הגברת מודעות העובדים לאיומי הסייבר – אפשר גם אחרת

מודעות העובדים הינה גורם חשוב בלחימה של הארגונים בזליגת מידע, פריצות למערכות, הונאות פישינג, מתקפות האקרים ושימוש בלתי מורשה בנתונים

הגברת מודעות העובדים לאיומי הסייבר – אפשר גם אחרת

bigstockphoto.com

בעידן בו נע מידע רב באופן דינאמי בתוך הארגון ומחוצה לו, נדרשים ארגונים להשמר יותר ויותר מפני סכנה של חשיפה וזליגה של מידע רגיש החוצה. במגמה לשמור על נכסיהם הרוחניים, על פרטי לקוחותיהם ותדמיתם, השקיעו ארגונים רבים, משאבים גדולים בהטמעת כלים וטכנולוגיות ודאגו להשתכלל ולהתעדכן בכל שנה בחידושים האחרונים.

בשנים האחרונות, מתחזקת יותר ויותר ההבנה, במיוחד בקרב ארגונים האמונים על מידע רגיש, כי אבטחת המידע תלויה בחלקה הארי באנשים – עובדים, קבלנים, שותפים עסקיים. חדירה לארגון עשויה לנבוע מסיבות שונות כדוגמת טעויות תפעוליות או תקלות טכניות אך גם כתוצאה מפעולה שגויה של עובד לא מודע שבכך פתח לתוקף את הדלת לארגון. נהוג לציין כי אחוזי הסיכוי לפגיעה מתוך הארגון הינם גבוהים ומשמעותיים יותר מאשר מבחוץ.

לפיכך, התפתחה ההבנה כי לא די בהשקעה טכנולוגית, וחשוב מאד לנתב חלק מההשקעה הכספית לכיוון הסיכונים מבית, ולתקצב תוכניות להגברת מודעות אבטחת המידע בקרב העובדים, שמהווים במקרים רבים את ה"בטן הרכה" של הארגון.

מודעות העובדים הינה גורם חשוב בלחימה של הארגונים בזליגת מידע, פריצות למערכות, הונאות פישינג, מתקפות האקרים ושימוש בלתי מורשה בנתונים. טבעי שארגון יחשוש יותר מהגורמים בחוץ ויתגונן מולם, אך אם נסתכל על אירועי אבטחת מידע בשנים האחרונות נגלה לא מעט אירועים שיכלו להימנע בקלות ע"י חינוך והסברה לעובדים.

ע"פ דו"ח שנערך על ידי מחלקת המחקר של סיסקו (Cisco) , מרבית העובדים בגילאי פחות מ-30 מתעלמים ממדיניות אבטחת מידע בארגונים בהם הם עובדים. נמצא כי העובדים חושבים שאבטחת מידע אינה בתחום אחריותם, רבים הודו כי הם מתעלמים מהמדיניות הארגונית בנושא ואחוז גבוה ציין כי לדעתו המדיניות אינה לוקחת בחשבון את ההתפתחות הטכנולוגית בתחום המדיה החברתית. יתרה מכך, נמצא כי העובדים הצעירים מעדיפים לעבוד במקום גמיש ואשר מדיניות אבטחת המידע שלו מותאמת לטכנולוגיות החדשות.

רבים מהם רואים חשיבות קריטית ליכולת לחיבור לרשת על בסיס קבוע ואף מוכנים לבצע עבירות אבטחת מידע כמו התחברות לא חוקית ולהשיג הרשאת גישה לא מותרת על מנת להסתייע ביישומים ובתוכנות הדרושים להם לצורך ביצוע עבודתם. יותר ממחצית מהנשאלים הרשו לאחרים להשתמש במחשבים הניידים שלהם ללא השגחה, חלק ניכר הודו שנתבקשו להשאיל רכיבים ניידים והסכימו לכך, אחוז גובה ציין כי הוא נוהג לגלוש ברשתות אלחוטיות פתוחות למרות הסכנות. חברות אשר ישכילו לפעול להגברת מודעות העובדים לסיכונים הקיימים ולהטמע של תרבות ארגונית גם בתחום אבטחת המידע, יקטינו את הסיכוי להצלחה של נסיונות תקיפה עליהן וימנעו מנזקים כספיים ותדמיתיים.

