אבטחת מידע היא כבר מזמן לא רק אתגר טכנולוגי בלעדי של מחלקת ה-IT. אבטחת מידע היא כיום אתגר אנושי ותרבותי ממדרגה ראשונה.
בעידן שבו העבודה מרחוק מטשטשת את הגבולות הפיזיים בין הארגון לעובד, העובד בביתו הופך להיות קו ההגנה הראשון, או החוליה החלשה ביותר, בכל הנוגע למאבק בתקיפות סייבר.
מנהל משאבי אנוש חדש שזה עתה נכנס לתפקידו, חייב להבין שביטחון המידע הוא חלק בלתי נפרד מניהול האנשים.
להלן 3 צעדים קריטיים שעל מנהל משאבי אנוש חדש ליישם ב-3 החודשים הראשונים לעבודתו בחברה, כדי לוודא עמידה בכללי אבטחת מידע מחמירים, בדגש על סביבת עבודה היברידית ומרוחקת:
צעד 1 – חודש ראשון: יישור קו אסטרטגי ועדכון החוזה הפסיכולוגי:
ב-30 הימים הראשונים לעבודתו בחברה, על מנהל משאבי האנוש החדש לשתף פעולה באופן הדוק עם מנהל אבטחת המידע בחברה ואף עם מנכ"ל החברה.
המטרה היא להבין היכן נמצאות נקודות התורפה האנושיות בעבודה מרחוק: האם מדובר בשימוש ברשתות Wi-Fi ציבוריות, שיתוף סיסמאות, חוסר מודעות לפישינג וכדומה.
לאחר מיפוי נקודות התורפה, יש לעדכן את נספחי העבודה מרחוק בחוזי ההעסקה. זהו לא רק צעד משפטי, אלא הצהרת כוונות: אבטחת מידע היא תנאי להעסקה.
יש להגדיר בבירור את הציפיות, החל בחובת השימוש ב-VPN ובאימות דו-שלבי, ועד לאיסור מוחלט על עבודה ממחשבים אישיים או שיתוף מכשירי קצה עם בני משפחה. זהו הבסיס למחויבות העובד.
צעד 2 – חודש שני: בניית ה'חומה האנושית' דרך למידה חווייתית:
בחודש השני לעבודתו של מנהל משאבי האנוש החדש בחברה, הדגש עובר ממילים למעשים.
שליחת קובץ PDF עם נהלי אבטחה לא תסייע כאן, שכן זו הדרך הבטוחה לכך שאף אחד לא יקרא אותם.
במקום זאת, על מנהל משאבי האנוש ליצור תוכנית הכשרה אקטיבית המותאמת לעבודה מרחוק.
יש לבצע סימולציות של פישינג המדמות סיטואציות יומיומיות של עובד מהבית, כמו למשל הודעה מזויפת משירות המשלוחים או מהנהלת החשבונות.
המפתח הוא להפוך את אבטחת המידע לערך תרבותי ולא לנטל בירוקרטי.
לאחר מכן, במקום להעניש את העובדים שנכשלו בסימולציה, יש להשתמש בזה כהזדמנות למידה.
יש למנות 'שגרירי אבטחה' בכל צוות שיעזרו להטמיע את הכללים בצורה אורגנית בשיחות הווידאו השבועיות.
צעד 3 – חודש שלישי: הטמעת אחריות אישית ומנגנוני דיווח:
בחודש השלישי לעבודתו של מנהל משאבי האנוש החדש עליו לוודא שהכללים הופכים להרגל.
הדרך לעשות זאת היא באמצעות קישור ישיר בין עמידה בנהלי אבטחה לבין הערכת הביצועים של העובד.
מנהל משאבי אנוש מוצלח יטמיע מדדי אבטחה, כמו לדוגמה השלמת הדרכות בזמן, או אפס אירועי אבטחה רשלניים, כחלק מהמדדים לבונוס או לקידום.
בו זמנית, על מנהל משאבי האנוש החדש ליצור תרבות של דיווח ללא אשמה.
בעבודה מרחוק, עובד עלול לחשוש לדווח על אובדן מחשב או על לחיצה על לינק חשוד מחשש לפיטורים.
תפקידו של מנהל משאבי האנוש החדש הוא לוודא שהעובדים מרגישים בטוחים לדווח מייד על כל תקלה.
דיווח מהיר הוא ההבדל בין תקרית קטנה לאסון ארגוני. בסוף שלושה החודשים הראשונים לעבודתו של מנהל משאבי האנוש החדש בחברה, אבטחת המידע צריכה להיות חלק מה-DNA של הארגון, בדיוק כמו עמידה ביעדי המכירות.
