home סייבר אבטחת סייבר איך לרתום את העובדים למלחמת הסייבר?

איך לרתום את העובדים למלחמת הסייבר?

Apr 15, 2014

This post is also available in: English (אנגלית)

מאת: אורי שפירא

20026199_m feature סיפור ארבעת הבנים: התקפות ההאקרים משתכללות ללא הרף ומנצלות את העובדים בארגונים בעזרת מגוון שיטות הונאה מתוחכמות. האקרים רבים הצליחו לחדור למערכות המידע של ארגונים במהלך השנים האחרונות בשל חוסר מודעות העובדים לאבטחת מידע, תמימותם וחוסר תשומת לב לפרטים. כך למשל, מייל שמגיע לעובד כביכול ממנכ"ל החברה ומבקש פרטים אישיים, מספרי כרטיסי אשראי של לקוחות וסיסמאות כניסה למערכות הארגון, עלול להיראות אותנטי למי שאינו מלומד ברזי עולם הסייבר, ועל כך סומכים ההאקרים הזדוניים.

מודעות העובדים לאבטחת מידע היא גורם קריטי ביכולתו של כל ארגון להגן על עצמו מפני התקפות סייבר ומפני חשיפת מידע רגיש. ארגונים רבים מתמודדים עם הצורך להעביר ידע לעובדים בנושא זה, אך תהליכי הלימוד מסתיימים פעמים רבות בכישלון חרוץ, הארגון מצידו לא מצליח לגייס מוטיבציה, והעובדים מצידם אינם מבינים מה להם ולאבטחת מידע.

חג הפסח הבא עלינו לטובה עשוי ללמד אותנו דבר אחד או שניים על העברת ידע, משום שבמהותו הוא עוסק במסירת סיפור יציאת מצריים מדור לדור. רובה של ההגדה כידוע עוסק במסירת הסיפור עצמו, אך בין השורות מסתתרות בה גם מעין "הוראות הפעלה" – כיצד למסור את הסיפור. הסוד בא לידי ביטוי באופן מיוחד בדיון על ארבעת הבנים, במהלכו ההגדה מספקת המלצה ברורה כיצד יש להתמודד עם סוגים שונים של בנים, של תלמידים.

הבן החכם – צוותים טכניים

הבן החכם שואל "מה העדות והחוקים והמשפטים?". הבן החכם משול לעובדים בעלי אוריינטציה טכנולוגית, למשל מהצוות הטכני, שמכירים את תחום אבטחת המידע ושוחים בחומר. אופן הפנייה לעובדים הללו בנושא אבטחת מידע צריך להיות פרקטי. את העובדים הללו ניתן וכדאי לשתף בדקויות בנושא ואף לרתום למאמץ הארגוני. התשובה שהבן החכם מקבל בהגדה היא פרקטית, "אין מפטירים אחר הפסח אפיקומן". לעובדים אלו יש לתת הסברים מפורטים, פרקטיקות, סיבות והשלכות, ולעדכן בחידושים.

iHLS – Israel Homeland Security

הבן הרשע – צוותי ההנהלה

הבן הרשע מוציא עצמו מן הכלל – "מה העבודה הזאת לכם?". בן זה מייצג את העובדים המבקשים הקלות מיוחדות. הם אינם מבינים כי עליהם לקחת חלק מלא ופעיל במאמץ אבטחת המידע הארגוני. במקרים רבים מדובר דווקא בכוח האדם הניהולי. תשובת חז"ל בהגדה מצביעה על כך כי הנושא קשור לכל ואחד ואחת מאיתנו. עלינו להבהיר לעובדים הללו כי במקרה של זליגת מידע תהיה פגיעה בכלל הארגון, ולהדגים להם באמצעות דוגמאות חיות כיצד התקפות ספציפיות מתבצעות בפועל. חברות העוסקות באבטחת מידע מסייעות לארגונים להעריך את רמת האבטחה שלהן ואת התנהגות העובדים בעת התקפה על ידי מבחני חדירות. אין עובד שנשאר אדיש כשהוא מבין שהאקר הצליח לחדור למחשב שלו.

הבן התם – הרוב הדומם של העובדים

הבן התם שואל "מה זאת?". בן זה הוא לוח חלק, והוא מייצג את הרוב הדומם של העובדים. אין לו לא התנגדות עקרונית לאבטחת מידע ולא דחף מיוחד לשמור עליה. כפי שממליצים חז"ל בהגדה, עלינו לספר לו את עיקרי הדברים, את התמצית אותה עליו להכיר. לעובדים מסוג זה אין פתרון טוב יותר ממתן נהלי אבטחת מידע ברורים ומסודרים, המהווים סוג של "הוראות הפעלה" אותם יוכלו לבצע בקלות ובלי מאמץ מיוחד וכך לקחת חלק בשמירה על המידע הארגוני.

שאינו יודע לשאול – המיעוט הנותר

חז"ל מציעים, "והגדת לבנך". בנקודה זו מתברר באופן סופי כי האחריות אינה קשורה לאופיו של הבן, אלא היא מוטלת על האב. כך גם בנושא אבטחת המידע. עלינו לוודא כי העיסוק בנושא זה לא נשכח בעבודת היומיום, וליזום הדרכות תקופתיות לעובדים בהן ידונו נושאי אבטחה הן בהיבטים העקרוניים הן בהיבטים הפרקטיים.

קל להזניח את נושא מודעות העובדים לאבטחה ולגלגל את האחריות לשמירה על המידע לצוותים הטכניים, אלא שבסופו של יום העובדים ניגשים למידע הארגוני, פועלים באמצעותו, עורכים אותו ומעבירים אותו הלאה. מסיבה זו עלינו למצוא את הדרך לחדד את נושא אבטחת המידע בקרב כל העובדים, כך נוכל לשמור על המידע הארגוני בצורה הטובה ביותר ולהגיע אל הארץ המובטחת והמאובטחת.