"הסיכון האמיתי לאבטחה: לא ההאקרים – אלא העובדים שלך"

"מאז הקורונה, סביבת העבודה השתנתה משמעותית בשל המעבר לעבודה מהבית. מצב חדש זה מאתגר משמעותית את מנהלי אבטחת המידע, שנדרשים לענות בזריזות: כיצד יוכלו להגן על נתוני החברה מפני מתקפות חיצוניות זדוניות ומפני רשלנות של העובדים? כיצד מגינים על נתונים מפני הדלפה לא מורשית מצד עובדים שעוזבים את החברה? כי הסיכון האמיתי לאבטחה אינו ההאקרים – אלא העובדים", כך אמר אלכס ויטוחנובסקי, מנהל מוצר בסייפטיקה (Safetica) ישראל.

ארגונים, אמר ויטוחנובסקי, "נדרשים לגבש אסטרטגיה ברורה של אבטחת מידע, מבוססת כמה עקרונות: ללכת על בטוח – אם אתם מהססים להעניק פריווילגיות או גישה למשתמשים מסוימים – בחרו בגישה המחמירה יותר; מימוש גישת אפס אמון (Zero Trust) כמסגרת עבודה אבטחתית, שדורשת מכל המשתמשים אימות, אישור ובדיקה, כשהם ברשת החברה ומחוץ לה; צמצום סיכונים – לעולם לא תצליחו להבטיח אבטחה מלאה – ולכן יש לאמץ גישה מבוססת-סיכונים, המגדירה סדר עדיפויות ומתמקדת בבעיות אבטחה קריטיות".

"ארגונים ניצבים למול אתגרים רבים הנוגעים לדליפות מידע, רשלנות אפשרית של עובדים וגם עזיבה שלהם", הוסיף ויטוחנובסקי, "ונדרשים להגן על המידע שלהם בסביבת עבודה מרוחקת. לשם כך עליהם לפעול בכמה היבטים. האחד, הגנה על הגישה: הגדירו תפקידי משתמשים ואפשרויות גישה מתאימות למערכות ולמיקומים באמצעות Active Directory (AD). הפעילו אפשרות נוספת להגנה על גישה באמצעות אימות רב-שלבי. השני – חיבור לרשת מרחוק. אם אתם נדרשים לאפשר גישה למערכת ולרשתות פנימיות, עשו שימוש ברשת וירטואלית פרטית (VPN), לטובת חיבור מאובטח. השלישי – הגנה על תחנות קצה. הצפינו את הכונן הקשיח בכל מכשיר שנתוני חברה מאוחסנים בו, לרבות מחשבים ניידים. הפרידו בין פרופילים המשמשים לעבודה לבין פרופילים אחרים, למניעת גישה לא רצויה מצד משתמשים לא מורשים. פקחו על התקני אחסון חיצוניים המחוברים לעתים למחשבים ניידים, למניעת הסיכוי להדבקה בנוזקה".

ההיבט הרביעי, אמר ויטוחנובסקי, הוא "התקנים ניידים: הצפינו כוננים חיצוניים, באופן פיזי או וירטואלי. ההיבט החמישי הוא הגדרת מרחב עבודה מאובטח. זו מצמצמת משמעותית את הסיכון לדליפת מידע רגיש. עוד נדרש להגביל את הגישה לשירותים לא-הולמים, לתוכנות דוא"ל חינמיות, לשירותי דוא"ל מבוססי רשת (כמו Gmail), לשירותי שיתוף קבצים (כמו Dropbox, WeTransfer)".

גישה מרחוק, הוסיף ויטוחנובסקי, "מהווה סיכון לאבטחת הנתונים, כי היא גורמת לגישה מוגברת למערכות פנימיות ולנתונים רגישים. פתרונות DLP יכולים לסייע בצמצום הסיכון. מנהלי IT צריכים כלים לניטור גורמי סיכון ותקריות אבטחה, ועדיפים פתרונות בהם יש אפשרות לשליחת התראת אבטחה מיידית".

"חזקו את אבטחת המידע ושפרו את חוויית המשתמשים שלכם באמצעות פתרונות למניעת דליפת מידע. עוד יש לערוך הכשרה מפורטת למשתמשים, עם הסבר של סיכוני האבטחה הקיימים וההשלכות האפשריות, עדכון של כללי מדיניות האבטחה, ושיתוף בכמה טיפים אפקטיביים במיוחד הנוגעים לאבטחה, סיכם ויטוחנובסקי, "פתרון למניעת דליפת מידע, דוגמת זה של סייפטיקה, יכול לסייע לכם במשימה, עם הגנה על מידע רגיש ומסווג של החברה, לצד ביקורת ובקרה על סביבת העבודה, וכן – ניתוח התנהגויות המשתמשים".