מאמר דעה על אתגר אבטחת הנתונים מאת כפיר אלפנדרי ראש צוות Mid Market
שדרת ההנהלה בחברות וארגונים יציינו בדרך כלל את נושא אבטחת הנתונים כתחום הנמצא בחשיבות עליונה. לצד טענה זו הרבה פעמים ארגונים אינם מצליחים לפעול בנושא ואף מוצאים כי הכשרה והעשרה רחבה ככל שתהיה בתחום הסייבר אינה תורמת לרתימת העובדים לנהוג באופן מאובטח.
בשנת 2016 ערכה Dell סקר בנושא אבטחת המידע וממצאי הסקר מציגים תמונה מעניינת: 75% ממקבלי ההחלטות בתחום ה-IT מסכימים כי אבטחת הנתונים היא בראש סדר העדיפויות של הדרג המנהל. יחד עם זאת, צוותי ה-IT מדווחים כי מנהלים בכירים לא מספיק שמים דגש על נושא אבטחת המידע וכ-25% טוענים כי שדרת הניהול לא מספיק מעודכנת בנוגע לבעיות אבטחה. בנוסף עלה מן הסקר כי רק אחד משלושה משיבים מרגיש ביטחון ביכולתם של המנהלים הבכירים בארגון לתקצב כראוי וכנדרש את מערך אבטחת הסייבר לחמש השנים הקרובות.
הסתירה שעלתה מהסקר מחלחלת מטה אל יתר עובדי הארגון. ב- 2017 ערכה Dell סקר בנושא "אבטחת משתמשי קצה" ובו נמצא כי 72% מהעובדים הביעו נכונות לשיתוף מידע רגיש, חסוי או רגולטורי, במידה ומידע זה מקדם את המשימות היומיות שלהם. האופן בו עובדים חולקים מידע זה אינו מאובטח כלל. למעלה ממחצית העובדים 56% משתמשים ב- Dropbox, Google Cloud, iCloud ועוד שירותי ענן ציבוריים לשיתוף ו/או גיבוי. בנוסף, 53% משתמשים בחשבונות ופרופילים אישיים בכדי לגשת לשירותים אלה. עוד עולה מהסקר כי 45% אחוזים מהעובדים משתמשים בדוא"ל במטרה לשתף קבצים עם משתמשים צד ג'. על כן, למרות העובדה כי 63% מהעובדים מקבלים הכשרה והעשרה בתחום הסייבר, 24% מתנהלים באופן לא מאובטח במטרה לבצע את עבודתם השוטפת.
עבור אנשי אבטחת המידע ואנשי ה-IT, אבטחת מערך המחשוב היא דאגה מרכזית וראשונה במעלה בכל משימה שגרתית או בכל תכנון וביצוע פרויקטים מורכבים. למעשה, אבטחת מידע על כל רבדיה מהווה עבורם משימת מפתח, כאשר ביצועיהם תלויים בכך ונמדדים סביב עקרונות אלו. מכאן מקור עיקרון ה- CIA Confidentiality , Integrity , Availability (סודיות, יושרה וזמינות, בהתאמה).
לצד העשייה הרחבה לשמירה על אבטחת המידע מצד אנשי ה- IT יתר עובדי הארגון תחום האבטחה לא נמצא על סדר היום. המשימות היומיומיות של עובדים שאינם נמנים עם צוות האבטחה פעמים רבות מתנגשות ואף מנוגדות לנהלי אבטחת המידע ובמקרים רבים פוגעים בניסונות צוות אבטחת המידע להשיג "אטימת מערכת".
אם כך, נשאלת השאלה: מדוע על אף המשאבים שארגונים משקיעים בשמירה על אבטחת המידע קיים פער? וכיצד ניתן יהיה לגשר עליו במטרה לשפר את אבטחת הנתונים בארגון?
כאשר מרבית עובדי הארגון (למעט מחלקות IT ואבטחה) נמדדים לפי מדדים שונים הבוחנים פרודוקטיביות, תכנון מול ביצוע ועוד מדדי הצלחה שקבעה החברה בהתאם למטרותיה אך אינם נמדדים כלל על פי "השלכות הסייבר". האם פער זה ניתן לגישור? האם קיימות פעולות שנוכל לבצע במטרה לשפר את אבטחת הנתונים בארגון?
המפתח לשיפור אבטחת הנתונים נעוץ בשיתוף צוותי ה-IT בשלב תכנון היוזמות, מאחר והם מהווים מרכז ידע ולהם גם הצורך המובהק בפתרונות מאובטחים. במקרים רבים צוותי IT נאלצים להגיב לתכניות עסקיות מבלי לקחת חלק מהותי בהליך התכנוני. חשיבות מעורבותם של אנשי ה-IT בתכנון יוזמות שונות החל מהתנהלות מול קבלני משנה ועד לקביעת מדיניות לעבודה מהבית היא גבוהה ומכרעת. התערבותם של אנשי IT בתכנון תביא להקצאת משאבים ויישום טכנולוגיה מתאימה ונהלים הולמים.
המודעות לנושא חשובה מאוד בכל הדרגים בחברה ויש לדאוג להעברת הנהלים והמדיניות לכלל העבודים, גם במצב אופטימאלי בו שדרת הניהול מעורה היטב בנושא אבטחת הנתונים ואנשי ה- IT לוקחים חלק בהחלטות. חשוב להבהיר כי עובדי הארגון מהווים חלק בלתי נפרד מאתגרי הסייבר של החברה ואין להניח כי כל עובד מודע ומבין את הסיכונים הכרוכים בפעולותיו השגרתיות. מסגור (Framing) סיכוני האבטחה במונחים של דוגמאות ותרחישי אמת, יכולים לסייע בהעלאת רמת האבטחה בארגון.
מרבית העובדים מבינים כי חשוב לשמור על פרטי כרטיס אשראי של לקוחות וכי אין בשום מקרה לשתף מישהו בפרטים אלה. לצד זאת במקרה שגרתי אחר מנהל שיווק לא יהסס וישתף קבלן מבצע בפרטי הלקוח אשר עשויים לשמש לגניבת זהות במידה ויגיעו לגורמים הלא נכונים.
על כן דוגמאות ותרחישי אמת בתחום הסייבר חיוניים כחלק מהתהליך להכשרת עובדים. מה נדרש מהם לעשות כאשר הם מתבקשים ע"י המנהל\ת לשתף קובץ כלשהו? איזה סוג של מידע ניתן לשתף, ועם מי? מה יהיו ההשלכות להפרת מדיניות האבטחה? אלו רק מעט מן האפשרויות והמקרים בהם עשויים עובדי הארגון להיתקל בעבודתם השגרתית והיומיומית.
הדברת המודעות דרך הסברה וחינוך מהווה נקודת פתיחה טובה אך עדיין אינה מספקת.
חברות וארגונים צריכים לספק לעובדים את הכלים הדרושים במטרה לשמר את אבטחת עבודתם באופן ראוי.
על מנת שאבטחה תהיה יעילה יש לאמץ את אופן התנהלות העובדים במשרד ומחוץ לו, לתכנן ולהטמיע מערך אבטחה כולל שייתן מענה לצורכי הארגון ויאפשרו ניהול עסקי תקין.