו ריטואל – "אם לא יהיו לי אזניים אני לא אראה". וככה - שנה אחרי שנה אחרי שנה. באחת הפעמים, אחד הרופאים שהכיר את החולה לאורך כל תקופת האישפוז שלו התעצבן עליו ואמר – "תגיד, אתה יודע שרק בגלל התשובה הזו אתה נשאר כאן? תסביר לי איך הלוגיקה שלך עובדת! איך הגעת לזה שאם לא יהיו לך אזניים לא תראה?"

"אה, פשוט מאוד – אם לא יהיו לי אזניים, הכובע יחליק ויכסה לי את העיניים, ואז לא אראה".

מוסר ההשכל הוא פשוט מאוד – גם בהחלטות שנראות בינאריות (החלטות של "זה או זה"), שני אנשים יכולים לקבל שתי החלטות על בסיס אותן עובדות, ושתי ההחלטות תהיינה הגיוניות. הסוד הוא "לצאת מהקופסה" ולנסות לחשוב בצורה שונה. הרבה פעמים אנשים מקבלים החלטות על בסיס מה שנראה להם הגיוני, ולאו דווקא על בסיס כל העובדות האמיתיות או על בסיס התייחסות לכל האפשרויות – ולעיתים נותנים יותר מדי מקום ל-"תחושת הבטן" ולא לניתוח אמיתי של הסיטואציה. דבר דומה קורה למנהלים ואנשי עסקים שמחליטים לעצור שילוב טכנולוגיות חדשות בארגון בגלל איומי אבטחת המידע שהם חושבים שטכנולוגיות כאלה מביאות לארגון ולאו דווקא לפי האיום האמיתי והרלוונטי.  לדוגמה, מנהלים רבים מפחדים מ- IP Telephony בגלל ההרגשה שקל מאוד לצותת לשיחות ברגע שהן הופכות להיות מבוססות על IP, אך הם לא מודעים לעובדות הבאות – בעולם הטלפוניה הקלאסית כל מה שצריך בכדי לצותת הוא טלפון פשוט וגישה לארון התקשורת  (שלרוב נמצא ברחוב...) בעוד שבעולם ה- IP צריך ידע רב ב- IP, טלפוניה, פרוטוקולים, יכולת התערבות במבנה הרשת ועוד – גישה פיזית לרוב לא מספיקה, מה גם שהציוד נמצא במקום יחסית מוגן פיזית. חוץ מזה, שלא כמו בעולם הטלפוניה הקלאסית, דווקא בעולם ה- IP ישנן יכולות אינהרנטיות המאפשרות הגנה על פרטיות השיחות ולהגן בפני ציתות. זו רק דוגמא אחת מני רבות של איומים הנתפסים כמשמעותיים אך בסיכומו של דבר הם לא ממש אמיתיים כאשר באים להבין את יכולת המימוש שלהם.

מנהלים רבים, טכנולוגיים ולא-טכנולוגיים, רואים בטכנולוגיות כגון Web 2.0, Collaboration וכד' כטכנולוגיות שהאיום האבטחתי שבהן גדול מהערך המוסף שהן מביאות לארגון. האם ניתן למדוד בצורה פשוטה איום מול ערך מוסף? האם הערכים הם בכלל ערכים ברי השוואה? התשובה האינטואיטיבית היא "וודאי" – כל החלטה עסקית היא החלטה שאפשר לכמת את הערך או הנזק שהיא גורמת. התשובה הנכונה היא "תלוי" – החלטות בעולם אבטחת המידע הן החלטות אקטואריות בדומה להחלטות בנושאים ביטוחיים שונים – ולא בכדי המונח "אבטחת מידע" ו-"ביטוח" קשורים זה בזה לשונית. דווקא בכדי .מתוך ויקיפדיה – "אקטואריה היא מדע, המשתמש בטכניקות מתמטיות וסטטיסטיות לפתרון בעיות כלכליות וחברתיות בהן משולבים מצבים של אי ודאות. אדם העוסק במדע האקטואריה באופן מקצועי נקרא אקטואר. מדע האקטואריה כולל כמה תחומים חופפים כגון סטטיסטיקה, הסתברות, כלכלה ומימון. הוכר כתחום מתמטי נפרד כבר במאה ה-17 אך לא השתנה רבות עד 30 השנים האחרונות בעקבות כניסת מחשבים ומודלים מתמטים חדשים".

דווקא אי הבהירות והעירפול שבתחום אבטחת המידע עושה לו נזק רב לדעתי, ומנהלים רבים מעדיפים לקחת צעד אחורה בתהליך ההחלטות שלהם בכל פעם שעולה עניין אבטחת המידע. רבים מהטכנולוגים חשדניים קצת בכל הנוגע לאבטחת מידע, תחום שנתפס כשמור אך ורק לאותה "קליקה" של אנשי אבטחת מידע.

שמי יובל שחורי, ובארבע השנים האחרונות אני מנהל את תחום אבטחת המידע בסיסקו ישראל. לתפקיד הגעתי אחרי כ- 9 שנות נסיון בניהול אבטחת מידע בארגונים גדולים, ניתוח סיכונים וייעוץ בתחום אבטחת המידע ובתחומים קשורים נוספים. לסיסקו הגעתי אחרי כ- 4 שנים כסמנכ"ל בחברת אינטגרציה שהתמחתה בפתרונות אבטחת מידע.

 בפוסטים שלי בבלוג הזה אנסה להסיר קצת את הערפל ואי הבהירות מהתחום, ולהפוך אותו לקצת יותר נגיש דווקא לאלה שאינם עוסקים בתחום זה יום יום.

אשמח אם תבואו לבקר בבלוג גם בפוסטים נוספים, ואם יש נושאים שמעניין אתכם שאכתוב עליהם, או סתם שאלות, אשמח אם תכתבו לי בפורום - http://it.themarker.com/forum/.

יובל