מומחי אבטחת מידע מציינים כי בכל הנוגע למודעות עובדים לסוגיות אבטחת מידע, קיימים מיתוסים שגויים אשר רווחים בקרב ארגונים ועובדים, וחשוב. . .
1) הדרכה אינה יעילה- פעמים רבות, הדרגים הבכירים בארגון, כמו גם חלק מהעובדים, נוטים לזלזל בהשפעה של הדרכות אבטחת מידע על התנהגות עובדים. ואכן, הדרכה חד פעמית ובודדת ייתכן ולא תשיג את המטרה, אך תוכנית סדורה ומקיפה להעלאת מודעות עובדים היא כלי חזק היכול לשנות התנהגות.
2) ההשקעה אינה משתלמת כי לעולם מישהו יטעה- יש הטוענים כי מודעות עובדים נדונה מראש לכישלון, היות ואין זה משנה עד כמה תשקיע בסוגיה, לעולם תיוותר קבוצה קטנה אשר לא תפנים את המסרים ותפעל בצורה שגויה אבטחתית. ואולם, זו הסתכלות שגויה; היות ומודעות עובדים הינה בקרת אבטחה נוספת, הגעה לרמת מודעות גבוהה, בה 95% מהעובדים פועלים בצורה מאובטחת הינה הישג של ממש, כאשר חלק מהבקרות הטכנולוגיות אינן מגיעות לרמת יעילות כה גבוהה.
3) העובדים כבר יודעים מה לעשות- מחקרים אקדמיים שונים טוענים כי אנשים יודעים ממילא את הכללים להתנהגות מאובטחת, אך רק אינם מקפידים ליישמם. עם זאת, פעמים רבות ניתן להיווכח כי חלק ניכר מהאנשים פשוט אינם יודעים כיצד להתנהג באופן מאובטח בסביבה מחשובית ברמה הבסיסית ביותר.
4) הכל תלוי במניעה- כאשר אנשים דנים במודעות, הם בדרך כלל מתמקדים במניעה, בבחינת "חומת אש המונעת טעויות עובדים". מדוע להתמקד רק ברובד המניעה? מדוע לא להדריך אנשים באופן שיהפוך אותם לחיישנים הרגישים כל העת לחריגות אבטחת מידע? הדרכת עובדים בכל הנוגע לדיווח על אירועי אבטחת מידע לסוגיהם יכולה להוביל לתועלת עצומה לארגון.
5) מדובר בסוגיה פשוטה- ארגונים רבים חושבים כי יצירת מודעות לנושאי אבטחת מידע בקרב עובדיהם היא משימה קלה לביצוע. אם המטרה היא ציות בלבד, התשובה היא חיובית. עם זאת, במידה והארגון רוצה להפחית באופן יעיל את רמת הסיכון הנשקפת מהתנהגות שגויה של עובדיו, יש ליצור תוכנית מקיפה ומתמשכת, ולהשקיע במימושה משאבים הולמים.
לצורך הערכת רמת החשיפה של הארגון כתוצאה מהתנהגות שגויה של עובדים בהיבט האבטחתי, אנו מציעים את מבדק המימד האנושי, אותו ביצענו במהלך החודשים האחרונים בקרב מספר מלקוחותינו. באחד המקרים, כמחצית מעובדי החברה הנבדקת, לרבות מנהלים בדרג בכיר, לחצו על קישורים שהופיעו בהודעות ספאם שנשלחה אליהם מטעם מומחי החברה. במידה והיה מדובר בתוקפים אמיתיים, היה מספיק בעובד אחד (לא כל שכן שיעור היענות רחב שכזה) כדי לאפשר חדירה לארגון על רבדיו השונים וגרימת נזק לנכסי המידע שלו. על בסיס תוצאות המבדק, מבצעת חברתנו הדרכות אבטחת מידע מקצועיות ומעמיקות לעובדים, המעלות את רמת האבטחה הארגונית ומצמצמות את היקף הסיכון הנשקף כתוצאה מפעילות שגויה של עובדי החברה במערכות המחשוב הארגוניות.
לידיעה המלאה- כאן