באופן מסורתי, רוב מנהלי אבטחת המידע חשבו כי תוכנית הדרכת עובדים הינה אחד מהפתרונות היעילים ביותר לשיפור מצב האבטחה הכולל של החברה. אך, כאשר. . .
מחד גיסא, מתקפת פישינג מתוחכמת עלולה להפיל בפח את מרבית המשתמשים, ונדרש רק משתמש אחד על מנת שההאקר יוכל לחדור לרשת הארגונית. מאידך גיסא, עם נוצרת תרבות של מודעות לנושא האבטחה, כך סביר כי מספר מצומצם יותר של משתמשים יפלו בפח, ואלו שיבינו כי מדובר בתקיפה זדונית ימהרו לדווח על כך, דבר שיסייע לארגון בהתמודדות עם האירוע ובהקטנת נזקים.
יתרה מכך, תוכנית מודעות לאבטחת מידע יכולה להגן על מידע רגיש ולמנוע ממשתמשים מלבצע פעולות שאינן הולמות או שאינן מאובטחות. הדבר דורש כי העובדים יבינו ויפנימו את מדיניות החברה בכל הנוגע לאחזקה, שיתוף ואחסון של מידע רגיש ושל ההתקנים שמאחסנים אותו. התחרות הגלובלית המתעצמת גורמת לחלק מהארגונים להגביר את מאמציהם לגנוב קניין רוחני מחברות מובילות. אחת הדרכים לכך היא באמצעות גורם פנימי שיסייע להן בכך, או לחילופין, באמצעות תקיפת סייבר ישירה, או שילוב בין השניים.
תוכנית מודעות עובדים יעילה צריכה לשכנע את המשתמשים כי חוסנה ואיתנותה הפיננסית של החברה, וכתוצאה מכך, של משרותיהם, נמצאים בסיכון במידה ומידע רגיש נאבד. לטובתם האישית, כדאי להם ללמוד לזהות דגלים אדומים הקשורים להתנהגות חריגה של עובדים או שיטות של תקיפות סייבר. בזכות הידע הזה, הסבירות כי אותם משתמשים יטעו קטן באופן משמעותי, ובמקביל, הסבירות כי הם ידווחו על אירועים חריגים עולה.
תוכנית מודעות עובדים יעילה מורכבת מהרבדים הבאים:
1) מעורבות ההנהלה הבכירה.
2) הדרכת חובה באמצעות מחשב המועברת לכלל העובדים בחברה, ותיקים וחדשים.
3) מבדק פישינג פנימי.
4) הטמעת פתרונות לניטור המתריעים בזמן אמת בפני משתמשים על פעולות שגויות בהיבטי אבטחה.
אחד האמצעים היעילים להעלאת מודעות העובדים לנושאי אבטחת מידע היא באמצעות ביצוע מבדק המימד האנושי אחת לתקופה, אשר מדמה שליחה של הודעה זדונית במסגרת תקיפת פישינג בידי האקרים המבקשים לפרוץ לארגון. מלבד העלאת המודעות, פילוח תוצאות ההיענות להודעה המזוייפת, מאפשר לזהות את רמת החשיפה ולבנות תוכנית מתאימה של הדרכות אבטחת מידע מקצועיות. נשמח לשתף אותך בניסיוננו בתחום.
לידיעה המלאה- כאן