Sign in
By Jernej Sosteric in varnost

Varnost ni feature. Je odločitev.

Varnost ni feature. Je odločitev.

O varnosti pogosto govorimo, kot da je lastnost sistema.
Nekaj, kar lahko vklopiš. Ali dodaš. Ali kupiš.

V resnici pa varnost ni lastnost.
Je odločitev.

In vsakič, ko se odločimo drugače, izberemo tudi posledice.

Zakaj varnost tako rada postane checkbox

Varnost je neprijetna tema.
Zato jo radi zapakiramo.

  • v “best practices”
  • v certifikate
  • v produkte
  • v funkcije

Ko varnost postane feature, jo lahko:

  • delegiramo
  • odkljukamo
  • potisnemo na konec seznama

In ko gre kaj narobe, lahko rečemo:
imeli smo varnost.

Ampak varnost, ki ne temelji na odločitvah, je iluzija.

Odločitev se zgodi vedno – tudi ko je ne sprejmeš

Najpogostejša odločitev o varnosti je ta, da je ne sprejmemo zavestno.

Primeri so banalni:

  • “to je samo doma”
  • “to je samo interni sistem”
  • “to ni zanimivo za napadalce”

Vsaka od teh izjav je odločitev.
Ne tehnična – kontekstualna.

In vsaka ima svojo ceno.

Varnost brez konteksta ne obstaja

Varnost nima smisla brez vprašanja zakaj.

  • Zakaj je ta sistem pomemben?
  • Zakaj je ta podatek občutljiv?
  • Zakaj je ta storitev izpostavljena?
  • Zakaj je to tveganje sprejemljivo?

Brez teh vprašanj:

  • “več varnosti” nima pomena
  • “manj varnosti” nima argumenta

Varnost ni absolutna.
Je razmerje med tveganjem, vrednostjo in odgovornostjo.

Ko varnost postane politična

V organizacijah se to pokaže zelo hitro.

  • kdo odloča o prioritetah
  • kdo nosi posledice incidenta
  • kdo plača ceno upočasnitev
  • kdo dobi zasluge, ko je vse mirno

Varnost je vedno tudi razmerje moči.
Zato ni nikoli samo tehnična.

Tudi doma ni drugače.
Le da so vse vloge združene v eni osebi.

In zato je doma varnost pogosto iskrena.
Ker se ne moreš skriti za proces.

Zakaj “več varnosti” ni vedno boljša varnost

Dodajanje varnostnih ukrepov brez razmisleka ima svojo ceno:

  • več kompleksnosti
  • več točk odpovedi
  • manj razumevanja sistema
  • več odvisnosti od magije

V nekem trenutku sistem ni več varen, ampak krhek.

Varnost, ki je ne razumeš, ni varnost.
Je tveganje z dobrim marketingom.

Zavestna odločitev je že varnostni ukrep

Včasih je najboljši varnostni ukrep ta, da:

  • ne izpostaviš storitve
  • ne uvedeš funkcionalnosti
  • ne povežeš sistema

Odločitev ne narediti je pogosto težja kot odločitev narediti.

Ampak prav tam se pokaže zrelost.

Varnost kot stalna praksa

Varnost ni projekt.
Ni stanje.
Ni feature.

Je praksa odločanja.

Vsakič znova:

  • kaj ščitimo
  • zakaj to ščitimo
  • česa ne ščitimo – in zakaj

Ko to postane navada, varnost ne potrebuje velikih besed.
Deluje tiho.

Med bajti in politiko

Varnost živi natanko tam, kjer se srečata sistem in odločitev.
Tehnologija in odgovornost.
Možnost in posledica.

In dokler bomo varnost obravnavali kot feature,
bomo presenečeni, ko bo odpovedala.

Ko jo začnemo obravnavati kot odločitev,
postane del tega, kar smo pripravljeni nositi.

Previous

Mini-produkcija doma: kje potegnem mejo

 Next

Ko odločitve nihče ne sprejme

You might also like...