כשבאים לבחון בפועל כיצד ניתן להעלות את מודעות העובדים לאבטחת המידע בארגון, נמשכים מיד לשיטות הנפוצות של הדרכה, שליחת ניוזלטר לעובד או תרגול באמצעות לומדה. שיטות אלו לרוב נתפשות בקרב העובדים כמשימה משעממת וטרחנית, שהם רק מעוניינים לסיימה ולהמשיך הלאה, ולא באמת יוצרות את ההכרה בחשיבות הנושא ורתימה אמיתית של העובדים. מתוך הצורך לעניין, לחדש, לקבל משוב מהעובדים ולמפות באופן אמין את היכרותם עם אבטחת המידע פיתחה קומסק מוצר ייחודי בשם – B-Aware.

"זיהינו את הצורך במערכת שתסייע למנהלי אבטחת המידע בארגונים לבחון ולשפר את מודעות העובדים לסיכוני אבטחת המידע בעבודתם היום-יומית, כתהליך מתמשך, יעיל ושאינו מפריע לפעילות השוטפת של הארגון. בפיתוח המערכת שמנו דגש רב על פשטות ההטמעה והמנעות משינויים כלשהם לצורך שילובה ברשת ועל נוחות הפעולה של משתמשי המערכת - מנהל אבטחת המידע וכמובן העובדים המתורגלים" ציין אלון סרפתי, סמנכ"ל המוצרים בקבוצת קומסק שעומד מאחורי הרעיון של המוצר והוביל את תהליכי האפיון והפיתוח שלו.

מוצר ה- B-Aware, בנוי על פלטפורמה נוחה וידידותית למשתמש, ומאפשר תרגול מתמשך של העובדים בסביבה הטבעית שלהם וללא הכנה מוקדמת. המערכת מאפשרת להפעיל אירועים בעלי הקשר לאבטחת מידע במחשבים של העובדים המתורגלים, על בסיס תרחישים העלולים לקרות במציאות, כגון: דוא"ל זדוני, בקשה להזנת סיסמאות ועוד. התגובות של העובדים לאירועים מועברות ישירות לתוך בסיס נתונים המאפשר עיבוד וקבלת חיתוכים שונים של נתוני העובדים. באופן זה ניתן לזהות בצורה פשוטה את  נקודות חולשה בקרב העובדים. נקודות אשר מזוהות באופן זה יכולות לקבל טיפול מיידי ברמת כלל הארגון.
 
אחד היתרונות של המערכת הינו שאחראי אבטחת המידע בארגון, יכול להחליט להתמקד בחתך מסויים של עובדים (לדוגמא עובדים חדשים בארגון), והוא יכול לתרגל אותם בכל זמן נתון שבו יחפוץ, ע"י שליחת אירועים שונים במהלך עבודתם היום-יומית, מבלי שהעובדים יודעים שהם בתרגול. בנוסף, ניתן להפיק מהנתונים דו"חות בלחיצת כפתור, ולקבל אינדיקציה אמיתית בזמן אמת. הנוחות שבתפעול מערכת זו, מאפשרת לארגון להפוך פעילות זאת לפעילות קבועה, וזאת להבדיל מהדרכה שנעשית פעם במספר חודשים ודורשת לעצור את עבודתם של המתורגלים. 
פיתוח של מודעות, בכל תחום, הינו תהליך חינוכי הדורש חזרתיות ותרגול רב. בזכות מערכת B-Aware, ניתן לשוב ולתרגל עובדים שנכשלו ולבצע מעקב ובקרה מתמדת אחר יישום והטמעת ההנחיות.

בניגוד למערכות תרגול אחרות, מערכת B-Aware, המותקנת ועובדת בתוך הרשת הפנימית בלבד, אינה דורשת תקשורת כלשהי אל או מחוץ לארגון ולכן לא משפיעה בפעילותה על מערכי ההגנה הקיימים בארגון. בנוסף המערכת גם עוברת התאמה לכל ארגון וארגון, לפי הצרכים שלו, על מנת שבתום התרגול וההסברה, עובדי הארגון ידעו כיצד לזהות סיכוני אבטחת מידע, יבינו מהם דרכי התנהגות הנכונה, ויכירו בחשיבות הדיווח על אירועים חריגים. נוסף על כך, ההנהלה תוכל לקבל החלטות בהתאם לממצאים, כגון: הכנסת שינויים בנהלים הקיימים לגבי אופן ניהול המידע בארגון והנחיות חדשות.

אולי יעניין אותך גם