ארגונים רבים מטמיעים תקן 27001:2022 ISO כדי לבנות תרבות ארגונית לניהול אבטחת מידע. מסתבר שלא מספיק להקים מערכת לניהול מערכת אבטחת מידע, לכתוב נהלים ולהטמיע תהליכים במחלקת אבטחת מידע ולשגר אותם לשאר העובדים. כדי להבטיח יישום לאורך ולרוחב הארגון נדרשת מודעות ומעורבות עובדים לנושאים אלה. למרות ההבנה לחשיבות הנושא עדיין מאתגר לבנות תרבות ארגונית כזו.
מהם המכשולים שארגונים נתקלים בהם בדרכם לבנות תרבות ארגונית מודעת לא"מ? כיצד מתמודדים עם אתגרים אלה? כיצד יוצרים אחריות משותפת של עובדים ומנהלים לנושא? על כל אלה מוזמנים לקרוא במאמר שלהלן.
החלטתי לא להשתמש במילה המכובסת "אתגרים" אלא להסתכל ללבן בעיניים של המחסומים..
לא תמיד העובדים מודעים להשפעת מעשיהם על אבטחת המידע של הארגון כולו. העובדים מתרכזים בעבודה השוטפת שלהם והמודעות לאבטחת מידע ארגוני רגיש לא תמיד במודעות שלהם. עובדים עלולים לחשוב בטעות שמערכות המידע של הארגון מגינות על מידע רגיש ופחות לחשוב על האחריות האישית שלהם בנושא. מה כבר יכול לקרות מחוסר תשומת לב של עובד אחד?
אתגר מס 1 – כיצד להעלות את מודעות העובדים לנושא?
נניח שהעובדים מודעים לנושא. ייתכן שחסר להם את הידע הנדרש כיצד לשמור על המידע הרגיש תוך כדי עיסוקם בפעילות השוטפת שלהם.
אתגר מס 2 – כיצד ארגונים יכולים לבנות מומחיות של עובדים בנושא אבטחת מידע?
בסופו של דבר, הכנסת הרגלים בנושא אבטחת מידע היא שינוי של ההרגלים הקודמים. כל יוזמה חדשה נתקלת בהתנגדות, גם אם היא לא מובעת בקול. בעניין שלנו, אימוץ שיטות אבטחת מידע יכולות להיתקל בהתנגדות של כל מי שלא רוצה שיזיזו לו את הגבינה בדמות הנחיות חדשות.
אתגר מס 3 – כיצד להתגבר על התנגדות ולהניע עובדים לאמץ שיטות אבטחת מידע?
ההנהלה הבכירה מתכננת ומוציאה לפועל קמפיין שיווקי פנימי כדי לחנך את העובדים לגבי החשיבות של אבטחת מידע, באמצעות העברת מסרים, שימוש בערוצים ארגוניים, כגון: דוא"ל, פורטל ואפילו פוסטרים מעניינים שתלויים על הקירות.
נזכור, שהדוגמה האישית חשובה. Walk the Talk. כמובן שתקשור הנושא לעובדים זה חשוב אך לא מספיק לשלוח דוא"ל או להפריח סיסמאות במפגשי עובדים. חשובה הדוגמה האישית.
כיצד עושים זאת? משתתפים באופן פעיל בהדרכות יחד עם העובדים ובכך מהווים דוגמה אישית.
מתן תוכניות הדרכה מותאמות לבעלי תפקידים / מחלקות בחברה, ולא רק להסתפק בהדרכה כלל-ארגונית שמתאימה לכולם. הדרכה מותאמת מלווה בדוגמאות פרקטיות, מקרי בוחן, סימולציות שעוזרות להבין את הרלוונטיות הספציפית לכל בעל תפקיד ועוזרות ביישום עקרונות א"מ במהלך העבודה השוטפת.
הלמידה של נושאי א"מ הופכת להיות מהנה ומעניינת באמצעות שילוב אלמנטים של משחוק ותגמול.
עובדים המשתתפים באופן פעיל ביוזמות א"מ או מדווחים על פגיעויות אפשריות, מתוגמלים על כך. התגמול לא בהכרח חייב להיות כספי. אפשר להוקיר תודה פומבית ולהעלות את תחושת הגאווה של מצטיינים בתחום.
תגמול יכול להיות גם שלילי. יכולה לשתף שכאשר הייתי שכירה השארתי מחשב פרוץ והלכתי לדרכי. כשחזרתי נבהלתי לגלות שהמחשב איננו. לאחר כמה דקות של חיפושים הסתבר שהקב"ט החרים אותו. נאלצתי לעבוד "חינוך מחדש" 😊 כדי לקבל את המחשב שלי בחזרה.
אבטחת מידע צריכה להיות כל הזמן במודעות כדי לא להירדם בשמירה. הארגון מיידע תקופתית את העובדים בעדכונים, איומים חדשים שהתגלו בארגונים אחרים ואזהרה מפני מקרים דומים, וכמובן גם סיפורי הצלחה. כל הפעולות שתוארו לעיל: קמפיינים שיווקיים פנימיים, הדרכות, משחוק, תחרויות וכדומה כדאי שייעשו מספר פעמים בשנה, כל פעם בצורה שונה ומפתיעה כדי לשמור על עירנות.
אחד האמצעים לבדוק שמירת מודעות לנושא א"מ היא ביצוע תרגיל פישינג.
תרגיל פישינג מעלה על פני השטח מצבים של ערנות או חוסר ערנות של עובדים לנושא א"מ. למשל: פתיחה של מייל זדוני שפתיחתו תגרום לפשיעת סייבר עקב חדירת גורם זר לארגון.
בניית תרבות אבטחת מידע חזקה היא תהליך מתמשך הדורש התגברות על אתגרים ושיתוף עובדים בכל הרמות. המאמר הביא מספר אסטרטגיות להעלאת המודעות לחשיבות א"מ בצורה עקבית ומתמשכת, תוך חיזוק כל הנוגעים בדבר.
| ממינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת מידי פעם מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן |
