בעידן בו מגוון איומי אבטחת הרשת ונתונים הופך דומה יותר ויותר להתפרצות מגפה, כל ארגון נמצא בסיכון למתקפת סייבר. בעקבות כך, ביטחון שמירת הנתונים מעסיק כיום גם את הדרגים הגבוהים ביותר בארגונים/עסקים.
לרוב, מי שמתמודד עם מתקפת סייבר/חדירה/הפרת נתונים, דואג קודם כול לפגיעויות הטכנולוגיות בהן הארגון עושה שימוש ושוכח להסתכל על האנשים שעושים שימוש בטכנולוגיות אלה כל יום - עובדי הארגון.
אין זה סוד שאחד האתגרים המהותיים העומד כיום בפני מנהלי אבטחת המידע (CISO) בארגונים אינו טכנולוגי. מדובר במחסור בכוח אדם מיומן בתחום אבטחת המידע והסייבר (עד סוף שנת 2021 מדובר על חוסר של 3.5 מיליון עובדים מיומנים בתחום אבטחת המידע והסייבר). היום אין מספיק אנשי אבטחה מיומנים זמינים.
סקר פורבס משנת 2019 שנערך בקרב יותר מ-200 מנהלי אבטחת מידע (CISO) מצא כי למחסור באנשי אבטחת מידע מיומנים יש השפעה משמעותית על בטחון המידע בארגונים. יתרה מזאת, התוצאות הראו כי ארגונים בעלי גישה "מבודדת" בנושא אבטחת מידע (אלה שאינם עוסקים בהכנה והדרכת משתמשי הקצה) חווים השפעה שלילית גדולה יותר מאלו עם גישה אסטרטגית משתפת, כלומר כזו הממנפת את שאר הארגון לנושא אבטחת המידע (פעילות להעלאת המודעות בנושא אבטח מידע בקרב כלל עובדי הארגון).
לעתים קרובות ניתן למצוא כי תחום אבטחת המידע מופרד משאר הארגון תוך התייחסות לאבטחת המידע כאחריות בלעדית של העוסקים בתחום, זאת בזמן שבמציאות מדובר באחריותו של הארגון כולו, אבטחת המידע אינה שוכנת בצוות אבטחת המידע בלבד - היא שוכנת בכל הארגון.
לחינוך, הכשרה ומנהיגות יש חשיבות מבחינת האופן בו ניתן להשפיע על תרבות הארגון. בסופו של דבר, כדי לשנות תרבות, אנחנו מבקשים מהאנשים לעשות משהו. רק ארגון שיצליח להסביר בשקיפות את הסיבות מדוע הוא מבקש מעובדיו להשתנות ולאמץ דרך התנהגות אחרת יצליח להשפיע על קבלה ואימוץ תרבותי שיעזרו לו למנף את משאבי אבטחת המידע בארגון כולו.
המודעות לאבטחת סייבר היא השילוב של ידיעה ועשייה שנועדו להגנה על נכסי המידע של הארגון. כאשר עובדי ארגון מודעים לאבטחת סייבר, פירוש הדבר שהם מבינים מה הם איומי סייבר, מהי ההשפעה הפוטנציאלית שיש למתקפת סייבר על הארגון שלהם ומה הם הצעדים הנדרשים להפחתת הסיכון ולמניעת חדירת פשעי סייבר לסביבת העבודה שלהם.
מכיוון שמודעות היא חלק קריטי במאבק על הגנת נתונים, ארגון השואף ליצור תרבות מודעת לסיכוני אבטחת מידע וסייבר, מגדיל את סיכויי המניעה של פעילות סייבר העלולה להוביל לנזקים, לכן אם מנכ"לים, דירקטורים ומנהלים רוצים לשמור על בטיחות הנתונים שלהם, הדבר תלוי בהם ובחינוך עמיתיהם ליצור תרבות עבודה סביב מודעות לאבטחת סייבר.
יצירת תרבות סביב מודעות בנושא אבטחת סייבר במקום העבודה אינה אומרת שנעלים לחלוטין את הסיכון לגניבת נתונים או פשעי סייבר, אבל גיוס כלל העובדים למטרה יבטיח צמצום ניצול טעויות אנוש היכולות להוביל לנזק כואב לארגון ואף לקנסות רגולטורים.
חוזקה של שרשרת נמדד בחוליה החלשה שלה, כך גם אבטחת המידע והסייבר בארגון, חוזקה של אבטחה זו שווה ערך לחוזקו של העובד החלש ביותר, מכאן שתרבות ואימון הם מרכיבי מפתח באסטרטגיית אבטחת סייבר מוצלחת.
חלק גדול מהפגיעות עמו מתמודדי הארגון מגיע מבפנים. בנוסף לכך, הפרות נתונים עשויות לנבוע מרשלנות אנושית ולא מפריצה פלילית. אבטחה חזקה איננה מגיע מצוות אבטחת המידע בלבד אלא תלויה בכל המרכיב האנושי בארגון. האקרים ינסו תמיד למצוא פרצות, לכן יש לוודא שקיימים בארגון מערכות, משאבים וידע לאיתור פעילות זדונית במהירות האפשרית. בדרך זו ניתן להכיל את הנזק ולחזור לפעילות תקינה מבלי לחוות אירוע של אובדן מסיבי.
סיכום
החוליה החלשה ביותר בתחום אבטחת המידע והסייבר היא הגורם האנושי, ואם העובדים אינם מצליחים לקבל החלטה מושכלת ומשכילה לגבי דברים טריוויאליים כמו: לאיזו רשת להתחבר או לאיזו קובץ מצורף לדוא"ל לפתוח, הם מסכנים את הארגון במתקפת סייבר שעלולה להיות הרסנית. לכן באחריות המנהלים ומנהלי אבטחת המידע בארגון ליצור אצל העובדים תרבות של מודעות לסיכון סביב נושא אבטחת המידע והסייבר.
גיא חורש הוא מהנדס פרה-סייל בבינת תקשורת מחשבים.