בנוסף לזה הרוב המוחץ של א"מ בארגון כלשהו הוא לא טכנ' לחלוטין, מדובר על נושאים פרוצדוראליים נטו', והם נראים דיי straight forward עד שמנסים לממש את זה בארגון גדול. למי שבאמת רוצה לדעת עד כמה מתעסקים בשטויות מוזמן לקרוא את התקן של PCI-DSS למשל, אין שמה שום דבר טכני במיוחד.

מעבר לכך אני בספק אם את מישהו מעניין אם הקורא טביעות אצבע שלו הוא FIPS 140-2 בדרגה 2 או 3, או אם השילוב של רג'סטרים לטיפול בECC וAES במעבדים העתידיים של אינטל יבטל את הצורך בקניית מאיצי SSL יעודיים בעתיד.

א"מ בארגון, בחיים או בבית זה עניין קונספטואלי ופרוצדוראלי לחלוטין, אין לו שום קשר עם checkpoint, imperva או symantec או כל חברה אחרת, אלא הן רק חברות עם מוצרים חסרי תועלת לחלוטין כאשר אין שום תפיסה העומדת מאחוריהן.

אני לגמרי מסכים עם דובי, ולזה בדיוק התכוונתי כשאמרתי חינוך לאבטחת מידע. לדעתי זה צריך להיות הייעוד העיקרי של הפורום (אם יקום) או לפחות אחד מייעודיו. לאו דווקא כניסה והסברים טכניים "יבשים" או סקירות על רכיבי תוכנה/חומרה שקשורים בעקיפין לתחום, למרות שגם לזה יש מקום לדעתי, אלא יותר עיסוק בתפיסת המושג אבטחת מידע ומהן הגישות (והכלים) ליישומו. אני גם מסכים עם אלכס שלא חייבים להתייחס לפורום פה כאילו הוא מיועד לילדים וכל דבר קצת מורכב לא יימצא קהל יעד. אולי (דגש על האולי) אם יקום פה פורום רציני בנושא, עם הזמן הוא ימשוך גם את קהל היעד המתאים, גם כאלה שכיום לא נוהגים להסתובב פה בפורום.

לדעתי הפורום הזה צריך לפסול מראש דיונים בסגנון נדבקתי ב-malware כזה או אחר (אחרי ההדבקה זה כבר עניין תוכנתי), איך להפנות פורטים (לא קשור לפה, קשור יותר לציוד רשתות), או "יכול להיות שפרצו לי למחשב..." (לא קשור לכלום) ולשאוף יותר להיות מקור אינפורמטיבי שיאפשר בין היתר דו-שיח אמיתי בנוגע לעקרונות אבטחת המידע, גישות נפוצות, כלים ועוד.

רעיון מעולה.

היה מתאים פה איזה סקר לא? :

לגבי שאלות על פריצות ל-ICQ וכולי, פשוט צריך להגיד שאסור לדבר על זה בפורום... כזה פשוט.

מסכים עם ערן.

או שאפשר להפסיק להתייחס לכל האתר כפורום ב Disney.com ולהרים סטיקים עמוקים על אבטחת מידע ברמת Enterprise עם הסברים על כל נושא וטכנולוגייה של החברות השונות. מה רע בלחנך צעירים שבשבילם "אבטחת מידע" היא סיסמה על קובץ .RAR שיש בזה הרבה מעבר ?

אני לפני שהתחלתי לעבוד בצ'ק פוינט חשבתי שאבטחת מידע מסתיימת ב Firewall של Windows או מקסימום החינמי של ZoneAlarm אצלי על המחשב.

אם כבר, רציתי לשאול- איפה אני יכול למצוא מידע על החומר התיאורתי של אבטחת מידע? אני מדבר על העקרונות, לא על "עיח לפרוץ לכבר שלי אט המכשב?" אלא על הנושא, הוא מתחיל לעניין אותי ממה שהתחלתי ללמוד. המאמר שהבאת לי אז לימד אותי הרבה, אבל הגיע הזמן להתקדם עוד, רשתות זה תחום רחב.

ד"א, התעסקויות עם רשת בבית- אני הולך לעשות DUAL BOOT(ים) עם לינוקס (דביאן או פדורה כנראה) ולשחק עם זה קצת- כמה ידע זה יביא לי? כי הבנתי שמזה אני יכול ללמוד המון ובכל מקרה התכוונתי לעשות את זה מתישהו.

ולנושא- פורום אבטחת מידע פה הוא מיותר, מפני שמעבר ללאבטח את המידע שלך, דבר שמסתכם בכמה המלצות על תוכנות אין קהל רציני לזה. קהילה כזו יכולה עקרונית להתפתח, אבל זה פחות ריאלי כשמדובר בקהילה קיימת ובאתר קיים שכבר מתמחה בתחום אחד.

לא הוספתי כלום בעצם, אבל מילא.

כלום, אין קשר בין האקינג לא"מ.

דובי, מה כוונתך, אתה מתייחס לא"מ כפרוצדורות והתנהגות(מגננה) ולהאקינג כתחום שונה לחלוטין (מתקפה) אם הבנתי אותך נכון?

אני כבר מתאר לעצמי איך הפורום הזה יראה, כמו פורום מקינטוש מלא בת'רדים נעולים של "עזרהההה דחוווף - הורדתי טורנט עכשיו איך אני מתקין מק על פייסיייי" ו "כנסווו דחוווף - ניסיתי להתקין מק אבל פעם אני מקבל Kernel Panic ופעם com.apple.Boot.plist not found למה זה?"

דובי, מה כוונתך, אתה מתייחס לא"מ כפרוצדורות והתנהגות(מגננה) ולהאקינג כתחום שונה לחלוטין (מתקפה) אם הבנתי אותך נכון?

