בילוי ערב ברעננה או הבעיתיות של שיווק נושא אבטחה בארגון

27 בינואר 2007

אין תגובות

קיבלתי לפני כשבועים עלון מעיריית רעננה, עם הזמנה לבוא לשמוע על "זהירות אינטרנט ?! סיכונים ופיתויים לילדים". רשמתי לי את זה ביומן וזימנתי למפגש את זוגתי שתחיה. אם אתה רוצה לדלג ישר לבשר, קפוץ 3 פיסקאות.

לתומי חשבתי שמדובר ביוזמה ברוכה של העיריה, אבל די מהר התברר לי שמדובר בארוע פוליטי, שיווקי, שנועד בעיקר להאדרה עצמית של השותפים לארוע, וגם לדחיפה שיווקית של קורס להורים על "איך לגלוש מבלי להיסחף" של מכון אדלר בשיתוף עם אגוד האינטרנט הישראלי.

כבוד ראש העיר נאם, סגנית ראש העיר קיבלה כבוד, צביה אלגלי, "יועצת לשימוש נכון באינטרנט באיגוד האינטרנט הישראלי" ברכה והזמינה אחריה את אסנת הראל, מנכלית מכון אדלר שהבטיחה שהכל בהתנדבות וללא תמורה (הא, הא) והזמינה את אמיר עציוני נשיא איגוד האינטרנט הישראלי, שנתן דברי פתיחה. אם זה נשמע לכם עד כאן ארוך ומשעמם, תאמינו לי בתור מי שהי שם שזה באמת היה ארוך ומשעמם ומיותר לחלוטין, רק תדמינו שאתם באים לסינימה סיטי ל developers academy וכל השעה הראשונה הולכת על נאומי תודה במקום הרצאה טכנית. הייתי על השלב של לקום ולצרוח בקול רם, שיפסיקו להתבסס בביצה של שביעות הרצון העצמית שלהם ויגמרו כבר עם זיבולי השכל וידברו סוף סוף לעניין (כשזוגתי שתחיה מחזיקה אותי בזנב בשארית כוחותיה). אבל שניה לפני שהצלחתי להשתחרר מהכבלים ולהתפרץ, החל סוף סוף החלק המקצועי של הערב.

החלק המקצועי היה בנוי מחמישה חלקים, הרצאה של צביה אלגלי על "סיור בסמטאות האפלות של הרשת", ראיון חי עם שני תיכוניסטים שסיפרו חוויות, הרצאה של פקד נועם רביד ממשטרת ישראל על "הצד האחר של המחשב: נקודת מבטו של החוק", הרצאה שיווקית של מיכאלה צמח ממכון אדלר על "חשיבות העבודה עם הורים: ידע ודיאלוג" או כמו שהיא ניסחה את זה בפתיח "מה צריך לעשות כדי שהילדים שלכם לא יגיעו לידיים של נועם" ולבסוף הרצאה שלא היתה כלולה בתכנית המקורית, אתי סמואל ממשרד החינוך על מה אנחנו עושים במשרד החינוך על מנת להכין את הילדים לעולם המפחיד של האינטרנט. היה אמור להיות גם פאנל שאלות ותשובות שבסופו של דבר היה מאד קצר ומצומצם ודמה יותר לדו שיח בין חרשים (דימוי מקובל אבל מאד לא נכון, כי רוב החרשים שיצא לי לפגוש כן יודעים לנהל דיאלוג).

עד כאן העובדות, תאור הסביבה ותנאי הפתיחה של המשחק, מכאן והלאה החלק היותר טכני של ניתוח כשלים בפרויקט וכמה פנינים שהצלחתי לדלות מתוך הארוע. 

