בניית תרבות פנים ארגונית בעלת מודעות לאבטחת סייבר צריכה להיות חלק מאסטרטגיית אבטחת IT ארוכת טווח - בכל חברה. אולם במציאות, חברות לרוב אינן משקיעות מעבר להכשרה בסיסית למודעות לסיכוני סייבר לעובדים. אי אפשר לבנות תרבות כזו ביום אחד. אז איך מתחילים?
הצלחתם של אמצעי אבטחת סייבר בחברה, תלויה לא רק במומחי אבטחת IT או במנהלים, אלא גם בכל עובד שיש לו גישה למערכות של החברה - מהמנכ"ל ועד לעובדים, ספקים וגורמים חיצוניים. בקיצור, כל אחד מאיתנו אחראי להגנת המידע של החברה במידה מסוימת.
תרבות פנים ארגונית למודעות לאבטחת סייבר היא משהו שיכול להתקיים רק משיתוף הפעולה של כל האנשים בארגון. לכל אחד יש תרומה כלשהי לארגון ויכול לעשות משהו כדי שיהיה יותר טוב.
אם אתה אחראי לאבטחת ה-IT בארגון, זו אחת הדרכים להבטיח, שאנשים ברחבי החברה מבינים את החשיבות של התנהגות בטוחה והתנהלות נכונה עם הציוד המשרדי ובתפעול המערכות.
1) וודאו שכולם יודעים מה ה"עשה" ו"אל תעשה"
זה לא כל כך פשוט כמו שזה נשמע. בכל חברה תמצאו עובדים שמתעלמים מההנחיות לעדכן גרסה או תכנה כלשהי, או כאלה שלא חושבים על האפליקציות שהם מורידים למחשב. הם עשויים לעשות זאת, כי הם לא יודעים שאפליקציות ספציפיות עלולות לגרום נזק, או פשוט כי הם עסוקים מכדי להקדיש לכך מחשבה, והם סומכים על מחלקת ה-IT שתטפל בכל הבעיות והסיכונים הללו.
לכל חברה יש מדיניות שונה בנוגע להגבלות או להרשאות שיש לכל עובד. עם זאת, הדרך הטובה ביותר למנוע תקריות והפרות אבטחה היא להסביר את הסיכונים וכיצד להימנע מהם לכל העובדים כבר מההתחלה. חשוב לוודא שקיימת הדרכה ברורה או נוהל ברור כיצד לפעול במקרה שמשהו אכן יקרה. יש לודא שהעובדים יודעים מה לעשות ולמי להודיע.
2) השקיעו זמן בהדרכה איכותית, בשיתוף מומחים מתחומים נוספים
אם אתה מומחה IT, אתה מבין את האופי הטכני של התקפות סייבר, כמו גם את המצבים שבהם מתרחשים תקריות כאלה. אבל זה לא מספיק לאימון טוב באמת. "המפתח הוא למצוא מישהו שיכול להעביר מידע לעובדים בצורה ברורה ומעניינת", אמר דניאל כרומק, ה-CISO של ESET
הקמת תוכנית הכשרה רשמית לאבטחת סייבר בארגון, היא בהחלט התחלה טובה. אם אתה רוצה להיות בטוח שהקהל שלך יקשיב לך, אתה צריך לעשות עוד כמה צעדים. באופן אידיאלי, מומלץ לערב מומחים בתחום, וסיוע של מומחים בהוראה, פסיכולוגיה וכמובן השקעה ויזואלית בגרפיקה שיסייעו לכם להעביר מידע מרכזי בדרכים מרשימות ומהנות כאחד.
פסיכולוגים או מאמנים מנוסים יכולים להוסיף אלמנטים מעניינים להכשרה - לדוגמה, הידע שלהם על עבודתם של פסיכולוגים חברתיים יכול לעזור להם להבין את הדרכים שבהן הטכנולוגיה משפיעה על אינטראקציה חברתית, עמדות והתנהגות. הנדסה חברתית עובדת עם פחד, לחץ וסחיטה, לכן, טוב להבין גם את ההקשרים הללו.
3) השתמשו בתקריות ואירועי אבטחה כדוגמאות כדי להמחיש את הנזק שהתקפת סייבר יכולה לגרום
אם מתרחש אירוע אבטחת סייבר בארגון, השתמש בו ככלי לחינוך נוסף הן לעובדים והן למנהלים. על ידי העלאת אירועים אלה, אתה יכול לשפר משמעותית את המודעות לאבטחת סייבר בכל ארגון. זה מאפשר לך להמחיש איך מתקפת סייבר עשויה להיראות היום, למה היא כל כך יעילה ומה ההשלכות האפשריות.
דרך אחת לתקשר זאת יכולה להיות באמצעות ניוזלטר של החברה. אבל אם הקולגות שלך רגילים לתקשר דרך ערוץ אחר כמו MS Teams או Slack, נצל את זה.
4) מעקב אחר מגמות של פשעי סייבר
אחד התפקידים של מנהלי IT הוא להתעדכן באירועי אבטחת סייבר. מכיוון שהתקפות סייבר מתפתחות כל הזמן, כדאי לעקוב אחר החדשות והמגמות האחרונות.
הדרך הקלה ביותר לעשות זאת היא על ידי בניית הרגל של בדיקה קבועה של פלטפורמה מקצועית אמינה, כמו הבלוג שלנו או של הבלוג הבינ"ל של ESET המזהירים מפני סוגים חדשים של התקפות סייבר ומספק טיפים להגנה. לחלופין ניתן להירשם לרשימת התפוצה שלנו של עדכונים טכניים ולהתעדכן אך ורק במידע טכני רלוונטי בתחום הסייבר
אם יש משהו משמעותי באמת בחדשות, מומלץ לעדכן גם את כל העובדים על כך. לדוגמה, המתקפה של בית החולים הלל יפה באוקטובר 2021 תפס כותרות בחדשות ולאחר כמה חודשים גם פורסם תחקיר בנושא – אפשר לשתף עם העובדים את המקרה הזה כמקרה בוחן וגם לייצר אינטראקציה עם העובדים, מה הם חושבים על ההתנהלות, ניהול המשבר תקשורתית, איך הם כעובדים היו יכולים לתרום ועוד. חשוב רק לשמור על מינונים ולהיות הגיוניים עם התדירות והחשיבות של העדכונים - אחרת, יפסיקו להתייחס אליהם
5) בדוק את המודעות לאבטחת הסייבר של כולם
ישנן דרכים רבות לעשות זאת, אך הן צריכות להתבסס על הרעיון של הכשרה ארוכת טווח, המשקפת סוגיות אבטחת סייבר עדכניות. להלן סט שאלות לדוגמה שתוכל להתאים לארגון שלך:
פיתוח שאלון משלך יכול לעזור לך להבין מהם הפערים במודעות לאבטחה בחברה שלך ולהעריך מה צריך לטפל בשלבים הבאים שלך.