הגורם האנושי: תשעה כללים לאבטחת מידע אצל עובדים
העובדים הם בין הגורמים הבולטים לאירועי אבטחת מידע בארגונים, שיכולים לגרום לנזקים חמורים ולעלות הרבה כסף כדי לתקן אותם ● אלי לוין, מנכ"ל ומייסד Elpc Networks, מציע כמה כללים לא מסובכים, שיכולים לסייע למנוע אותם מבעוד מועד
הגורם האנושי ידוע כאחד הגורמים המשמעותיים לפריצות אבטחת מידע בקרב מקומות עבודה. אף על פי שארגונים מכשירים עובדים להגנת סייבר, ישנו פער מבחינת המודעות והידע שלהם בתחום. על מנת להתייעל באופן משמעותי בתחום נדרש לטפל בפן האנושי על ידי יישום פרקטיקה.
בשנה האחרונה ישנה מגמת עלייה בפריצות אבטחת מידע במקומות עבודה הנובעות מגורמים עויינים מחוץ לארגון ונגרמות לרוב על ידי הנקודה החלשה ביותר באבטחתו – הגורם האנושי. אני מציין כאן כמה הנחיות שכדאי לארגונים לתת לעובדים בנוגע לאבטחת מידע במקום העבודה:
- אחריות אישית – כל עובד בארגון עלול להיחשף במהלך ביצוע תפקידו למידע חסוי. על העובד להיות אחראי באופן אישי לאבטחת המידע אליו הוא נחשף במהלך עבודתו השוטפת. הוא חייב לשמור אותו כראוי, על פי חוק הגנת הפרטיות והנחיות החברה.
- הוצאת מידע מהארגון – ארגונים רבים לא נותנים את הדעת להוצאת חומר חסוי מבין כותליהם. במידה שנדרש להוציא חומר שכזה, נדרש לקבל אישור מיוחד של הממונה על אבטחת המידע, או, לחילופין, לחתום אותו באמצעות חותמת דיגיטלית, שתעיד על סיווגו של המידע.
- התקנת תוכנות – כל תוכנה תותקן על המחשב על ידי מחלקת מערכות מידע בלבד. תפקיד מחלקה זו הינו לבדוק את ההתקנה, ביצועיה ורכישתה. מחשבים לא יאפשרו התקנה של תוכנות, אלא לאחר אימות סיסמת מנהל בלבד.
- שם משתמש וסיסמה – הסיסמה מהווה מפתח גישה למידע הרגיש ביותר ולמערכות המידע ולכן, עליה להיות אישית וסודית. כמו כן, חל איסור על שמירתה במקום שבו היא עלולה להיחשף, ועל מסירת שם המשתמש והסיסמה לעובד אחר במהלך עבודתו. הסיסמה צריכה להיות בעלת שמונה תווים, עם עדיפות לכזו שמורכבת מאותיות גדולות וקטנות ומספרים, ויש להחליפה מדי 90 יום.
- עזיבת עמדת העבודה – חשוב להקפיד לבצע יציאה מסודרת מכל מערכות המחשוב או לנעול זמנית את המחשב. כמו כן, חשוב להקפיד על קיום מדיניות שולחן נקי, הכוללת ניקוי שולחן עבודה מכל ניירת או מדיה בסיווג חסוי, כולל גריסת כל נייר השייך לארגון שאין בו עוד צורך, ובפרט מידע חסוי.
- שימוש באינטרנט – יש להקפיד לא להעביר מידע חסוי באמצעות יישומי הווב השונים, אלא רק לפי הנחיות הממונה על אבטחת המידע בחברה. זה כולל הורדת קבצים באינטרנט, מסירת פרטים אישיים, מסירת כתובת האימייל של מקום העבודה בעת רישום לאתרי אינטרנט וכו'…
- שימוש בציוד הארגון – זה תלוי באופי הארגון. יחד עם זאת, כל ביצוע של פעולות שחורגות ממסגרת התפקיד השוטף חושף את הארגון לפגיעות אבטחת מידע ולכן, כל שימוש פרטי במחשבי החברה, הכנסה של גורם חיצוני אליהם, כמו דיסק און קי, דיסק חיצוני או חיבור טלפון סלולרי למחשב, הורדת תוכנות כגון אנטי וירוס ושינוי הגדרות המחשב עלול לגרום לפריצת אבטחת משמעותית. ההמלצה היא שמחלקת אבטחת המידע תתקין תוכנות הגנה והצפנת מידע.
- שימוש בדואר אלקטרוני – השימוש במייל של העבודה צריך להיות במהותו לצרכי עבודה בלבד ולא למטרות אישיות ופרטיות, כולל איסור על שליחת מיילים בעלי תוכן פוגעני ופתיחת מיילים או קבצים שמקורם לא ידוע.
- דיווח על אירועי אבטחת מידע – במידה שעובד מזהה אירוע או בעיית אבטחת מידע, הוא צריך לדווח באופן מידי לממונה על התחום בארגון. לדוגמה, כשהוא רואה עבירות אבטחת מידע שנעשות על ידי עובדים אחרים, כשיש לו חשד שהמידע שאגור במערכת נפגע, נמחק, שונה או נחשף וכשהוא חושד שנעשה שימוש לא מורשה בזיהוי המשתמש שלו. נקודה נוספת וחשובה לא פחות הינה אבטחה פיזית – הקפדה שגורמים שאינם מורשים או אינם מוכרים לא ייכנסו אל שטחי החברה. כמו כן, הקפדה על נעילת דלתות המשרד.
לסיכום, אירועי אבטחת מידע שנגרמים על ידי הגורם האנושי אינם גזירת גורל. על כל ארגון להטמיע נהלי עבודה ברורים וסדורים, ולעורר מודעות בקרב עובדים באופן שוטף כדי לנסות למנוע הונאות ופריצות אבטחת מידע. הדרך הפשוטה לעשות זאת היא על ידי מתן כלים פרקטיים לעובדים. ככל שארגונים ישקיעו בזה יותר, כך תהיה להם יכולת גדולה יותר להתמודד עם אירועי אבטחת מידע.
הכותב הינו מנכ"ל ומייסד Elpc Networks.
תגובות
(0)