נורמות חברתיות חדשות בסייבר
"נגיף הקורונה מציב אתגרים רבים לאנושות, ועתיד לשנות היבטים רבים בחיינו. ארגונים רבים יעשו נכון אם ינצלו זמן זה לבחינת מוכנותם לעולם שאחרי הקורונה, ולנורמות חברתיות חדשות", מסביר יוסי סעד, טכנולוג ראשי לאסטרטגיות הגנה על מידע, דל טכנולוגיות
ישראל דיפנס
| 07/04/2020
יוסי סעד. צילום: פזית אסולין
נגיף הקורונה (COVID-19) הכה בעוצמה ובהפתעה באוכלוסיית העולם והביא עמו שינויים חברתיים ועסקיים בעלי השפעה משמעותית על הדרישות ממערכות טכנולוגיות המידע הארגוניות, התשתיות והיישומים. אולם חברות רבות נתפסו עם מערכות מחשוב וטכנולוגיות מידע (IT) אשר אינן מוכנות, עד כדי כשל, לתמיכה מאסיבית במודל של עבודה מרחוק.
ההיבט הראשון בהיעדר המוכנות, הינו ביזור מערכות המידע בארגון. אם עד כה רוב התשתיות וציוד הקצה היו מרוכזים במתקני הארגון, במרכז נתונים פנימי או אצל ספק שירות, הרי שכעת עם הגידול המסיבי באחוזי העובדים מהבית, הארגון צריך להתמודד עם ציוד קצה רב הנמצא בבתי העובדים. מעבר להיבט הלוגיסטי של רכישת ואספקת ציוד זה (לפטופים, מסכים, מדפסות, קווי אינטרנט מהירים דיים וכו') לבתי העובדים בזמן קצר, קיימים סיכוני אבטחה לא מעטים שהארגון צריך להתחיל להתמודד עימם.
לצערנו, האקרים אינם נעלמים במצבים קשים כאלו, ואף מנצלים חולשות ופרצות יותר מתמיד. גישה לתשתיות ויישומי הארגון דרך בתי העובדים עשויה להיות קלה יותר עבורם, ולכן אנשי אבטחת המידע בארגון חייבים להתכונן ולהיערך לכך. הרשתות האלחוטיות הביתיות אינן מאובטחות דיין וברובן קלות לפריצה. עקב ריבוי העובדים מהבית ומחסור בציוד, צפוי כי חלק מהעובדים ישתמשו במחשבם הפרטי, המשמש גם את ילדיהם, וייתכן כי מודבק בוירוסי מחשב ונוזקות אחרות שבאמצעותן ניתן לחדור לרשת האירגונית.
האבטחה ההיקפית הפיזית המונעת כניסה למתחם הארגון, אינה רלוונטית עוד בעולם זה שבו חלק משמעותי מהעובדים נמצא בבית, ולכן נדרשים פתרונות אבטחה מסוג שונה. יש לציין שרוב הטכנולוגיות הנדרשות קיימות בשוק, אולם יש צורך בשינוי משמעותי ו"כיוונון" אסטרטגיית אבטחת המידע האירגונית להתאמה לעבודה מאסיבית מהבית.
היבט נוסף הינו מוכנות התשתיות והיישומים לעבודה מהבית. התשתית הטכנולוגית של רוב הארגונים תוכננה ונבנתה לתמוך בעיקר בעבודה מתוך מתחם הארגון. כאשר מרבית הארגון נדרש לעבודה מהבית, יש צורך לשדרג את קווי התקשורת, את שרתי ה-VPN (חיבור מאובטח לרשת הארגונית) ומערכות נוספות. כמו כן, יש לשנות את מערך התמיכה הטכנית הפנים-ארגונית ולהתאימו לתמיכה טלפונית ו/או בצ'אט, מאחר ולא ניתן כבר לבקש מהעובדים להגיע למרכז התמיכה או לשלוח אליהם טכנאי.
