הדרכת עובדים בנושאי אבטחת מידע מהווה חלק חיוני מכל תוכנית אבטחה. מרבית העובדים אינם מומחים בתחומי ה-IT או האבטחה; אין לצפות. . .
שהם יהיו כאלה. המטרה של הדרכות מודעות עובדים היא לספק לכלל העובדים את המידע הבסיסי בנושאי אבטחת מידע, כמו גם את הפעולות אותן יש לנקוט כאשר מתחולל אירוע אבטחת מידע.
טכנולוגיית האבטחה חייבת להיות מלווה בתוכנית להעלאת מודעות העובדים אשר תגן עליהם מפני נסיונות להנדסה חברתית ופישינג, שתי סיבות בולטות לפריצות לארגונים ולדליפת מידע. עם זאת, עולה השאלה כיצד ניתן לדעת בסיומה של תוכנית מסוג זה כי העובדים אכן רכשו את הידע הנדרש ומשתמשים בו באופן הולם? בחינת רמת מודעות העובדים לנושאי אבטחה תסייע לזהות מי עלול להסגיר מידע רגיש אודות הארגון או אחד מלקוחותיו.
4 גישות אפשריות לבחינת רמת מודעות העובדים הן כדלהלן:
1) מבחני ידע- יש לערוך במהלך הדרכת האבטחה, כמו גם מספר פעמים בשנה על בסיס אקראי, מבחנים מסוג זה. אלה יתבצעו בתצורה ממוחשבת ויכללו שאלות שונות מתחומי אבטחה מגוונים.
2) בחינה אקראית של אזורי עבודה- עובדים עלולים להפוף לשאננים בכל הנוגע למידע הנמצא סביבם. לפיכך, יש לערוך בדיקה במסגרתה תיבחן רמת האבטחה של סביבת העבודה, לרבות מסמכים ופתקים המכילים מידע רגיש. האם אלו נמצאים במקום הנגיע לכל אדם החולף במסדרון? האם ארונות המסמכים נעולים? האם עמדת המחשב מחוברת או נעולה בעזרת סיסמה כאשר העובד אינו לידה?
3) בצע מבדקי הנדסה חברתית- מנה איש צוות שעדיין אינו מוכר בארגון (או השתמש בגורם חיצוני) שיתקשר לעובדים או יעבור ליד שולחנם, יבקש מהם מידע רגיש דוגמת נתוני גישה או מסמך רגיש.
4) ערוך סימולציה של תקיפת פישינג- מייל פישינג מכיל קישורים לאתרים או לדבוקות זדוניים. הודעת המייל מתוכננת כך שתיראה לגיטימית, כך שתלכוד משתמש ממוצע. אחת הדרכים הטובות ביותר לבחון האם משתמשים מודעים לנושא מכתבי הפישינג היאע לשלוח הודעות מסוג זה לתיבות הדוא"ל שלהן ולעקב אחר המשתמשים שפתחו את ההודעות הללו ולחצו על הקישורים שהופיעו בהן.
אחד האמצעים היעילים להעלאת מודעות העובדים היא באמצעות ביצוע מבדק המימד האנושי אחת לתקופה, אשר מדמה שליחה של הודעה זדונית במסגרת תקיפת פישינג בידי האקרים המבקשים לפרוץ לארגון. מלבד העלאת המודעות, פילוח תוצאות ההיענות להודעה המזוייפת, מאפשר לזהות את רמת החשיפה ולבנות תוכנית מתאימה של הדרכות אבטחת מידע מקצועיות. כנדבך משלים, יש לכתוב נהלי אבטחה מקצועיים המתייחסים לסוגיית הטיפול באירועי אבטחת מידע לסוגיהם. נשמח לשתף אותך בניסיוננו בתחום.
לידיעה המלאה- כאן