נקודת התורפה הגדולה ביותר בארגון בתחום אבטחת המידע היא הגורם האנושי. אינספור מחקרים שהתפרסמו בתחום זה בשנים האחרונות, מעידים על כך כי מרבית הפריצות לארגון נגרמות בשל טעויות אנוש. אפשר למנוע חלק גדול מההתקפות הללו על ידי חינוך והעלאת המודעות של העובדים לפשעי הסייבר והטקטיקות בהן נוקטים התוקפים

פורסם: 30.4.18   צילום: יח"צ

 

פישינג וכופרות הן שתי דוגמאות בולטות ומתוקשרות להתקפות שבהן התוקף עושה שימוש בטעויות אנוש, חלקן זכו גם לחשיפה 'יפה' בכותרות בכלי התקשורת. בשתיהן התוקף מנצל חולשה אנושית, נאיביות או חוסר תשומת לב, על מנת לעקוף את מנגנוני האבטחה ולשכנע משתמש תמים להקליק על לינק זדוני. התוקף מקבל גישה למידע ארגוני במקרה של פישינג, או מחזיק את המערכות הארגוניות כבנות ערובה עד למתן כופר, במקרה של כופרה.

סוגיית החינוך של העובדים לאבטחת מידע היא מורכבת ורחבה ואת המענה לה יש להתאים לארגון, לגודלו ולאופיו. אין ספק כי בארגונים קטנים עם תחלופת עובדים נמוכה יותר 'פשוט' להחיל נהלי עבודה והדרכות תקופתיות, אולם המשאבים לצורך כך בדרך כלל מצומצמים יותר. בארגונים גדולים המונים מאות ואלפי עובדים, אמנם בדרך כלל מוקצים משאבים גדולים יותר למטרה זאת, אך קיים אתגר מאד משמעותי לשמור על רמה אחידה של מודעות לאורך זמן כשתחלופת העובדים גבוהה ומשתרעת על פני תפקידים ודרגים שונים. בנוסף לכך, לכל ארגון מבנה שונה, אופי שונה של עובדים ודינמיקת עבודה אחרת, שלה יש להתאים את תכנית הלימודים.

הנה כמה צעדים יסודיים שארגונים צריכים לאמץ בדרכם לחינוך עקבי לאבטחת מידע בארגון:

• בדיקה: בתחילת התהליך הארגון צריך לאמוד את מידת המודעות של העובדים לפשעי סייבר ולבדוק את התגובה שלהם להתקפות מדומות. הבדיקה והמדידה של הגורם האנושי היא מורכבת ומסובכת יותר מבדיקת מערכות אבטחת המידע הממוחשבות וקיימים כלים אוטומטיים שמאפשרים לעשות זאת בקלות יחסית ולקבל דוחות סטטיסטיים מסודרים. את אותה בדיקה, אגב, יש לבצע שוב בסיומו של תהליך הדרכה על מנת לעמוד על יעילותו.

• יצירת ממשקי עבודה: דרגי ההנהלה של התפעול וכוח האדם חייבים למצוא ממשק עבודה משותף עם מנהלי אבטחת המידע, אשר יאפשר להם לבנות תכניות הדרכה ומתודולוגיות מסודרות להעלאת מודעות העובדים.

• הדרכות פרונטליות ושימוש בכלי הדרכה דיגיטליים: לאחר גיבוש תכניות ההדרכה האופרטיביות, יש לפרוס את התכנים על גבי מערך הרצאות פרונטליות שמייצרות גם דו שיח ופעילות אינטראקטיבית עם העובדים. ניתן לשלב זאת בשימוש בכלים דיגיטליים שמספקים הדרכות, כלי דמה של תקיפות וכדומה.

• קמפיינים פרסומיים פנים ארגוניים: בדיוק כפי שמחדירים מודעות לבטיחות במקום העבודה, כך גם צריך להחדיר את המסרים החשובים של אבטחת המידע. במקביל לתכנית ההדרכות יש לגבש תכנית פרסום פנים ארגונית, כל ארגון על פי יכולתו, עם פוסטרים, ניוזלטרים, תחרויות נושאות פרסים וכדומה.

• קו ישיר לעובד: חשוב ליצור קו ישיר בין העובד לצוות אבטחת המידע ולהכריז עליו. מספר הטלפון ופרטי הקשר של מחלקת אבטחת המידע צריכים להיות זמינים ופתוחים לדיווחים של העובדים במידה שהם חושדים כי הותקפו או קיבלו תשדורת חשודה.

• קליטת עובד חדש: הדרכה לאבטחת מידע צריכה להיות חלק בלתי נפרד מתהליך קליטתו של העובד החדש בארגון, בין אם הוא מנהל בכיר או מפעיל של מכונה בפס הייצור. יישור קו עם הוראות ונהלי אבטחת המידע צריך להתבצע מהרגע הראשון בארגון.

 

לסיכום, הגורם האנושי בארגון הוא כנראה אחד מגורמי הסיכון לפריצה לארגון. על ארגונים להכניס לסל השיקולים שלהם את הסוגיה הזאת ולבנות מתודולוגיה סדורה של חינוך והדרכה, הכוללת גם שילוב מערכות אוטומטיות וממשקים אנושיים, על מנת לשמור על רמה נאותה של אבטחת מידע. פעולות אלו שציינתי במאמר זה אינן בבחינת פרויקט חד פעמי, אלא פעולות שיש לבצע לאורך זמן כחלק מהדנ"א הארגוני.

 

 

*הכותב אילן סגלמן, הוא סמנכ"ל מכירות ופיתוח עסקי ב-Power Communication, המפיצה את פתרונות Sophos בישראל

 

 

 

מגזין "סטטוס" מופק ע"י: 

 

Tags:  אבטחת מידע אסטרטגיה חדשנות טכנולוגיה ניהול ידע תרבות ארגונית

---