בנוסף, יישומים רבים אינם מתוכננים לעבודה מרחוק על קווי תקשורת איטיים (יחסית לתקשורת הפנים ארגונית) ולכן אינם מתפקדים היטב במצב כזה. מאחר ושכתוב כל היישומים באופן גורף אינו מעשי, יש לבחון באופן שוטף את יעילות העבודה מהבית ביישומים אלו, למשל ע"י תשאול וקבלת משוב יומיומי מהעובדים, כדי שניתן יהיה לטפל בצווארי הבקבוק הבעייתיים.
ומה לגבי התקשורת הבינאישית? שיחות ועידה טלפוניות ו/או וידאו הופכות להיות פופולריות, ומאפשרות תחליף לפגישות פנים מול פנים. ניהול שיחות ועידה/וידאו הינה מיומנות נוספת שעל עובדים רבים לסגל לעצמם כדי להמשיך בעבודה אפקטיבית מחוץ למשרד בסביבה המשתנה. לכן, יש צורך להדריך את העובדים כיצד להיות אפקטיביים בשיחות כאלו, ומה הדרך הנכונה לנהל אותם. שיחת ועידה בוידאו שונה מהותית מדיון בחדר ישיבות, כאשר התקשורת הבינאישית הלא מילולית ושפת הגוף מנוטרלים ותרבות השיחה משתנה עקב מגבלות התווך. למשל, אי אפשר להתפרץ לדברי האחר – בשיחת ועידה שומעים רק אדם אחד, ואין קשר עין כי מבט לעבר תמונת הצד השני במסך המחשב פירושה שאנו לא מסתכלים ישירות למצלמה.
ארגונים גדולים מקפידים לבנות תוכנית התאוששות מאסון כדי להיות מוכנים ולא לאבד זמן יקר, אולם ארגונים בינוניים וקטנים במקרים רבים אינם משקיעים בכך זמן וכסף מתוך תפיסה שגויה של המציאות ש"לנו זה לא יקרה", מתוך הערכה כי אסונות בסדר גודל כזה הינם נדירים ביותר. נגיף הקורונה הוכיח לכולנו שאסון כזה יכול לפגוע ללא התראה בכל מקום בעולם. השאלות שיש לתת להן מענה באפס זמן, למי שלא מוכן, הן - כיצד במצב של סגר פתאומי על האיזור בו נמצא האירגון ומערכות המידע שלו, ניתן להבטיח גישה למידע וליישומים ממקום אחר; האם ניתן להעביר את פעילות המחשוב של הארגון למקום אחר, אולי אפילו באופן זמני ע"ג ענן ציבורי שאינו מושפע מהמצב; כיצד ניתן להבטיח את המשך הפעילות העסקית של הארגון.
תכנון נכון של התאוששות מאסון דורש הרבה יותר מאשר רכישת מוצרים מתאימים. מדובר בהיערכות כוללת של הארגון, כתיבת נהלים לניהול המידע והיישומים, הקצאת כוח האדם הנדרש להפעלתם, הגדרת תהליכי התאוששות מאסון וכמובן רכישת הכלים המתאימים והטמעתם. מדובר בהטמעת תרבות ארגונית המוכוונת להמשך פעילות עסקית והתאוששות בכל מצב.
נגיף הקורונה מציב אתגרים רבים לאנושות, ועתיד לשנות היבטים רבים בחיינו. עם זאת, במקביל לתמיכה בחולים, בצוותים הרפואיים ובחוקרים המפתחים מזור למחלה, ארגונים רבים יעשו נכון אם ינצלו זמן זה לבחינת מוכנותם לעולם שאחרי הקורונה, ולנורמות חברתיות חדשות, הרגלי עבודה ותהליכים שבחלקם ישארו עימנו לאורך זמן.
הכותב הוא יוסי סעד, טכנולוג ראשי לאסטרטגיות הגנה על מידע, דל טכנולוגיות.
