Nem kell ehhez blogokat, statisztikákat, post mortem riportokat olvasni. Vannak technikai eszközökkel kezelhető problémák, vannak, amik csak szervezeti, humán eszközökkel kezelhetőek (ez is lenne a HR egyik feladata például), és a kezelhetetlen tényezők a te szempontodból.
Nyilván ha CEO / CTO vagy tulajdonos vagy a cégnél, akkor bizonyos szempontból egyszerűbb helyzetben vagy. Más helyzetből meg rosszabban, mert a beosztottaid elrejtik / átformálják / hazudnak a lényegi információkról.
Az alábbi lista szigorúan magánvélemény, nagy valószínűséggel több kolléga, szakember is egyetért vele:
1. User error. Ha nincs felhasználó, akkor nincs gond 90%-ban.
2. Vezetői hibák. Mondhat bármit az IT, ha odafönt totál analfabéták ülnek, akkor fölöslegesen tépi a száját az IT. Jobb esetben vagy IT security team, de ez nem segít, ha odafönt süketek. Ezért kell alkalmazni a VSP elvet (=védd a segged papírral) és az MVP protokollt (=más valaki problémája).
3. Technikailag frissítetlen, magukra hagyott rendszerek. Ha egy nagy cégnél van 200 rendszer, kijön 2-3 naponta egy CVE (nem 0-day), mindenben kell követni az ITIL elveket, van havi 1-2 órád patchelni és van 4-5 ember erre (persze az application support team NEM partner), akkor kiszámolhatod, hogy átlagosan hány napig patcheletlen egy rendszer. Továbbá a patchelés nem termel pénzt közvetlenül az üzlet szerint, ergo felesleges.
4. Fluktuáció. Egyszerűen elvész az információ a fluktuáció miatt. És amiről mindenki azt hiszi, hogy már megoldódott, az nem oldódott meg, mert XY már nem oldotta meg a hibát, elment már a cégtől.
5. Általános leszarom mentalitás: Jól van az úgy, működik, nem? Akkor minek nyúljunk hozzá?
6. Nincs a rendszernek gazdája klasszikus értelemben. Nincs olyan ember, aki teljesen átlátná a rendszert, lenne hozzá jogosultsága és hatásköre, hogy rábólinthasson a frissítésre, változtatásra. Elveszik az információ.
Ez a lista gyakorlatilag cégmérettől független. Vannak minimális különbségek nációtól, szektortól függetlenül. Amíg az IT security, a kockázatok nem árazhatóak be, nincs rájuk KPI, addig nem veszik komolyan. A kör bezárult.