ממודעות למוכנות
הטמעת הגנת סייבר בארגון גדול היא תמיד אתגר. מאמר מיוחד סוקר את המפתחות ליצירת תוכנית מודעות אפקטיבית להגנת הסייבר
הטמעת שינוי בארגונים, היא תמיד אתגר גדול, על אחת כמה וכמה בתחום הגנת הסייבר. הסיבות לכך הן רבות מאחר ומדובר בתחום חדשני, מורכב והידע על הסיכונים והשלכותיהם עשוי להיות נמוך בקרב מנהלים ועובדים בארגון. לגורם האנושי יש תפקיד כפול: כגורם כמפחית סיכון וכמזהה סיכון. לכן החשיבות של רתימת העובדים והמנהלים לתוכנית הגנת הסייבר היא קריטית להצלחתה.
בסקר מקיף שנערך לאחרונה ביחד עם ISACA ישראל בנושא יעילותן ובשלותן של תוכניות מודעות בתחום הסייבר בישראל עלה הממצא המטריד (אך לא ממש מפתיע) שקיים פער בין עצם קיומן של תוכניות סדורות להגברת המודעות, לבין רמת האפקטיביות שלהן בפועל.
הממצא הזה לא יטריד ארגון הנוקט בגישת ה- Compliance בלבד, הרי אין זו בעיה גדולה להשיק מערך הדרכות/לומדה/ניוזלטר וכו' ולכן שאלת האפקטיביות לא תעלה על הפרק. הבעיה עשויה להתעורר כאשר תיבחן אפקטיביות הפעולות ובאיזו מידה הן תרמו בפועל להורדת סיכון הסייבר (בין עם על ידי ההנהלה או הביקורת הפנימית).
על מנת להגביר את האפקטיביות של תוכניות המודעות יש צורך בגישה שמתקדמת בניהול תפוקות ולא בניהול תשומות. במילים אחרות - מדידה שיטתית של תוכנית המודעות והאופן שבה היא מקטינה את סיכון הסייבר הכללי. בכל ארגון, המעבר בין הגישות אינו פשוט אך באימוץ פרקטיקות מוכרות מתחום ניהול השינוי הארגוני הדבר בהחלט אפשרי ויוביל לשינוי חיובי בהתנהגות העובדים והמנהלים, להבנה של תוצאות המאמצים המושקעים בנושא ולשיפור הגנת הסייבר. בכדי ליצור את השינוי הארגוני הדרוש כדאי לאמץ מנועי שינוי שיובילו לתוצאות הרצויות.
מדד רמת מודעות המוצג להנהלה - דירוג המודעות ברמת העובד כפרט וברמת המחלקה, מאפשר השוואה בין הנמדדים. דירוג זה צריך להגיע לידי הנהלת הארגון על בסיס קבוע. מדידה מסוג זה הינה כלי של ההנהלה להניע קדימה את המנהלים בדרג הביניים, תיצור תחרות בריאה והנעה לשיפור ותוביל מנהלי מחלקות לעודד את עובדיהם לקחת את הנושא ברצינות ולהשקיע בו באופן מתמשך.
מערכת תגמולים מותאמת כמו מניעת אירוע סייבר, חדירה למערכות הארגון, שיבוש מידע, גניבת כספים או פוטנציאל השבתה הינה תרומה משמעותית לתפקודו ולביטחונו של הארגון. לפיכך, מניעה מוצלחת של התקפה על ידי עובד או מנהל, צריכה לזכות אותו בהכרה כלל-ארגונית, הערכה רשמית מצד ההנהלה ואולי אף תגמול חומרי כלשהו. האפשרות להיות מעין 'גיבור ארגוני', מודל לחיקוי ומושא לאהדה והערכה, יכולה לשמש מניע רב עוצמה לפעולה.
בארגונים רבים הערכים הארגוניים מהווים מנוע ומצפן התנהגותי לעובדים. הצגת אתגרי הגנת הסייבר והיכולת להתמודד עימם כהולמים את ערכי החברה וכאמצעי להבעת מחויבות ומקצוענות, יכולה להעמיק את רמת המעורבות של עובדים בתחום הגנת הסייבר, ולקשור אותה לתחושת השייכות לחברה. ערכים כגון סודיות, פרטיות, מקצועיות ואמינות מתכתבים עם אתגרי הסייבר העסקיים כיום ולקיחת חלק במניעתם הינה הזדמנות להיענות לערכים אלו ולהביע הזדהות עימם ועם הארגון, הלכה למעשה.
העובדים והמנהלים כשותפים: במסגרת הסקר הארצי בנושא המודעות נשאלה השאלה מהו המכשול הגדול ביותר בפני יישום תכנית מודעות להגנת הסייבר אפקטיבית? מרבית הנשאלים השיבו כי המכשול הגדול ביותר הינו תפיסת בעיית הסייבר כבעיה של מנהל אבטחת המידע בלבד ולא של כלל הארגון. ממצא זה מדגיש את חשיבות ההתייחסות הארגונית לנושא הסייבר כדורש מאמצים משותפים, בפני אתגר משותף, והפיכת המארג הארגוני למרחב פעיל ומודע המייצר הגנה אפקטיבית יותר.
על מנת ליצור תוכנית מודעות סייבר אפקטיבית שבה הארגון כולו, כולל הדירקטוריון, ההנהלה, מנהלי השטח ועובדים, מחויבים ופועלים למימוש מטרות הגנת הסייבר, לא יספיקו הבלחות של פעולות "שיווק" פנימיות אחת לתקופה אלא יש להטמיע שיטות אשר יגעו במוטיבציות העמוקות של העובדים והמנהלים בארגון.
תוכנית ארוכת טווח ומוכוונת לקהלי היעד השונים בארגון המשקפת את התפוקות, מדידתן ואופן השפעתן על הורדת הסיכון הינה תנאי הכרחי ליציאה נכונה לדרך. המפתח להצלחתה של התוכנית הינו רתימה של ההנהלה הבכירה לאישורה וגיבויה. ?
הכותב הוא שותף בקונפידס. יועץ ארגוני בכיר, מומחה בליווי ארגונים בבנייה וניהול של תוכניות מודעות, הדרכה ותרגול בתחום הגנת הסייבר eli.z@konfidas.com
לכתבות נוספות באתר ISRAEL DEFENSE היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם