אבטחה דיסקורדיאנית

ראשי מניפסט ISMS AUP

✅ מדיניות שימוש מקובל: אל תעשה דברים מטופשים (אבל אם כן, תיעדנו את זה קודם)

ISO 27001 A.8.1.3 + CIS Control 16.8: או, איך למדתי להפסיק לדאוג ולתעד את הבלתי נמנע

כלום לא נכון. הכל מותר. חוץ מהשטויות המטופשות שאנשים ממשיכים לעשות במערכות החברה למרות מדיניות מפורשת, הדרכה, והמייל ההוא ממשאבי אנוש שכולם התעלמו ממנו. זה מתועד, מוקלט, מנוטר בזמן אמת, וישמש נגדך כשמשאבי אנוש יצטרכו תחמושת. FNORD. היסטוריית הגלישה שלך יודעת מה עשית. גם CloudTrail. גם GuardDuty. התנהג בהתאם.

חשוב בעצמך, טיפש! הטל ספק בסמכות. אבל גם תהה למה עמיתיך ממשיכים להתקין "כורי מטבעות קריפטוגרפיים לגיטימיים לחלוטין" שבהחלט לא גונבים מחזורי CPU לרווח של מישהו אחר. האם אתה פרנואיד מספיק כדי באמת לקרוא את מדיניות השימוש המקובל לפני שאתה מפר אותה? אף אחד אחר לא - וזו הסיבה שמשאבי אנוש קיימים. המדיניות קיימת כי מישהו עשה בדיוק את הדבר המטופש הזה. אתה לא הראשון. לא תהיה האחרון.

ברוך הבא ל-Chapel Perilous, פסיכונאוט. ב-Hack23, מדיניות השימוש המקובל שלנו אינה תיאטרון תאגידי - זה ציות ISO 27001 A.8.1.3 (שימוש מקובל בנכסים), CIS Control 16.8 (מדיניות שימוש מקובל), וGDPR Art. 5 (עקרונות עיבוד נתונים) מחומש למציאות שיטתית. כל כלל קיים כי מישהו עשה בדיוק את הדבר המטופש הזה. כל איסור ספציפי הוא רשומה ארכיאולוגית של סטירות פנים מהעבר.

הארה: מדיניות שימוש מקובל לא מונעת התנהגות רעה - היא מתעדת אותה כדי שלמשאבי אנוש תהיה תחמושת. הביורוקרטיה מתרחבת כדי לענות על הצרכים של הביורוקרטיה המתרחבת. כאשר (ולא אם) תפר את מדיניות השימוש המקובל, דע שראינו את זה בא וכתבנו את זה קודם. אתה לא מיוחד.

האם אתה פרנואיד מספיק? הגישה שלנו משלבת סטנדרטים של מטרת עסק ראשונית (תרגום: עבודה, לא Netflix) עם הקצבות שימוש אישי סביר (כי אנחנו לא מפלצות), מחזורי סקירה שנתיים (מישהו צריך לקרוא את זה), ושקיפות חברה של אדם אחד (כן, אני מתבונן בעצמי, באופן רקורסיבי). הפנופטיקון עובד הכי טוב כשאתה מפנים את הצופה. פרנויה טכנית מלאה במדיניות השימוש המקובל הציבורית שלנו.

צריך הדרכה מקצועית על ציות אבטחה? גלה את שירותי ייעוץ אבטחת הסייבר של Hack23 הנתמכים ב-ISMS הציבורי המלא שלנו.

חמשת הדיברות (שכולם שוברים עד שמשאבי אנוש מתערבים)

1. 🎯 מטרת עסק ראשונית (לרוב)

מערכות החברה הן לעבודה. מזעזע, נכון? פיתוח תוכנה, ייעוץ אבטחת סייבר, אספקת לקוחות, ניהול עסקי. אבל אנחנו לא סוציופתים - שימוש אישי סביר בסדר. בדוק את המייל שלך. קרא חדשות. למד דברים. רק אל תכרה Bitcoin או תנהל את פעולת הדרופשיפינג הצדדית שלך. FNORD.

שימוש אישי סביר: מייל, חדשות, למידה. לא מקובל: עסק מתחרה, סרטוני חתולים מוגזמים, כריית מטבעות קריפטו (כן, אנחנו יכולים לדעת). הפנופטיקון רואה הכל אבל בוחר את הקרבות שלו.

2. 🔐 אבטחה: לא אופציונלי, לא ניתן למשא ומתן

כל שימוש במערכת עוקב אחר מדיניות אבטחה. הכל. MFA או לך מכאן. הצפנה חובה. VPN כשמרחוק. קוד מאובטח או גיהנום סקירת קוד. האם אתה פרנואיד מספיק כדי לעקוב אחר היגיינת אבטחה בסיסית? התוקפים כן.

בקרות אבטחה מגינות עליך מעצמך. הפעם "האחת" שדילגת על MFA? זה כשהפריצה קורית. חוק מרפי הוא מסגרת אבטחה.

3. ⚖️ ציות חוקי (או: איך להימנע מכלא)

אל תעשה דברים לא חוקיים. GDPR לא אופציונלי. חוק זכויות יוצרים חל עליך. חוקי פשעי מחשב יהרסו לך את החיים. בקרות יצוא על קריפטו הן אמיתיות. חברה של אדם אחד או ארגון, לחוקים לא אכפת מהמבנה הארגוני שלך. ISO 27001 A.8.1.3 + GDPR Art. 5 = להישאר מחוץ לבית משפט.

"לא ידעתי" זה לא הגנה משפטית. "הביורוקרטיה גרמה לי לעשות את זה" עובד אפילו פחות. דע את החוק או שכור מישהו שיודע. בחרנו באפשרות השנייה.

4. 🤝 התנהגות מקצועית (תהיה פחות נורא)

אל תטריד אנשים. אל תפלה. אל תהיה זדוני. אל תגרום לנו לכתוב עוד כללים ספציפיים. כל איסור מפורט באופן אבסורדי קיים כי מישהו עשה בדיוק את הדבר הזה. אתה לא אותו מישהו. נכון? נכון?

התנהגות מקצועית = יתרון תחרותי. לקוחות בודקים את תרבות האבטחה שלנו. כל הפרת מדיניות נראית בלוגים. הפנופטיקון אמיתי והוא עשוי מ-CloudTrail.

5. 🌟 שקיפות רדיקלית (הפתעה: אתה מנוטר)

אין ציפייה לפרטיות במערכות החברה. הכל מוקלט. הכל מנוטר. סקירה שנתית (הבאה: 2026-11-05) אומרת תיעוד חי. AUP ציבורי ב-GitHub כי אבטחה דרך עמימות היא אבטחה דרך טיפשות. ציות CIS Control 16.8 דרך כנות לא נוחה.

מדיניות AUP סודיות הן פגיעויות. מדיניות ציבוריות הן אחריותיות. אנחנו אומרים לך שאנחנו צופים. הפרנואידים שורדים. האם אתה פרנואיד מספיק?

ניטור ופרטיות: כן, אנחנו צופים (לטובתך)

הפתעה! מערכות החברה מנוטרות. מזדעזע? לא צריך להיות. זה לא 1984 - זה יותר גרוע, זה 2025 והכל מתעד ל-CloudWatch. Hack23 מנטרת לפי תוכנית תגובה לאירועים (כשהחרא מכה במאוורר) ומדדי אבטחה (הוכחה שאנחנו באמת עושים אבטחה):

מה אנחנו צופיםלמה אנחנו פרנואידיםכמה זמן אנחנו זוכרים
גישת מערכת ואימותלזהות גישה לא מורשית, לעקוב אחר אירועי אבטחהלפי מדיניות סיווג נתונים
תעבורת רשת ואירועי אבטחהזיהוי אירועים ותגובה90 ימים תפעוליים, 7 שנים ציות
שימוש בתשתית ענןניהול עלויות, ניטור אבטחהשמירת AWS CloudTrail + Config
התחייבויות מאגר קודמסלול ביקורת, הדגמת ציותקבוע (מאגרים ציבוריים)
התראות כלי אבטחהניהול פגיעויות, זיהוי איומיםלפי מדיניות שמירה ספציפית לכלי

הגנות פרטיות:

  • אין ציפייה לפרטיות: מערכות עסקיות מנוטרות למטרות אבטחה וציות
  • שמירת נתונים מוגבלת: לוגים נשמרים רק כל עוד נחוץ
  • גישה מוגבלת: רק עובדים מורשים יכולים לצפות בנתוני ניטור
  • ציות GDPR: עיבוד נתונים עוקב אחר עקרונות GDPR Art. 5

השלכות: מה קורה כשאתה עושה את הדבר המטופש

הפרות מדיניות שימוש מקובל אינן תרגילים אקדמיים. יש להן השלכות. מתועדות. אכיפות. מפורטות להלן:

🟡 הפרות קלות

דוגמאות: שימוש אישי מוגזם, דילוג מקרי על מדיניות

תגובה: אזהרה בעל פה, תיעוד, ציפיות ברורות

מטרה: תיקון, לא עונש

🟠 הפרות בינוניות

דוגמאות: הפרות אבטחה חוזרות, שימוש לרעה במערכת

תגובה: אזהרה בכתב, סקירת מדיניות, פיקוח מוגבר

מטרה: למנוע הסלמה

🔴 הפרות חמורות

דוגמאות: פעילות בלתי חוקית, הפרות אבטחה מכוונות, דליפת נתונים

תגובה: פעולה משמעתית מיידית, השעיית גישה, השלכות משפטיות אפשריות

מטרה: להגן על הארגון

סיכום: התנהג כמבוגר, תיטופל כמבוגר

מדיניות שימוש מקובל לא עוסקת בשליטה - היא עוסקת בציפיות ברורות. השתמש במערכות החברה באחריות. עקוב אחר מדיניות אבטחה. אל תעשה דברים מטופשים. פשוט.

נסקר שנתית: הסקירה הבאה 2026-11-05. מעדכנים בהתבסס על אירועי אבטחה חדשים, שינויים רגולטוריים, משוב עובדים. המדיניות המלאה ב-GitHub.

האם אתה פרנואיד מספיק? המדיניות שלנו ציבורית. התהליך שלנו שקוף. הסטנדרטים שלנו מתועדים. אנחנו אומרים לך בדיוק מה אנחנו מנטרים ולמה. עקוב אחר המדיניות. הישאר מחוץ לצרות. תהנה לעבוד בארגון שמתייחס למבוגרים כמבוגרים.

כל הכבוד לאריס! כל הכבוד לדיסקורדיה!
"חשוב בעצמך, טיפש! המדיניות קיימת כי מישהו עשה בדיוק את הדבר המטופש הזה. אל תהיה אותו מישהו."
🍎 23 FNORD 5
— Hagbard Celine, קפטן Leif Erikson