הגברת מודעות עובדים
אבטחת מידע בארגון דורשת גישה הוליסטית ושילוב מערכות אבטחת מידע
והגנה למגוון הערוצים הקיימים בארגון .
אחד הערוצים שמקבל פחות תשומת לב הוא הגורם האנושי.
והגורם האנושים זה אחד הגורמים החשובים בשרשרת אבטחת המידע של הארגון .
והגורם האנושים זה אחד הגורמים החשובים בשרשרת אבטחת המידע של הארגון .
אפשר לשים מערכות במיליוני שקלים ולהקשיח מערכות , אבל כל הפעולות
האלה לא יבטיחו לארגון 100% הגנה .
מספיק חוסר ערנות או מודעות של עובד ללחוץ על לינק זדוני בדוא"ל
שהצליח לעבור את כל מעגלי האבטחה של הארגון , או לחבר מדיה נתיקה שנמצאה במקרה
והעובד רוצה לנסות להבין למי זה שייך , או להעביר קובץ שספק \ לקוח קיבל כדי להגיע
לכמה אחוזים שנשארו ללא הגנה בארגון .
אז איזה פעולות נדרש לעשות כדי לחזק את המודעות של העובדים בארגון
ולרתום אותם להיות כלי לאבטחת מידע בארגון ?
- לבצע הדרכה לעובדים חדשים על הנהלים הקיימים בארגון , החל ממדיניות
שמירת מסמכים , אי שמירה במערכות ענן , לא לפתוח דוא"ל וקבצים חשודים , לא
לחבר מדיה נתיקה וכו' .
הכל כמובן בהתאם למדיניות הארגונית , אפשר לקיים את ההדרכה פרונטלית או באמצעות לומדה ממוחשבת הכוללת בחינה קטנה בסיום , או ע"י מסמך קריאה בעת הקליטה בארגון .
- הדרכות אחת לשנה לכלל העובדים כריענון , פרונטליות או באמצעות לומדה ממוחשבת .
- שליחת דוא"ל לכלל העובדים עם תזכורת לנהלים , בעת קיום מתקפה כלשהי בעולם רצוי לדווח וליידע את העובדים על המתקפה וכיצד להתנהג ולהיזהר.
- לשתף בדוגמאות למתקפות שנמצאו בארגון כמו פישינג , וירוסים שנעצרו וכו' .
איך נדע את רמת המודעות אצלנו בארגון ?
- בעת ביצוע הדרכות לקיים בסוף מבדק קצר.
- ביצוע על בסיס חודשי קמפיין פישינג יזום ומנוהל , אנו נשלח הודעה מתחזה
לכלל העובדים , ונקבל בקרה , מי פתח את המייל , מי לחץ על הקישור וכו' .
בסיום העובד יקבל הודעה שהוא לחץ על קישור לא תקין ויקבל הסבר כיצד יש לזהות ולהתנהג בפעם הבאה.
- קמפיין זריקת USB , אפשר לפזר בארגון קמפיין מבוקר של זריקת כמה DOK בארגון ולקבל סטטיסטיקה של כמה נאספו , כמו חוברו בארגון , וכמה חוברו בבית .
- ביצוע מבדק של הנדסה חברתית , התחזות של מישהו לספק מחשוב שרוצה לבדוק תחנת עבודה ולבדוק האם העובדים מבצעים נוהל של בדיקה מול ה-IT האם זה תקין.
- ביקורת פתע במחלקות ולבדוק דרכי עבודה , האם יש סיסמאות בפתקים במקומות גלויים ? חומר מסווג על שולחנות וכו' .
אפשר כמובן לצרף עוד בדיקות שתואמות את האופי והצרכים של הארגון.
יש לתעד כל מבדק כזה ולעקוב אחר שיפור במודעות העובדים בהתאם להדרכות
והסברים שמופצים לעובדים .
כמובן שיש לערב ולעדכן את ההנהלה בממצעים ובמודעות העובדים .
עובדים בעלי מודעות גבוה תורמים לארגון במוכנות לאירועי סייבר.
דיווח מהיר של עובד שהתקבל מייל פישינג , התראה של אנטי וירוס או כל פעולה חשודה אחרת יכולה להיות ההבדל בין ארוע סייבר שמשבית את הארגון וגרם נזק גבוה , לארוע שהארגון התמודד והתגבר עליו במהרה .
דיווח מהיר של עובד שהתקבל מייל פישינג , התראה של אנטי וירוס או כל פעולה חשודה אחרת יכולה להיות ההבדל בין ארוע סייבר שמשבית את הארגון וגרם נזק גבוה , לארוע שהארגון התמודד והתגבר עליו במהרה .
לכל שאלה בעניין ניתן לפנות בדוא"ל : info@cyberland.co.il
תגובות
הוסף רשומת תגובה