סקר: רוב החברות משתמשות במשאבים פנימיים להדרכת עובדים בנושא אבטחת מידע

סקר: רוב החברות משתמשות במשאבים פנימיים להדרכת עובדים בנושא אבטחת מידע

This post is also available in: enEnglish (אנגלית)

6893417_s featureרוב החברות מצוותות את אנשי מחלקת תמיכת ה– IT לביצוע הדרכות עובדים בנושאי אבטחת מידע, במקום לשכור יועצים חיצוניים או לבקש מאנשי מחלקת כח אדם או הפיתוח לשכור מומחי אבטחת מידע. כך עולה ממחקר בינלאומי שביצעה חברת B2B יחד עם מעבדת קספרסקי בנושא סיכוני אבטחת מידע ארגוניים לשנת 2013.

הדרכה יעילה של עובדים בנושא אבטחת מידע היא מרכיב חשוב בכל אסטרטגיה למאבק באיומי סייבר – לפי הסקר, 4 מתוך 5 אירועי אבטחת המידע הפנימיים הנפוצים ביותר שהתרחשו במהלך 12 החודשים האחרונים הם תוצאה של פעילות עובדים:

  • 32% מהמשיבים דיווחו על דליפה בלתי מכוונת של נתונים חסויים
  • 30% מהמשיבים דיווח כי עובדים איבדו מכשירים ניידים של הארגון שאוחסן בהם מידע רגיש
  • 19% מהחברות נתקלו בהדלפה מכוונת של נתונים מצד עובדים
  • 18% מהחברות התמודדו עם אירועים בהם מידע חסוי נפל לידיים הלא נכונות בגלל שימוש לא ראוי במכשיר נייד (דרך שרת דואר נייד, הודעות SMS ועוד)

פעם אחר פעם, מחקרים מראים כי טעויות מצד עובדים הן חלק משמעותי מאירועי דליפה של נתונים. המפתח להתמודדות עם האתגר מתבסס על דאגה לכך שמשתמשי קצה מודעים לסיכוני אבטחת מידע וכיצד להימנע מהם.

הנתונים מוכיחים ללא עוררין את חשיבות ההדרכה של עובדים בנושא אבטחת מידע, אלא שהשאלה נותרת בעינה: מי בדיוק צריך לספק את ההכשרה?

כפי שקבעו עורכי הסקר, רוב החברות מאמינות שמחלקת ה– IT של ארגונים היא שאחראית על הדרכת העובדים בנושא – למרות שחינוך עובדים אינה פעילות מפתח של מחלקת ה– IT. עומס העבודה הנוסף משפיע על ביצועים: המשתתפים בסקר ציינו כי למחלקת ה– IT יש משימות חשובות נוספות, ולרוב אין לה זמן לבצע הכשרות לעובדי החברה. תוצאה טובה יותר תתקבל מגיוס יועצים חיצוניים בעלי מומחיות בהכשרת עובדים. למרות זאת, רק 12% מהמשיבים דיווחו כי עשו זאת בארגונים שלהם.

מחלקת כח אדם מעורבת בהדרכת עובדים רק ב– 8% מהחברות שלקחו חלק בסקר. מספר דומה של חברות העבירו את הטיפול בנושא לידי מחלקת הכשרת עובדים ופיתוח. רק 3% מהמשיבים דיווחו כי הזמינו ספק חיצוני.

המספרים דומים פחות או יותר באזורים גיאוגרפיים שונים, עם הבדלים קטנים: לדוגמא, האחוז הגבוה ביותר של חברות שסיפקו הכשרות אבטחת מידע באמצעות מחלקת ה– ITהפנימית נמצא במזרח התיכון (73%), יפן (72%) וצפון אמריקה (71%). יועצי IT חיצוניים אחראים על ביצוע ההכשרות בעיקר בדרום אמריקה (16%) ואסיה פסיפיק (16%).

iHLS – Israel Homeland Security

באופן כללי, החשיבות של הכשרת עובדים בנושא אבטחת מידע מקבלת הכרה מצד רוב החברות – רק 4 אחוזים מהמשיבים ציינו כי החברות שלהם לא מבצעות כל הדרכות. למרות זאת, איכות ההכשרות נותרת בעיה אחרת – אחרי הכל, למודעות של עובדים אודות איומי סייבר יש השפעה ישירה על הדרך בה מדיניות ה– IT של החברה יוצאת לפועל, וכתוצאה מכך, יש לכך השפעה על רמת ההגנה הכוללת של החברה מפני איומי סייבר. כרגע,רמת האכיפה של מדיניות אבטחת מידע היא נמוכה יחסית, כש– 39 אחוזים מהמשתתפים בסקר ציינו כי עובדי החברה לא תמיד מכבדים או מקפידים על שמירת חוקי אבטחת המידע בארגון.

השכלה: מרכיב אחד באסטרטגיית אבטחת מידע רחבה יותר

בלי קשר לרמת המודעות והידע של עובדים, הסיכון להתקפת סייבר מוצלחת נגד חברה נותר גבוה, והשימוש בפתרונות אבטחת מידע מתקדמים לתשתית הארגונית הוא חיוני.

פתרון חדש לארגונים של מעבדת קספרסקי כולל גם מספר פונקציות המקלות על ניהול יעיל של תשתית ה– IT הארגונית. ישנה טכנולוגיה אחת נוספת שפועלת כדי למנוע אירועים הקשורים בטעויות עובדים: רשימות לבנות דינאמיות. טכנולוגיה זו מונעת מקוד זדוני להפעיל את עצמו. פתרון הרשימות הלבנות מבוסס על בסיס הנתונים של התוכנה עצמה של אפליקציות אמינות, והוא מאפשר למערכת ההפעלה להפעיל רק את התוכנות המופיעות ברשימות הלבנות. הדבר מקשה מאוד על ביצוע התקפות נגד החברה, גם כשמדובר במתקפות המתוחכמות ביותר שעדיין אינן מוכרות על ידי האנטי וירוס.

במקביל, חיוני כי בסיס הנתונים של הרשימות הלבנות יהיה רחב מספיק כדי לכלול את מירב היישומים המופעלים על ידי חברה, ולא ייצור בעיות עבור תוכנות אמינות. המחקר הוכיח כי פתרון הרשימות הלבנות הוא בין האמצעים השכיחים שמאמצים ארגונים כדי להגן על תשתיות ה– IT: כמעט 45% מהמשיבים ציינו כי הארגונים שלהם משתמשים בפתרונות אלה. הדבר מייצג שינוי משמעותי מהשנה שעברה, אז כמעט ולא נעשה שימשו בפתרון רשימות לבנות.


למידע נוסף


הרשמה לניוזלטר