"נגיף הקורונה מציב אתגרים רבים לאנושות, ועתיד לשנות היבטים רבים בחיינו. ארגונים רבים יעשו נכון אם ינצלו זמן זה לבחינת מוכנותם לעולם שאחרי הקורונה, ולנורמות חברתיות חדשות", מסביר יוסי סעד, טכנולוג ראשי לאסטרטגיות הגנה על מידע, דל טכנולוגיות
יוסי סעד. צילום: פזית אסולין
נגיף הקורונה (COVID-19) הכה בעוצמה ובהפתעה באוכלוסיית העולם והביא עמו שינויים חברתיים ועסקיים בעלי השפעה משמעותית על הדרישות ממערכות טכנולוגיות המידע הארגוניות, התשתיות והיישומים. אולם חברות רבות נתפסו עם מערכות מחשוב וטכנולוגיות מידע (IT) אשר אינן מוכנות, עד כדי כשל, לתמיכה מאסיבית במודל של עבודה מרחוק.
ההיבט הראשון בהיעדר המוכנות, הינו ביזור מערכות המידע בארגון. אם עד כה רוב התשתיות וציוד הקצה היו מרוכזים במתקני הארגון, במרכז נתונים פנימי או אצל ספק שירות, הרי שכעת עם הגידול המסיבי באחוזי העובדים מהבית, הארגון צריך להתמודד עם ציוד קצה רב הנמצא בבתי העובדים. מעבר להיבט הלוגיסטי של רכישת ואספקת ציוד זה (לפטופים, מסכים, מדפסות, קווי אינטרנט מהירים דיים וכו') לבתי העובדים בזמן קצר, קיימים סיכוני אבטחה לא מעטים שהארגון צריך להתחיל להתמודד עימם.
לצערנו, האקרים אינם נעלמים במצבים קשים כאלו, ואף מנצלים חולשות ופרצות יותר מתמיד. גישה לתשתיות ויישומי הארגון דרך בתי העובדים עשויה להיות קלה יותר עבורם, ולכן אנשי אבטחת המידע בארגון חייבים להתכונן ולהיערך לכך. הרשתות האלחוטיות הביתיות אינן מאובטחות דיין וברובן קלות לפריצה. עקב ריבוי העובדים מהבית ומחסור בציוד, צפוי כי חלק מהעובדים ישתמשו במחשבם הפרטי, המשמש גם את ילדיהם, וייתכן כי מודבק בוירוסי מחשב ונוזקות אחרות שבאמצעותן ניתן לחדור לרשת האירגונית.
האבטחה ההיקפית הפיזית המונעת כניסה למתחם הארגון, אינה רלוונטית עוד בעולם זה שבו חלק משמעותי מהעובדים נמצא בבית, ולכן נדרשים פתרונות אבטחה מסוג שונה. יש לציין שרוב הטכנולוגיות הנדרשות קיימות בשוק, אולם יש צורך בשינוי משמעותי ו"כיוונון" אסטרטגיית אבטחת המידע האירגונית להתאמה לעבודה מאסיבית מהבית.
היבט נוסף הינו מוכנות התשתיות והיישומים לעבודה מהבית. התשתית הטכנולוגית של רוב הארגונים תוכננה ונבנתה לתמוך בעיקר בעבודה מתוך מתחם הארגון. כאשר מרבית הארגון נדרש לעבודה מהבית, יש צורך לשדרג את קווי התקשורת, את שרתי ה-VPN (חיבור מאובטח לרשת הארגונית) ומערכות נוספות. כמו כן, יש לשנות את מערך התמיכה הטכנית הפנים-ארגונית ולהתאימו לתמיכה טלפונית ו/או בצ'אט, מאחר ולא ניתן כבר לבקש מהעובדים להגיע למרכז התמיכה או לשלוח אליהם טכנאי.