מי שסקרן לדעת מה אני עושה בהרצאה כזו בכלל, צריך לחזור אולי לתחם העיסוק העיקרי שלי, שהוא שחרור סתימות מפרויקטים. יש קשר הדוק בין ההרצאה הזו לבין החדרת תודעה של אבטחה בארגון, אצל המשתמשים, המנהלים, המפתחים ואפילו מומחי ה IT. אתה יושב על מושב של קולנוע, מסביבך אוכלוסיה שאמורה להיות אוכלוסית היעד, לפניך על הבמה מי שמתפקידם להעביר את המסר, ואתה צריך רק לשבת ולהקשיב ובאותו זמן להסתכל סביב ולראות איך אנשים מגיבים. זהו, כל העולם פרוש לפניך בסביבת סימולציה, רק תסתכל ותלמד ותפיק לקחים. זה לא יאומן כמה שאלות וכמה תובנות אתה יכול להפיק מארוע כזה, אם רק תהיה מוכן להקשיב לעולם ולפתוח את עצמך לחוויות חדשות (אני מתחיל להישמע כמו מטיף, איכסה, פיכסה, טפו טפו טפו).

קרוב ל 150 איש באו למרכז האומניות בערב של יום חמישי כדי לשמוע על הנושא וזאת לאחר מסע פרסום מאסיבי שכלל פליירים, שלטים ברחובות ודיווחים מוקדמים במקומונים. אני הגעתי לשם לאחר יום עבודה ארוך שכלל מעבר בין שלושה לקוחות, השתתפות בחלק של מפגש קבוצת משתמשים וארגון הבית להתמודדות עם הטראומה שההורים נעלמים לשעתיים מהבית. אני מניח שרוב האחרים שהגיעו לארוע (פרט לקבוצה קטנה של אוהדים ואינטרסנטים), לא היו עם סדר יום קל יותר.

שאלה: איך זה שלאחר שיווק מאסיבי כל כך, בנושא כל כך חשוב, הגיעו לארוע רק 150 איש. נכון, מצד אחד זו רק אוכלוסית רעננה, שזה 78,000 איש בערך, משהו גס כמו 15,000 בתי אבא (אבא אמא ובערך שלושה ילדים), אבל לרוב הבתים שם יש מחשב (אחד לפחות) ואם אין מחשב בבית יש אותו בבית הספר, במתנ"ס, במועדונית ובהמון נקודות גישה אחרות. הכמות היתה צריכה להיות הרבה יותר מ 0.2%.

 אני מניח שליאור צורף וענת שני ידעו לענות על זה יותר טוב ממני, אין אצלהם ארוע של פחות מכמה אלפים. אל תגידו לי שזה לא אותו דבר, כמה מפתחים יש לנו בארץ, וכמה חברות שיש אצלהם מחלקת פיתוח פעילות בשוק ? בטח לא פקטור של 20 ממספר תושבי רעננה. כך שלמרות שזה לא אותו דבר, יש כאן מיתאם.

הבעיה היא איך אתה לוקח נושא כל כך מנהלי, משעמם, יורד לפרטים, מעורר רתיעה, מעורר דחיה, מפחיד ובעיתי כמו אבטחה, ומסביר ומטמיע אותו בארגון שלך. ולא סתם מטמיע אותו אלא בצורה שכולם יהיו מודעים למשמעויות שלו. מודעים מספיק, כדי שלא יעשו שטויות. מדובר פה על החדרת תודעת אבטחה ולא רק על אבטחה. כי לא משנה מה תעשה, בסופו של דבר מדובר באנשים. אנשים שעושים את מה שכתוב מבלי להבין את המניעים שמאחורי הדרישה. בסופו של דבר ידלגו ויקצרו ויעקפו ולא תקבל את מה שאתה רוצה. אבטחה כמו ניהול סיכונים אלה מטלות שאך אחד לא אוהב אבל שצריך לעשות אותם ואין ברירה.

