ממודל סיכון חדש אשר הוצג לאחרונה עולה כי השקעה בהעלאת מודעות עובדים לנושאי אבטחת מידע יכולה לסייע בהקטנת עלויות כוללת של סיכוני אבטחת מידע - עד להקטנה של...
60% מן העלויות השנתיות.
חברת המחקר Aberdeen Group פיתחה מודל כמותי אשר מאפשר לחשב את המתאם בין פעילויות העובדים באינטרנט לבין רמת הסיכון הארגונית הכוללת.
המודל, אשר מבוסס על מספר מחקרים רלוונטיים קבע גודל שרירותי כלשהו של חברה (1,000 עובדים) במקביל להכנסות שנתיות (שרירותיות גם הן) של 200 מיליון דולר. בכדי להעריך את עלויות ההדרכות להעלאת מודעות השתמשה חברת המחקר במחירונים של חברות המספקות פתרונות בתחום.
מן המודל, שכאמור מבוסס על שורה של מחקרים בתחום ונתונים מהשטח עולה כי קיימת סבירות של כ-80% לכך שפגיעה בארגון ובמערכות המיחשוב שלו כתוצאה מהתנהגות עובדים (פתיחה של הודעות פישינג אשר הובילו להתקנת קוד זדוני בארגון, מסירת סיסמאות לגורמים בלתי מורשים, התקנת תוכנות ואפליקציות אשר הכילו תוכנות ריגול ועוד) תביא לנזק כולל של כ-2.5 מיליון דולר בארגון בסדר הגודל המתואר לעיל.
לעומת זאת, השקעה אפקטיבית בהעלאת מודעות עובדים (באמצעות הדרכות, לומדות ייעודיות ועוד) בארגון בסדר גדול דומה תסתכם בכמיליון דולר - כלומר ירידה של כ-60% בהוצאה הכוללת.
הירידה הדרסטית בהוצאה מקורה בכך שבשנים האחרונות ההאקרים משקיעים את מירב המאמצים בכדי להתמקד בגורם האנושי - שהוא אכן במרבית המקרים החוליה החלשה ביותר בשרשת האבטחה. בעבר אכן התמקדו ההאקרים בניסיונות פריצה אל תשתיות המחשוב, המערכות והאפליקציות הארגוניות - אליהן קשה הרבה יותר לפרוץ היום באופן ישיר, גם בשל העובדה שהמודעות לצורך לאבטח אותן הינה גבוהה מאוד במרבית הארגונים ושכתוצאה מכך תקציבים ומשאבים רבים מופנים (ובצדק גמור) לצורך הגנה על מערכות ארגוניות רגישות אלו.
אולם מספר הקלקות עכבר של משתמש קצה - עלולות לחשוף את כלל המערכות בארגון לפגיעה, כפי שאכן אירע במספר אירועי אבטחת מידע בשנים האחרונות, ובראשם בפריצה אל חברת RSA.
לידיעה המלאה - כאן