מחיי היומיום המקצועיים

פוסט מספר 2 מחיי היומיום המקצועיים: איזה טעויות מיישמי אבטחת מידע/ תקשורת נתונים עושים ואיך מתמודדים עם הטעויות הללו ?

כאנשי טכנלוגיה בסביבות production אנחנו מתעסקים ביום יום עם המערכות הכי רגישות שיש בכל סקטור שקיים (היי-טק , פיננסי , ממשלתי , ביטחוני וכו').

כל טעות עלולה להיות קריטית ויכולה לגרום לאירוע עסקי שבסופו של דבר מתורגם לעלות כלכלית אך הפוסט הזה לא נועד להלחיץ אותכם ,אלא להיפך לגרום לכם ללמוד מכך.

הטעויות הנפוצות שעלולות לקרות לנו (אלו רק כמה מהדוגמאות הנפוצות)

1) להגדיר רכיב אבטחת מידע לא באופן המיטבי , בשפה העממית "הקשחת הגדרות", באופן שיאפשר חשיפה לא רצויה לתוקף ( שווה ערך לקוד לא מאובטח מעולמות התוכנה) .

2) לגרום להשבתה כתוצאה מביצוע של שדרוג גרסת תוכנה של רכיבי אבטחת מידע / תקשורת שהלך והסתבך.

3) לבדוק feature חדש בסביבה ייצורית במקום בסביבת test/dev

קודם כל גם אם טעינו אני אישית מאמין בגישה שקודם כל חשוב שנבין את הטעות שעשינו ונלמד ממנה להבא כדי שלא תחזור על עצמה שוב.

דרך נוספת שבה ניתן לצמצם את הסיכוי לתרחיש שנובע כתוצאה מטעות היא לבצע הכנה מקדימה באופן מקסימלי בדרכים הבאות:

* במידה ואתם מגדירים מוצר אבטחה/ תקשורת או אפילו כותבים קוד תלמדו ותחקרו איך הכי נכון לבצע את ההגדרות בהתאם להמלצות היצרן/ המלצות שעומדות בתקן אבטחה הכי מחמיר שיש . ניתן לבדוק באתרים רשמיים של יצרנים , פורומים , github והכלי הכי יעיל לדעתי זה פשוט להתייעץ עם קולגות שלנו ברשתות החברתיות : טלגרם , וואטסאפ ,פייסבוק.

ישנן טונות של קבוצות שעוסקות בנושאים ספציפיים.

* במידה ואתם נערכים לשדרוג מורכב יש לכתוב תוכנית עבודה מפורטת לפרטי פרטים ( ברמת הפקודה ) של מה אתם הולכים לעשות צעד אחר צעד , כך אתם מקטינים את מרווח הטעות למינימום האפשרי. כמובן שיש לבצע גם חקר מקדים ולימוד כפי שציינתי לעיל .

בשורה התחתונה : מי שלא טועה לא לומד!

בהצלחה לכל הטועים והטועות ;-)