הגישה של כפיה אינה בהכרח הדרך הנכונה. אני מכיר מנהל IT צעיר שכפה על המשתמשים שלו להשתמש בסיסמר של 14 אותיות גדולות קטנות, מספרים וסימנים מיוחדים וכיוון את המערכת כך שלא יוכלו לחזור על אותה סיסמא 31 פעמים לפחות ודרש בנוסף החלפת סיסמא כל שבוע. התוצאה המידית היתה שכל אחד רשם לו בגדול ליד המסך את הסיסמא הנוכחית וכל מה שהיית צריך לעשות כדי לפרוץ לארגון זה לעשות סיבוב במסדרונות ולרשום את הסיסמאות. כמו שנאמר יופי נחמה.

ואם מותר לי לצטט אגדה עירונית שאין לה שום קשר למציאות, על סניף בנק אחד, שהיה ידוע בשרות הרע שלו ללקוחות, ויום אחד השרות היה באמת מתחת לכל ביקורת ושהתחילו צעקות מהלקוחות הסתבר שזה בגלל שהמחשב לא עובד. הזעיקו את אחראי המחשוב של הסניף והוא הלך לבדוק בחדר השרתים המוגן מה קרה למחשב. הוא גילה שהדלת של החדר המוגן פתוחה והשרת הראשי של הסניף נעלם. לאחר בירור הסתבר ששעתים לפני כן הגיע מישהו עם רכב מסחרי קטן והסביר שהוא טכנאי מיזוג אויר שבא לתקן תקלה וביקש שיפתחו לו את הדלת של חדר השרתים. לא רק שפתחו לו ללא בירור, אלא גם השאירו אותו לבד. אין ספק שהוא היה טכנאי, כי הוא לא חתך כלום אלא ניתק יפה את כל החוטים (ובטח גם עשה Shout Down מסודר) והסתלק עם השרת הראשי, עם כל הסיסמאות, ה cretificates והפרוטוקולים המקשרים את הסניף למחשב הראשי של הבנק. אותו בנק (ומדובר כזכור לכם באגדה עירונית ללא קשר למציאות) קיבל כמה שבועות לפני כן הרצאה על בניית תשתית PKI בארגון והיה על סף הטמעה של מערכת אבטחה מהטובות ביותר שקימות שתחליף מערכת אבטחה טובה גם כן שהיתה קיימת אצלו. מה שאומר, ששוב חזרנו לאנשים.

ואם אתם רוצים דוגמא קרובה יותר אז בלוג התגובה של צביקה פאר מדגים את זה בצורה הטובה ביותר. גם המובאה הבאה מהבלוג של תמיר מדגישה את הנקודה שאם העובד לא מטמיע את התובנה והוא לא "קונה" את הדרישה, שום דבר לא יעזור. תודעת אבטחה יש לתכנן כחלק מהפרויקט וכחלק מהמטלות הארגוניות, יש למכור אותה בארגון, יש לבדוק באופן רציף את ההטמעה שלה ויש לוודא שהיא לא יורדת מסדר היום.

ספציפית לגבי הארוע הנ"ל, הוא דרש קצת יותר השקעה בשיווק. היה גם צורך לתת חיזוקים למשתתפים. אני מניח שאם היה מובטח 50% הנחה בארנונה לתושבים שיגיעו וימלאו נכונה את השאלון היו מגיעים הרבה יותר. אולי במקום 50% הנחה בארנונה (שזה כנראה קצת היסחפות), חבילת שוקולד מתנה היתה משיגה אפקט דומה.

שלא יובן מהבלוג הזה שהרצאות ארגוניות בשעות הערב הינם פתרון גרוע, הם אחד מסדרה של אמצעים. וכדאי אולי לציין שהשוה ערך הארגוני של 50% הנחה בארנונה, זה בדרך כלל חולצת T או תעודה יפה או הכרה בגמול השתלמות.

למי שסקרן לדעת מה עוד היה בערב הזה, ומה עוד למדתי ממנו על תהליכים ארגוניים לקויים, אל דאגה, אני עוד אחזור אליו, כי הוא דוגמא יפה לניתוח. אבל אני מעדיף לכתוב כמה בלוגים קצרים וממוקדים כל אחד לנושא אחד ולא להגיע למצב שהתינוק יטבע באמבטיה מרוב מים.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *