אינסייד-אאוט
העובדים בארגונים הם שער הכניסה והגורם המכריע באבטחת מידע של חברה, והם יכולים לפעול באופן המחזק או מחליש את האבטחה בחברה. כיצד ניתן להתגבר על "המכשול האנושי"? דעה
רמי פומפס
| 19/11/2018
אילוסטרציה: Bigstock
אם אתם מחפשים אתגר, נסו להציג את פרצות האבטחה וההאקינג של שנת 2018 כדבר חיובי. לאחר עוד שנה שאופיינה בשפע של פרצות אבטחה והאקינג, החברות ששרדו את 2018 ללא פגע, רשאיות להעניק לעצמן אותות הצטיינות. על פי לויד וג'וניפר, העלות הגלובלית של טיפול בהתקפות סייבר צפויה לעלות מ-400 מיליארד דולר ב-2017, ל-2.1 טריליון דולר עד 2021.
שמירה על היקף רחב ואיכותי של פעילות אבטחת סייבר (התקנת פיירוול, תוכנת אבטחה מעודכנת וכו') היא ללא ספק חיונית, אולם אינה הפעילות היחידה הנדרשת לביסוס מערך הגנה היקפי. יש לזכור שהאיומים על הארגון, אינם מגיעים רק מבחוץ. למעשה קרוב ל-91% מהתקפות הסייבר מתחילות במייל "פישינג" (phishing), שעובדים מקליקים עליו באופן כמעט אוטומטי. כלומר, העובדים שלכם הם שער הכניסה והגורם המכריע באבטחת החברה שלכם, והם יכולים לפעול באופן המחזק או מחליש את האבטחה בחברה. זאת, ללא קשר להיקף ההשקעה שביצעתם בתשתיות, כדי להיות מוגנים ככל הניתן.
עובדים שעברו הכשרה נאותה, הם נכס אבטחתי המסוגל לזהות תסריטים נושאי סיכון ולהגיב לתקריות בתחום אבטחת המידע ואף למנוע אותן מבעוד מועד. עם זאת, עובדים עם מודעות נמוכה או לא קיימת לאיומי אבטחה, או למדיניות האבטחה, מביאים עמם מכשולים משמעותיים בתחום זה וגם נזק פוטנציאלי רב.
כדי לוודא שעובדי החברה שלכם שייכים לקטגוריה הראשונה ולא לשנייה, תצטרכו לבסס גישה של אינסייד-אאוט - "מבפנים אל החוץ" בכל הנוגע לאבטחת המידע. גישה זו מעודדת מודעות לחשיבות האבטחה בקרב כל העובדים, ומצריכה קיום של תרבות אבטחה אשר יובילו מנהלי החברה ותחלחל לכל הדרגים.
מחקר שערכה לאחרונה חברת Clutch העלה כי כמחצית מהעובדים הזוטרים אינם בטוחים האם לחברה שלהם יש בכלל מדיניות אבטחת סייבר. כשני שלישים מהם, אינם יודעים אם בשנה הבאה צפוי שינוי בכמות איומי אבטחת הסייבר שהחברה שלהם מקבלת. היעדר מודעות אבטחה נובע משילוב של שני כשלים פנימיים בחברה - היעדר הכשרת אבטחה בדרגים שבין ההנהלה הבכירה לעובדים הזוטרים וכן אי תקשור איומי אבטחת הסייבר ומדיניות החברה בנושא, לרוחב החברה כולה. כדי לעודד מודעות לנושא, על חברות לשים דגש על שיפור והשקעה בשני תחומים אלה, בסדר עדיפות גבוה ל-2019.
להבטיח רמת ידע בסיסית
הצעד הראשון למיגור איומי אבטחת סייבר והבטחת תרומת העובדים למניעת איומים כאלה, הוא באמצעות ביסוס מדיניות אבטחת סייבר. עם זאת, מעבר לקביעת המדיניות עצמה, על החברה להבטיח רמה בסיסית של ידע לגבי אבטחה, שיונחל לכל העובדים. יש חברות הנוטות להגביל או לגדר את רמת ההכשרה שהן מספקות בתחום האבטחה, על בסיס רמת המשרה של העובדים, ונותנות עדיפות ראשונה לעובדים בדרג הגבוה.
לעתים קרובות, מקבלי ההחלטות בדרגים הגבוהים, שעשויים להצטיין בקביעת מדיניות, אינם מצליחים לוודא שמדיניות האבטחה שנקבעה, מוסברת היטב ומובנת בקרב העובדים בכל דרגי הארגון. מומלץ, על כן, לספק הכשרה לכל העובדים באמצעות תכניות שיונהגו עם הכניסה לחברה, כדי לבסס תקן של תאימות ומודעות אבטחה. את היתרונות של ביסוס מדיניות בתחום אבטחת הסייבר, אפשר למצות רק כשמתקשרים אותה באופן קבוע לרוחב כל הארגון ומאפשרים בכך לעובדים לתרום באופן חיובי לאבטחת החברה.
כאשר שנת 2019 מעבר לפינה, עדיין יש לחברות הזדמנות לשקם את אסטרטגיות האבטחה והתשתית שלהן והעובדים הם נקודת פתיחה מצוינת.
***
הכותב מכהן כמנהל פרויקטים אזורי, חברת Ciklum
העובדים בארגונים הם שער הכניסה והגורם המכריע באבטחת מידע של חברה, והם יכולים לפעול באופן המחזק או מחליש את האבטחה בחברה. כיצד ניתן להתגבר על "המכשול האנושי"? דעה
אילוסטרציה: Bigstock
אם אתם מחפשים אתגר, נסו להציג את פרצות האבטחה וההאקינג של שנת 2018 כדבר חיובי. לאחר עוד שנה שאופיינה בשפע של פרצות אבטחה והאקינג, החברות ששרדו את 2018 ללא פגע, רשאיות להעניק לעצמן אותות הצטיינות. על פי לויד וג'וניפר, העלות הגלובלית של טיפול בהתקפות סייבר צפויה לעלות מ-400 מיליארד דולר ב-2017, ל-2.1 טריליון דולר עד 2021.
שמירה על היקף רחב ואיכותי של פעילות אבטחת סייבר (התקנת פיירוול, תוכנת אבטחה מעודכנת וכו') היא ללא ספק חיונית, אולם אינה הפעילות היחידה הנדרשת לביסוס מערך הגנה היקפי. יש לזכור שהאיומים על הארגון, אינם מגיעים רק מבחוץ. למעשה קרוב ל-91% מהתקפות הסייבר מתחילות במייל "פישינג" (phishing), שעובדים מקליקים עליו באופן כמעט אוטומטי. כלומר, העובדים שלכם הם שער הכניסה והגורם המכריע באבטחת החברה שלכם, והם יכולים לפעול באופן המחזק או מחליש את האבטחה בחברה. זאת, ללא קשר להיקף ההשקעה שביצעתם בתשתיות, כדי להיות מוגנים ככל הניתן.
עובדים שעברו הכשרה נאותה, הם נכס אבטחתי המסוגל לזהות תסריטים נושאי סיכון ולהגיב לתקריות בתחום אבטחת המידע ואף למנוע אותן מבעוד מועד. עם זאת, עובדים עם מודעות נמוכה או לא קיימת לאיומי אבטחה, או למדיניות האבטחה, מביאים עמם מכשולים משמעותיים בתחום זה וגם נזק פוטנציאלי רב.
כדי לוודא שעובדי החברה שלכם שייכים לקטגוריה הראשונה ולא לשנייה, תצטרכו לבסס גישה של אינסייד-אאוט - "מבפנים אל החוץ" בכל הנוגע לאבטחת המידע. גישה זו מעודדת מודעות לחשיבות האבטחה בקרב כל העובדים, ומצריכה קיום של תרבות אבטחה אשר יובילו מנהלי החברה ותחלחל לכל הדרגים.
מחקר שערכה לאחרונה חברת Clutch העלה כי כמחצית מהעובדים הזוטרים אינם בטוחים האם לחברה שלהם יש בכלל מדיניות אבטחת סייבר. כשני שלישים מהם, אינם יודעים אם בשנה הבאה צפוי שינוי בכמות איומי אבטחת הסייבר שהחברה שלהם מקבלת. היעדר מודעות אבטחה נובע משילוב של שני כשלים פנימיים בחברה - היעדר הכשרת אבטחה בדרגים שבין ההנהלה הבכירה לעובדים הזוטרים וכן אי תקשור איומי אבטחת הסייבר ומדיניות החברה בנושא, לרוחב החברה כולה. כדי לעודד מודעות לנושא, על חברות לשים דגש על שיפור והשקעה בשני תחומים אלה, בסדר עדיפות גבוה ל-2019.
להבטיח רמת ידע בסיסית
הצעד הראשון למיגור איומי אבטחת סייבר והבטחת תרומת העובדים למניעת איומים כאלה, הוא באמצעות ביסוס מדיניות אבטחת סייבר. עם זאת, מעבר לקביעת המדיניות עצמה, על החברה להבטיח רמה בסיסית של ידע לגבי אבטחה, שיונחל לכל העובדים. יש חברות הנוטות להגביל או לגדר את רמת ההכשרה שהן מספקות בתחום האבטחה, על בסיס רמת המשרה של העובדים, ונותנות עדיפות ראשונה לעובדים בדרג הגבוה.
לעתים קרובות, מקבלי ההחלטות בדרגים הגבוהים, שעשויים להצטיין בקביעת מדיניות, אינם מצליחים לוודא שמדיניות האבטחה שנקבעה, מוסברת היטב ומובנת בקרב העובדים בכל דרגי הארגון. מומלץ, על כן, לספק הכשרה לכל העובדים באמצעות תכניות שיונהגו עם הכניסה לחברה, כדי לבסס תקן של תאימות ומודעות אבטחה. את היתרונות של ביסוס מדיניות בתחום אבטחת הסייבר, אפשר למצות רק כשמתקשרים אותה באופן קבוע לרוחב כל הארגון ומאפשרים בכך לעובדים לתרום באופן חיובי לאבטחת החברה.
כאשר שנת 2019 מעבר לפינה, עדיין יש לחברות הזדמנות לשקם את אסטרטגיות האבטחה והתשתית שלהן והעובדים הם נקודת פתיחה מצוינת.
***
הכותב מכהן כמנהל פרויקטים אזורי, חברת Ciklum
