26 פברואר 2014 | אורן שניצר
אבטחת סייבר? כדאי שתעברו ל"תרבות סייבר"

הנזק הממוצע לארגון ממתקפות סייבר הוא 650 אלף דולר. כך תצמצמו חשיפה

ישראל נמצאת בין 15 המדינות המותקפות ביותר בעולם ביחד עם רוסיה, ארה"ב, טיוואן, איטליה ומדינות נוספות. הנזקים העולמיים ממתקפות סייבר מוערכים ביותר מ-100 מיליארד דולרים בשנה, כאשר מדי יום נעשים עשרות אלפי ניסיונות למתקפות סייבר על מוסדות ממשלה, מוסדות רפואיים, בנקים ועסקים.

 

רוב מתקפות הסייבר אינן מדווחות מפני שהם עשויות לחשוף את פגיעותם של החברות. הנזק הממוצע לארגון עומד על מעל 650 אלף דולר, והשאלה "מתי" ולא "אם" כבר ברורה לכל ממונה אבטחת מידע בארגון.

 

שנת 2013 סוכמה על-ידי רבים כשנת הסייבר, אבל חלק גדול מהארגונים עדיין לא השכילו להבין כי על מנת להגן על עצמם ממתקפות סייבר, לא צריך רק להתקין מערכות טכנולוגיות להגנה אלא גם להטמיע "תרבות סייבר" בכל דרגי הארגון - מהמנכ"ל ועד לעובד הזוטר.

 

הנהלות נאלצות לתקצב פתרונות בתחום הסייבר ומנהלי אבטחת מידע אמונים על מציאת הפתרון הטוב ביותר, בהתאם למפת האיומים הניצבים בפני הארגון. הפתרונות הטכנולוגיים כבר קיימים בשוק.

 

עם זאת, ההגנה על הארגון מפני איומי הסייבר לא נעוצה רק בתקציבי ענק וטכנולוגיה טובה. התשובה מצוייה לא רק בטכנולוגיה, אלא במשתמשים והתנהגותם.

 

כשכותרות העיתונים מדווחות ידיעה על חייל שחשף מידע מסווג אנחנו מזועזעים מהסכנות הפוטנציאליות, אבל באותה נשימה אנחנו מכניסים מידע שעשוי להיות מסוכן לארגון בו אנו עובדים, באופן כמעט חופשי ובלי לחשוב פעמיים. לא עולה בדעתנו שדווקא לנו ישלחו "סוס טרויאני" או התקפה ממוקדת בלינק לסרטון שקיבלנו או אולי בקובץ המחירון שנשלח מאחד הספקים.

 

על מנת לייצר אבטחה אמיתית בארגון, מנהלי אבטחת המידע חייבים להטמיע "תרבות סייבר". זאת בדומה לקציני בטיחות ורכב, החושפים את כלל העובדים בארגון לסכנות ולתוצאות ההרסניות העשויות לנבוע מהכנסת מידע נגוע לחברה.

 

לא ירחק היום שבארגונים יהיה שלט ביציאה שיספור את הימים ללא ארועי סייבר, בדומה לשלט של ימים ללא אירועי בטיחות. אבטחת מידע חייבת להיות מאמץ משותף של כלל העובדים בארגון ולא רק של מנהל אבטחת המידע וההנהלה.  

 

לאמץ את תרבות הארגונים הבטחוניים כדי להגן על העסק

 

אז איך יוצרים תרבות סייבר? הביטו על ארגונים ביטחוניים ואמצו את נהלי העבודה שלהם:

 

1. רתימת ההנהלה הבכירה בארגון לנושא הסייבר. ברגע שההנהלה תייחס חשיבות רבה לבטיחות, גם אחרון העובדים יבין את המסר.

 

2. כתיבת נהלי בטיחות מפורטים התואמים את אופי הארגון והצבתם במקום בולט (פינות קפה, חדר אוכל, ליד מכונות הצילום ובכל מקום בולט).

 

3. הדרכות והשתלמויות תקופתיות לכל המחלקות בארגון הכוללות הכרה של האיומים, הסיכונים, הדרכים למנוע אותם, והבנה לגבי פוטנציאל הנזק לארגון.

 

4. מיילים תקופתיים המתזכרים את המשתמשים בדבר חשיבות אבטחת המידע, בהם דוגמאות  לאירועי סייבר בולטים שהתרחשו לאחרונה, תוך פירוט הדרכים שבהן היה אפשר למנוע את האירועים.

 

5. הדרכה נקודתית לכל עובד חדש שנקלט והסבר בדבר הנהלים וחומרת חריגה מהם.

 

 

בכדי לנהל באופן נכון את סיכוני הסייבר ולבצע ניהול מבוקר של האיומים, דרוש שילוב נכון בין מודעות ותרבות ארגונית לבין אמצעי אכיפה יעילים.

 

על החברות לחנך ולשתף את המשתמשים בסכנות, תוך הבנת הצורך ויצירת תרבות אבטחת מידע בארגון. הנתונים ברורים – רבות מההתקפות הסייבר הנפוצות היו יכולות להימנע כמעט באופן בלעדי על-ידי נהלים מתאימים בתחום אבטחת המידע.

 

מנהל אבטחת המידע צריך לוודא שהאמצעים הטכנולוגיים שבשימוש מקלים על המשתמשים לבצע פעולות מותרות, ובצורה בטוחה, ובאמצעות הדרכה לוודא הבנה של העובדים מדוע הפעולות האחרות אסורות. 

 

איומי הסייבר לא ייעלמו. הם חלק מנוף ההתנהלות העכשווי והעתידי של כל ארגון. הם מסכנים את הארגונים כלכלית ובמקרים מסוימים אפילו יכולים לגרום לסיכון חיי אדם. ניהול הסיכון הזה מחייב את רתימת כל הארגון למאמץ, בשילוב הטכנולוגיה והאמצעים המתאימים. רק השילוב יבטיח מענה מיטבי.

תגובות
הוסף תגובה

* אין לשלוח תגובות הכוללות מידע המפר את תנאי השימוש של StartIsrael לרבות דברי הסתה, דיבה וסגנון החורג מהטעם הטוב.