חברות צריכות להפסיק להתמקד באופן בלעדי רק באיתור תקיפות סייבר וחסימתן, אלא להדריך באופן טוב יותר את עובדיהם לזהות איומים ולהגיב באופן. . .
1) התמקדות בשינוי התנהגות המשתמש- בכל הנוגע להדרכת משתמשים, חלק מהחברות מבצעות הדרכות עובדים בהיבטי אבטחה רק כי הן חייבות לבצע זאת בהתאם לדרישות ציות שונות. עם זאת, השקעה רבה יותר בהיבט זו, תוך מתן התשומות המתאימות, תסייע רבות להעלאת רמת המודעות.
2) בחינה ובחינה מחדש- כפי שצוין לעיל, הדרכות פרונטאליות הן כלי חשוב, אך יש לבצע מבדקים של ממש בכדי לבחון את התנהגות העובדים בארגון. כך, לדוגמה, ניתן לחבר הודעת פישינג שתשלח לעובדי הארגון, ולבחון את מידת ההיענות שלהם אליה. תרגול חוזר בהיבט זה יקטין באופן ניכר את הסכנה הטמונה משיטת תקיפה זו.
3) התאמה ברמת היחידות הארגוניות- בחינה עתית לצד הרצאות אבטחה אינן הדרכים היחידות לפתרון בעיית ההדרכות. יש להקפיד עם הדרכות המותאמות ברמת היחידות הארגוניות, שכן, הדרכה עובד במחלקת הכספים אינה דומה להדרכת עובד במחלקת הלוגיסטיקה או במחלקת הביטחון.
4) גם כישלון יכול להפוך להצלחה- גם עם תוקף הצליח לשטות בעובד הארגון, אשר לחץ על הלינק הזדוני שנשלח אליו, או אפשר לו להיכנס למשרדי החברה, עובד אשר ידווח בתוך פרק זמן קצר על הטעות שביצע יכול לסייע לארגון להפחית בצורה משמעותית את הנזק שייגרם, ובכך להפוך כישלון להצלחה.
לצורך הערכת רמת החשיפה של הארגון לתקיפות מסוג פישינג, אנו מציעים את מבדק המימד האנושי, אותו ביצענו במהלך החודשים האחרונים בקרב מספר מלקוחותינו. באחד המקרים, כמחצית מעובדי החברה הנבדקת, לרבות מנהלים בדרג בכיר, לחצו על קישורים שהופיעו בהודעות ספאם שנשלחה אליהם מטעם מומחי החברה. במידה והיה מדובר בתוקפים אמיתיים, היה מספיק בעובד אחד (לא כל שכן שיעור היענות רחב שכזה) כדי לאפשר חדירה לארגון על רבדיו השונים וגרימת נזק לנכסי המידע שלו. על בסיס תוצאות המבדק, מבצעת חברתנו הדרכות אבטחת מידע מקצועיות ומעמיקות לעובדים, המעלות את רמת האבטחה הארגונית ומצמצמות את היקף הסיכון הנשקף כתוצאה מפעילות שגויה של עובדי החברה במערכות המחשוב הארגוניות.
לידיעה המלאה- כאן