Sign in
By Jernej Sosteric in politika

Ko odločitve nihče ne sprejme

Ko odločitve nihče ne sprejme

V tehnologiji se redko zgodi, da sistem odpove zaradi ene same napake.

Veliko pogosteje odpove zato, ker je nekje vmes zmanjkalo odločitev.

Ne tehničnih.
Organizacijskih.

Tehnični problem brez lastnika

Večina resnih incidentov ni rezultat kompleksnega napada.
Je rezultat:

  • odprtega porta, za katerega nihče ni vedel, zakaj obstaja
  • sistema, ki “je tam že leta”
  • skripte, ki jo je nekdo napisal in potem odšel

Ko vprašaš:
“Zakaj je to tako?”
je odgovor pogosto:
“Ne vem.”

In “ne vem” je skoraj vedno simptom, da odločitev nikoli ni bila sprejeta. Samo podedovana.

Tiha politika sistemov

Vsak sistem ima politiko, tudi če nima dokumentacije.

  • kdo ima dostop
  • kdo lahko spreminja
  • kdo lahko izklopi
  • kdo odgovarja

Če tega nihče ne definira, se definira samo od sebe.

In takrat politika ni zapisana. Je implicitna.
In implicitne politike so najnevarnejše.

Ko varnost postane administrativna naloga

V mnogih okoljih je varnost nekaj, kar “uredi IT”.

  • patchi se namestijo
  • firewall se zapre
  • 2FA se vklopi

Ampak nihče ne vpraša:

  • ali je to skladno s tveganjem?
  • ali je to vzdržno?
  • ali to kdo razume?

Ko varnost postane operativna rutina brez strateške odločitve, se zgodi dvoje:

  1. ali postane prekompleksna
  2. ali pa ostane površinska

Oboje je problem.

Doma je lažje videti napako

Doma si sam svoj “board”, sam svoj IT, sam svoj CISO.

In ko nekaj odpove, ni nikogar drugega, ki bi rekel:
“Mi smo predvidevali drugače.”

Doma je jasno:

  • ali si odločitev sprejel
  • ali si jo samo odložil

Zato je domača infrastruktura zanimiv laboratorij odgovornosti.

Odločitev kot arhitektura

Najbolj varni sistemi niso nujno tisti z največ zaščitami.

So tisti, kjer je jasno:

  • kdo je lastnik
  • kdo odloča
  • kdo nosi posledice

To ni tehnična plast.
To je arhitekturna plast.

In ko te plasti ni, jo nadomestijo predpostavke.

Ko nihče ne reče “ne”

Veliko tehničnih težav se začne z odsotnostjo besede “ne”.

  • še en sistem
  • še ena integracija
  • še ena izjema

Vsaka je razumljiva.
Vsaka ima razlog.
Skupaj pa ustvarijo sistem brez meja.

In sistem brez meja nima več varnosti.
Ima samo srečo.

Med bajti in politiko

Tehnologija je redko problem sama po sebi.

Problem je, ko se odločitev raztopi med vloge.
Ko ni jasno, kdo je rekel “da” in kdo bi moral reči “ne”.

Varnost takrat ni tehnična šibkost.
Je organizacijska tišina.

In tišina je najdražji incident.

Previous

Varnost ni feature. Je odločitev.

You might also like...