כיצד לבנות תרבות ארגונית תומכת לנושאי אבטחת מידע (א"מ)

אורנה קמין, מנכ"לית OK יועצים לניהול

ארגונים רבים מטמיעים תקן 27001:2022 ISO כדי לבנות תרבות ארגונית לניהול אבטחת מידע.  מסתבר שלא מספיק להקים מערכת לניהול מערכת אבטחת מידע, לכתוב נהלים ולהטמיע תהליכים במחלקת אבטחת מידע ולשגר אותם לשאר העובדים.  כדי להבטיח יישום לאורך ולרוחב הארגון נדרשת מודעות ומעורבות עובדים לנושאים אלה. למרות ההבנה לחשיבות הנושא עדיין מאתגר לבנות תרבות ארגונית כזו.

מהם המכשולים שארגונים נתקלים בהם בדרכם לבנות תרבות ארגונית מודעת לא"מ? כיצד מתמודדים עם אתגרים אלה? כיצד יוצרים אחריות משותפת של עובדים ומנהלים לנושא? על כל אלה מוזמנים לקרוא במאמר שלהלן.

מחסומים בדרך לבניית תרבות ארגונית לאבטחת מידע

החלטתי לא להשתמש במילה המכובסת "אתגרים" אלא להסתכל ללבן בעיניים של המחסומים..

חוסר מודעות והבנה של העובדים לחשיבות הנושא

לא תמיד העובדים מודעים להשפעת מעשיהם על אבטחת המידע של הארגון כולו. העובדים מתרכזים בעבודה השוטפת שלהם והמודעות לאבטחת מידע ארגוני רגיש לא תמיד במודעות שלהם. עובדים עלולים לחשוב בטעות שמערכות המידע של הארגון מגינות על מידע רגיש ופחות לחשוב על האחריות האישית שלהם בנושא. מה כבר יכול לקרות מחוסר תשומת לב של עובד אחד?

אתגר מס 1 – כיצד להעלות את מודעות העובדים לנושא?

חוסר בהדרכות מודעות עובדים לנושא

נניח שהעובדים מודעים לנושא. ייתכן שחסר להם את הידע הנדרש כיצד לשמור על המידע הרגיש תוך כדי עיסוקם בפעילות השוטפת שלהם.

אתגר מס 2 – כיצד ארגונים יכולים לבנות מומחיות של עובדים בנושא אבטחת מידע?

התנגדות לשינוי

בסופו של דבר, הכנסת הרגלים בנושא אבטחת מידע היא שינוי של ההרגלים הקודמים. כל יוזמה חדשה נתקלת בהתנגדות, גם אם היא לא מובעת בקול. בעניין שלנו, אימוץ שיטות אבטחת מידע יכולות להיתקל בהתנגדות של כל מי שלא רוצה שיזיזו לו את הגבינה בדמות הנחיות חדשות.

אתגר מס 3 – כיצד להתגבר על התנגדות ולהניע עובדים לאמץ שיטות אבטחת מידע?

אסטרטגיות להצלחה על ידי תמיכת הנהלה, מתן הדרכות וחיזוקים חיוביים


מנהיגות ותמיכת הנהלה כל הדרך עד לאחרון העובדים

ההנהלה הבכירה מתכננת ומוציאה לפועל קמפיין שיווקי פנימי כדי לחנך את העובדים לגבי החשיבות של אבטחת מידע, באמצעות העברת מסרים, שימוש בערוצים ארגוניים, כגון: דוא"ל, פורטל ואפילו פוסטרים מעניינים שתלויים על הקירות.

נזכור, שהדוגמה האישית חשובה.  Walk the Talk. כמובן שתקשור הנושא לעובדים זה חשוב אך לא מספיק לשלוח דוא"ל או להפריח סיסמאות במפגשי עובדים. חשובה הדוגמה האישית.

כיצד עושים זאת? משתתפים באופן פעיל בהדרכות יחד עם העובדים ובכך מהווים דוגמה אישית.

מתן הדרכה מותאמת לארגון ולבעלי תפקידים בארגון

מתן תוכניות הדרכה מותאמות לבעלי תפקידים / מחלקות בחברה, ולא רק להסתפק בהדרכה כלל-ארגונית שמתאימה לכולם. הדרכה מותאמת מלווה בדוגמאות פרקטיות, מקרי בוחן, סימולציות שעוזרות להבין את הרלוונטיות הספציפית לכל בעל תפקיד ועוזרות ביישום עקרונות א"מ במהלך העבודה השוטפת.

משחוק ותגמול 

הלמידה של נושאי א"מ הופכת להיות מהנה ומעניינת באמצעות שילוב אלמנטים של משחוק ותגמול.

עובדים המשתתפים באופן פעיל ביוזמות א"מ או מדווחים על פגיעויות אפשריות, מתוגמלים על כך. התגמול לא בהכרח חייב להיות כספי. אפשר להוקיר תודה פומבית ולהעלות את תחושת הגאווה של מצטיינים בתחום.

תגמול יכול להיות גם שלילי. יכולה לשתף שכאשר הייתי שכירה השארתי מחשב פרוץ והלכתי לדרכי. כשחזרתי נבהלתי לגלות שהמחשב איננו. לאחר כמה דקות של חיפושים הסתבר שהקב"ט החרים אותו. נאלצתי לעבוד "חינוך מחדש" 😊 כדי לקבל את המחשב שלי בחזרה.

שמירת מודעות לנושא בצורה שוטפת

אבטחת מידע צריכה להיות כל הזמן במודעות כדי לא להירדם בשמירה. הארגון מיידע תקופתית את העובדים בעדכונים, איומים חדשים שהתגלו בארגונים אחרים ואזהרה מפני מקרים דומים, וכמובן גם סיפורי הצלחה. כל הפעולות שתוארו לעיל: קמפיינים שיווקיים פנימיים, הדרכות, משחוק, תחרויות וכדומה כדאי שייעשו מספר פעמים בשנה, כל פעם בצורה שונה ומפתיעה כדי לשמור על עירנות.

תרגיל פישינג

אחד האמצעים לבדוק שמירת מודעות לנושא א"מ היא ביצוע תרגיל פישינג.

תרגיל פישינג מעלה על פני השטח מצבים של ערנות או חוסר ערנות של עובדים לנושא א"מ. למשל: פתיחה של מייל זדוני שפתיחתו תגרום לפשיעת סייבר עקב חדירת גורם זר לארגון.

סיכום

בניית תרבות אבטחת מידע חזקה היא תהליך מתמשך הדורש התגברות על אתגרים ושיתוף עובדים בכל הרמות. המאמר הביא מספר אסטרטגיות להעלאת המודעות לחשיבות א"מ בצורה עקבית ומתמשכת, תוך חיזוק כל הנוגעים בדבר.

ממינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת מידי פעם מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן