אבטחת מידע – עניין של מודעות

מאת: אריק אירית – CEO RUsafe

האפשרות הלא תאורטית, כי רשת המחשבים של ארגון חשופה בפני חדירה אליה, הן לגנֵבת מידע ממאגרי המידע שלה הן לשיבוש המידע והן לחבלה בזמינות המידע, גדלה והולכת בשנים האחרונות. כיום אין ארגון או עסק שאינו מחובר בצורה כזו או אחרת דרך הרשת, אם לאינטרנט, אם באמצעות תכנות שיתוף, ואם באמצעות העובדים עצמם, שמשתמשים במחשבים ניידים ובמכשירים סלולריים לצורך עבודתם. לכן חשובה מאוד המודעות לצורך של אבטחת מערכות המידע של הארגון, גם על ידי הנהלת הארגון, באמצעות הטמעת נוהלי עבודה ואבטחה, וגם על ידי העובדים עצמם.

הדינמיקה של הרשת, כמו גם דרישות המשתמשים וצורכיהם, משתנים ברמה יום־יומית, וכיום בעידן שהאיומים והחשיפות משתנים באופן תמידי, לכל ארגון יש צורך רלוונטי להיערך לקראת סכנות פוטנציאליות של חדירה למערכות המידע. ללא האחריות של ההנהלה להטמעת נהלים וללא מודעות העובדים לאפשרויות הסכנה לארגון, גדלים הסיכונים בשל גרימת נזק לארגון. לא מדובר במעורבות בתהליך מדעי או בפיצוח מסובך של שיטות מחשוב חדשניות. הסכנות עלולות להיות פשוטות ומידיות. ארגון עשוי לעמוד בפני כמה וכמה סיכונים עקב היערכות לא נכונה של מערכות אבטחת המידע.

התעלמות מסכנות אפשריות ומסיכונים פוטנציאליים – עלולה לגרום נזק חמור למערכות המידע ולתדמיתו של הארגון.

מדיניות של ‘אצלנו זה לא יקרה’ – כאשר הנזק נגרם, כבר מאוחר מדי למנוע אותו. היערכות לאפשרויות של פלישת מתחרים, האקרים, וירוסים שמופצים ברשת ורוגלות – מתרחשת באופן יום־יומי. אי־קיום נוהלי אבטחה או היערכות לקויה של הארגון עלולים להביא לסכנה, גם כשלכאורה מדובר בפרט קטן. הגדרת מדיניות וכתיבת נהלים עשויה למנוע גם את המקרים ש’לא יקרו’.

הפעולה הראשונה של הארגון היא להבין היכן הוא נמצא ומהי התרבות הארגונית ורמת הבשלות הארגונית שלו בנוגע לסיכוני אבטחת מידע.

האחריות הראשונית חלה תמיד על הנהלת הארגון. עליה לקבל החלטה לאן פני הארגון ומהי התרבות הארגונית שעל פיה הוא רוצה לפעול ולהגדיר את מדיניותו ואת נוהלי אבטחת המידע שאותם יטמיע.

כל ארגון הפועל כיום חייב להיות מודע לסיכונים הפוטנציאלים שלהם הוא חשוף ולאבטח את מערכות המידע שלו. חוסר המודעות של הנהלת ארגון נובע לעתים מסיבות תקציב או כוח אדם, בהם ההנהלה לא מקציבה משאבים לתחום אבטחת המידע ולהטמעת הנהלים. סקרים מראים, ש־90%-80% מדליפות המידע בארגונים נובעים מטעויות אנוש. הסיכויים לפגיעה מתוך הארגון גבוהים ומשמעותיים אף יותר. בשנים האחרונות התרחשו לא מעט אירועים שאפשר היה למנוע בהסברה תוך ארגונית והטמעת נהלים. הבאת העובדים להכרה בנחיצות תחום אבטחת מידע בארגון מאפשרת את הפחתת הפגיעות באבטחת המידע בארגון, את השמירה על האינטרסים העסקיים של הארגון, ואת ההגנה על נכסים פיננסיים ואחרים של הארגון.

אבטחת מערכות מידע של ארגון, חברה גדולה, עסק בינוני או קטן היא עניין לאנשי מקצוע המומחים בתחום. נוהלי אבטחה מחייבים הכרה מעמיקה של התהליכים העסקיים והניהוליים במערכות הארגון, פעילות המחלקות והקשרים הטכנולוגיים הפנימיים והחיצוניים. ללא מודעות של ההנהלה ובעקבותיה – מודעות  של העובדים בארגון לאבטחת מידע – אין אפשרות לתאם את ההיערכות של הארגון לקראת הסכנות המידיות והפוטנציאליות.