בנוסף, יישומים רבים אינם מתוכננים לעבודה מרחוק על קווי תקשורת איטיים (יחסית לתקשורת הפנים ארגונית) ולכן אינם מתפקדים היטב במצב כזה. מאחר ושכתוב כל היישומים באופן גורף אינו מעשי, יש לבחון באופן שוטף את יעילות העבודה מהבית ביישומים אלו, למשל ע"י תשאול וקבלת משוב יומיומי מהעובדים, כדי שניתן יהיה לטפל בצווארי הבקבוק הבעייתיים.
ומה לגבי התקשורת הבינאישית? שיחות ועידה טלפוניות ו/או וידאו הופכות להיות פופולריות, ומאפשרות תחליף לפגישות פנים מול פנים. ניהול שיחות ועידה/וידאו הינה מיומנות נוספת שעל עובדים רבים לסגל לעצמם כדי להמשיך בעבודה אפקטיבית מחוץ למשרד בסביבה המשתנה. לכן, יש צורך להדריך את העובדים כיצד להיות אפקטיביים בשיחות כאלו, ומה הדרך הנכונה לנהל אותם. שיחת ועידה בוידאו שונה מהותית מדיון בחדר ישיבות, כאשר התקשורת הבינאישית הלא מילולית ושפת הגוף מנוטרלים ותרבות השיחה משתנה עקב מגבלות התווך. למשל, אי אפשר להתפרץ לדברי האחר – בשיחת ועידה שומעים רק אדם אחד, ואין קשר עין כי מבט לעבר תמונת הצד השני במסך המחשב פירושה שאנו לא מסתכלים ישירות למצלמה.
ארגונים גדולים מקפידים לבנות תוכנית התאוששות מאסון כדי להיות מוכנים ולא לאבד זמן יקר, אולם ארגונים בינוניים וקטנים במקרים רבים אינם משקיעים בכך זמן וכסף מתוך תפיסה שגויה של המציאות ש"לנו זה לא יקרה", מתוך הערכה כי אסונות בסדר גודל כזה הינם נדירים ביותר. נגיף הקורונה הוכיח לכולנו שאסון כזה יכול לפגוע ללא התראה בכל מקום בעולם. השאלות שיש לתת להן מענה באפס זמן, למי שלא מוכן, הן - כיצד במצב של סגר פתאומי על האיזור בו נמצא האירגון ומערכות המידע שלו, ניתן להבטיח גישה למידע וליישומים ממקום אחר; האם ניתן להעביר את פעילות המחשוב של הארגון למקום אחר, אולי אפילו באופן זמני ע"ג ענן ציבורי שאינו מושפע מהמצב; כיצד ניתן להבטיח את המשך הפעילות העסקית של הארגון.
תכנון נכון של התאוששות מאסון דורש הרבה יותר מאשר רכישת מוצרים מתאימים. מדובר בהיערכות כוללת של הארגון, כתיבת נהלים לניהול המידע והיישומים, הקצאת כוח האדם הנדרש להפעלתם, הגדרת תהליכי התאוששות מאסון וכמובן רכישת הכלים המתאימים והטמעתם. מדובר בהטמעת תרבות ארגונית המוכוונת להמשך פעילות עסקית והתאוששות בכל מצב.
נגיף הקורונה מציב אתגרים רבים לאנושות, ועתיד לשנות היבטים רבים בחיינו. עם זאת, במקביל לתמיכה בחולים, בצוותים הרפואיים ובחוקרים המפתחים מזור למחלה, ארגונים רבים יעשו נכון אם ינצלו זמן זה לבחינת מוכנותם לעולם שאחרי הקורונה, ולנורמות חברתיות חדשות, הרגלי עבודה ותהליכים שבחלקם ישארו עימנו לאורך זמן.
הכותב הוא יוסי סעד, טכנולוג ראשי לאסטרטגיות הגנה על מידע, דל טכנולוגיות.