אין שום קשר בין Information Assurance/Information Security לפריצות ושלל הדברים שאנשים חושבים, סה"כ עוד ווקטור בסקירת הסיכונים.

כלום, אין קשר בין האקינג לא"מ.

אם ענית לי, אני לא מבין אותך בכלל.

אני לא הזכרתי את המילה האקינג, וזה גם לא מעניין אותי באותה מידה (כרגע).

אני גם לא רוצה לדעת איך לעשות משהו (כרגע), אני רוצה ללמוד על העקרונות- התנהגות של רשתות, גישה להן , מידע וכו'.

זה לא מעניין אותי בגלל שזה "מגניב", זה מעניין אותי כי מהמעט שאני נחשף לנושא הוא מעניין אותי. (נכון, זה כן מגניב בשבילי, אבל מגניב בצורה שאתה מגיב כשנחשפת למידע חדש וממש מעניין, התגובה שלי כשהבנתי איך פורטים עובדים הייתה "מגניב", אבל זה בכלל לא אותו דבר.)

אבל מכיוון שאין קשר כ"כ בין התשובה שלך לשאלות שלי, בטח לא ענית לי... ואז אני מצטער.

בכל מקרה, יש למישהו תשובה? קשה לי למצוא חומר על הנושא.

כאשר תבין שא"מ לא קשורה למבנה רשתות, הגנות, לינוקסים מגניבים וכו' אז אפשר יהיה לדבר.

IS-IA קודם כל מגדירים מהו מידע בארגון, כלומר מה הופך רצף של נתונים חסרי תועלת למידע ארוגני, אחרי זה הם מנסים להבין איך המידע על שלל סיווגיו נכנס למחזור העסקי של אותו ארגון, אחרי זה כל מה שמעניין אותך הם כבר הפרטים השוליים ביותר בעניין הזה, קרי ניהול סממאות מרכזי, auditing, ושאר הדברים שנופלים ד"א בעיקר על תחום חוסן ולא על תחום א"מ.

מעבר לזה אנשי א"מ בארגון צריכים לעזור לארגון לעמוד בתקנים שבהן הארגון צריך לעמוד כגוף כלכלי בין אם זה תקנים מקומיים כמו התקנים של מכון התקנים הישראלי לא"מ(וכן יש לא מעט כאלה), בין אם זה תקן PCI-DSS של חברות כרטיסי האשראי, בין אם זה ISO 270001/2/X וואט אבר, לתקנים האלה יש דרישות מאוד כלליות בסופו של דבר. אם תקן PCI-DSS 6.6 דורש התקנת FW אפליקטיבי על כל אפליקציות ווב עסקיות הפונות כלפי חוץ הוא לא מגדיר באיזה קריטריונים הFW האפליקטיבי אמור לעמוד בהם. אפשר לשים מוצר ב-200 דולר, ואפשר לשים מוצר ב20000 דולר, כמובן שאותם אנשי א"מ צריכים להבין מה בדיוק הצרכים של הארגון מעבר לעמידה בתקן ואיפה כל מוצר משתלב במעגל העסקי של אותו ארגון.

כאן מדובר על א"מ ארגונית, יש עוד אנשים א"מ בארגונים שונים, אבל שוב כאן מדובר על אנשי חוסן ולא א"מ, בד"כ מדובר על האנשים בחברות הפיתוח שעושים code review, ובדיקות חסינות לאפליקציות ולמוצרים שהחברה מפתחת, ומנחים את המפתחים כיצד לפתח נכון(וזה לא שהמפתחים לא יודעים את זה בעצמם, הם פשוט מתעצלים וכמו כל דבר בעולם העסקי מישהו עם title מסויים צריך לחתום על זה גם אם אתה יודע הכל).

אז תפנה אותי למידע. לא אכפת לי איזה, וכנראה שצריך גם משהו שרמה נמוכה, אבל תן לי משהו כדי שאני אפסיק לדבר שטויות.

אלכס - אם אתה כל כך מעוניין לעזור לאנשים בנושא,למה להתחיל בתרד הזה ולא ישר לקפוץ לפורום שלם?

שאלו פה בתחילת הנושא - איך לאבטח מחשב.

אף אחד פה לא ענה על זה.

אפילו לא אמר עידכניםSPYSWEEPER, אנטי וירוס פיירוול, להזהר מEXE.

למה שלא תכתוב מאמר בנושא? איזה מערכת הפעלה, איזה תוכות, איך להשתמש ואפשר עוד להאריך את הרשימה.

אני חושב שהנושא הזה הוא נקודת התחלה מעולה.

ומדריך איכותי, מעבר לבסיס שכבר כתבתי, מאוד מבוקש כאן.

אלכס - אם אתה כל כך מעוניין לעזור לאנשים בנושא,למה להתחיל בתרד הזה ולא ישר לקפוץ לפורום שלם?

שאלו פה בתחילת הנושא - איך לאבטח מחשב.

אף אחד פה לא ענה על זה.

אפילו לא אמר עידכניםSPYSWEEPER, אנטי וירוס פיירוול, להזהר מEXE.

למה שלא תכתוב מאמר בנושא? איזה מערכת הפעלה, איזה תוכות, איך להשתמש ואפשר עוד להאריך את הרשימה.

אני חושב שהנושא הזה הוא נקודת התחלה מעולה.

ומדריך איכותי, מעבר לבסיס שכבר כתבתי, מאוד מבוקש כאן.

אתה מדבר על דברים בסיסיים בתפעול המחשב, אין לזה שום קשר לתחום הבטחת מידע.

אפשר לכתוב דבר כזה בלי טרחה, אפילו אני יכול.