4 דברים שאתם חייבים לעשות לפני שתגבשו נהלי אבטחה

תוכן עניינים

כולנו כבר יודעים שאבטחה בארגון הינה פועל יוצא של מציאות משתנה. מאחר וכיום הסיכונים האורבים למידע היקר והרגיש בארגון הינם מרובים (ומועצמים אף יותר על ידי טכנולוגיות חדשות שצצות ונכנסות בדלת האחורית, על ידי המשתמשים), הצעד ההגיוני והאחראי ביותר, הוא לגבש נהלי אבטחה, אשר יסייעו לכם, כמנהלי ה-IT, לשלוט במצב האבטחה בארגון.

אבל שנייה לפני גיבוש נהלי אבטחה לצד שירותי אבטחת מידע מקצועיים, הנה מספר דברים שכדאי שתעשו, על מנת שתצליחו להפוך את נושא אבטחת מידע בארגון לנחלתו של כלל הארגון, ולא רק ל”בעיה” שלכם בלבד.זהו “פרצות” אנושיות וסיכונים עתידיים – ארגונים, מטבעם, אינם הומוגניים ברמת הידע והגישה הטכנולוגית של המשתמשים העובדים בארגון. אך טבעי הוא שבדרגים מסוימים תמצאו אנשים שעדיין (!!) אינם יודעים שזה איננו רעיון טוב להקליק על כל קישור שהם מקבלים במייל, או שאין זה מומלץ לחבר מכשירים ניידים חיצוניים פרטיים שלהם לתחנות הקצה. אותם עובדים הם, לרוב, החוליה החלשה של מערכת אבטחת המידע הארגוני, וחלק גדול מהוירוסים, הרוגלות והתולעים הוא פרי הקלקת עכבר חפוזה ולא מודעת שלהם. משתמשים אלה זקוקים להתייחסות מיוחדת בעת גיבוש נהלי האבטחה הארגוניים, לכן, הקפידו להתייחס אליהם בצורה מדויקת ומפורטת, אשר תתאים לרמת ההבנה הטכנית שלהם (למשל, שלבו ברשימת הנהלים טקסט כ-“אין להקליק על קישורים במיילים שהתקבלו מנמען שאינו מוכר לכם”, גם אם לכם הדבר מובן מאליו).

זהו סוכני שינוי – ניסיון לעצור לבדכם את שטף סיכוני האבטחה המגיעים בגלים שוצפים לארגון משול לאותו ילד הולנדי שסתם באצבעו את החור בסכר – מעשה הירואי ללא ספק, אבל לחלוטין בלתי יעיל. בכל ארגון תמצאו חובבי טכנולוגיה ומחשבים, אשר רמת הידע שלהם בתחום גבוהה מאד, לרוב, הם יימצאו במחלקות הטכניות אשר עושות שימוש מקצועי בידע שלהם (מתכנתים וכד’), אבל בהחלט יתכן שתמצאו אותם גם במחלקות אחרות. לכן, אם בארגונכם ישנם עובדים שהגישה הטכנולוגית שלהם מפותחת יותר מאחרים, תוכלו להיעזר בהם, לא רק לצורך התייעצות וגיבוש נהלי האבטחה, אלא אף בהמשך, לצורך יישום יעיל שלהם.

אפיינו את הקיים מבחינה טכנולוגית – על מנת לדעת איזה פרצות קיימות כיום במערכת, תצטרכו למפות את כל הקיים: שרתים, מחשבים, אביזרים ניידים המתחברים למערכת ועוד. זו איננה מלאכה קלה והיא דורשת הרבה חשיבה יצירתית ויכולת חיזוי, אבל אינכם צריכים לעשות אותה לבדכם, תוכלו לשם כך להיעזר באותם עובדים-סוכני שינוי, אשר ישמחו לסייע באתגר.

רתמו את ההנהלה למשימה – אחת הבעיות הגדולות בהן נתקלים מנהלי IT בארגונים היא חוסר מודעות של הדרג המנהל לצורך באבטחה ובנהלים מתאימים. לרוב, יתבטא הדבר בשאלה “אנחנו באמת צריכים את זה? בשביל מה?”. ומטבע הדברים, כאשר הצורך איננו ברור ומובן, גם הקצאת המשאבים איננה הולמת. לדוגמה, מנהל שאיננו מודע לצורך באבטחה, לא יהסס להגביל את התקציב הדרוש לקניית תוכנת אנטי וירוס יעילה, וינחה אתכם להעדיף תוכנה חינמית, אשר מתאימה, אולי, לשימוש במחשבים ביתיים פרטיים ולא במערכת ארגונית.

הכתבה הועילה לכם? שתפו...

דילוג לתוכן