האימוץ הנרחב של עבודה מרחוק (בין אם באופן מלא או במסגרת מודל העבודה ההברידי), בפרט העסקת עובדים מהבית במדינות אחרות, פותח הזדמנויות חדשות ומגוונות לגיוס כישרונות וגמישות תפעולית.
עם זאת, מודל מבוזר זה, מציב גם אתגרי אבטחת מידע משמעותיים, וכתוצאה מכך מציב את מנהלי משאבי אנוש בחזית ההגנה על נתוני הארגון.
למעורבותם המכרעת של מנהלי משאבי האנוש במדיניות, בהכשרה ובפריסה אסטרטגית של טכנולוגיות מתקדמות יש חשיבות רבה ביותר.
להלן 3 אתגרים ופתרונות בנושא אבטחת מידע בארגונים שמעסיקים עובדים מהבית במדינות שונות:
1 הגורם האנושי ומודעות סייבר משתנה:
האתגר: עבודה מרחוק, במיוחד בתרבויות מגוונות, מגבירה את הסיכון לטעויות אנוש. עובדים הפועלים מסביבות בית שונות, ומשתמשים באופן פוטנציאלי במכשירים אישיים וברשתות פחות מאובטחות, הופכים למטרות עיקריות להתקפות פישינג, ריגול ותוכנות זדוניות אחרות.
גם הבדלים תרבותיים יכולים להשפיע על האופן שבו נתפסות או פועלות על פיהן אזהרות אבטחת המידע.
הפתרון: הכשרה יסודית ומעמיקה המותאמת תרבותית לעובדים, בנושא מודעות לחשיבותה של אבטחת המידע.
על מנהלי משאבי אנוש, בשיתוף פעולה עם מחלקת ה-IT, להתקדם מעבר למודולים שנתיים גנריים.
ההכשרה צריכה להיות רציפה, מעניינת ומותאמת במידת האפשר לתרבות במדינה בה מתגורר העובד.
כל זאת, תוך התייחסות לאיומים ספציפיים הרלוונטיים לאזורים שונים.
יש לבצע קמפיינים מדומים של פישינג, כולל תחקירים סדירים, כדי לבנות את הזיכרון של העובדים בכל הנוגע לזיהוי תקשורת חשודה.
זאת ועוד, יש לפתח תרבות ארגונית שבה העובדים מרגישים בנוח לדווח על פעילות חשודה ללא חשש מכעס מצד הממונים עליהם.
למנהלי משאבי אנוש יש תפקיד מפתח בלתקשר את הסיבות מאחורי מדיניות אבטחת המידע, ולהעביר מסר ברור ובהיר שאבטחת מידע היא אחריות משותפת של כל העובדים והמנהלים, לא רק עניין של מחלקת ה- IT.
2 התמודדות עם מבוך של חוקי פרטיות נתונים במישור הבינלאומי:
האתגר: העסקת עובדים במספר מדינות פירושה עמידה במערך מורכב, ולעיתים סותר, של תקנות פרטיות נתונים, כגון GDPR באירופה, CCPA בקליפורניה וחוקים לאומיים אחרים.
ניהול לקוי של נתונים אישיים ונתונים של החברה מעבר לגבולות המדינה, עלול להוביל לעונשים חמורים, נזק למוניטין ואובדן אמון.
הפתרון: למנהלי משאבי אנוש יש תפקיד מרכזי בפיתוח ואכיפה של מדיניות אבטחת מידע מקיפה התואמת את החוק בכל התחומים הרלוונטיים.
זה כרוך בשיתוף פעולה הדוק עם צוות משפטי וצוותי IT כדי להבין את דרישות הטיפול בנתונים, אחסונם, העברתם והגישה אליהם, באופן ספציפי עבור כל מדינה.
המדיניות חייבת להגדיר בבירור לאילו נתונים ניתן לגשת, על ידי מי, מאיפה ואיך יש להגן עליהם.
מנהלי משאבי אנוש אחראים לתקשר ביעילות את המדיניות הזו לכל העובדים המרוחקים, תוך הבטחה שהם מבינים את חובותיהם בנוגע לפרטיות ואבטחת נתונים.
ביקורות וסקירות סדירות של מדיניות זו הן קריטיות כדי להסתגל לחוקים משפטיים מתפתחים ולאיומים המתעוררים.
3 אבטחת נקודות קצה ורשתות מגוונות:
האתגר: עובדים מרוחקים משתמשים לעתים קרובות בשילוב של מכשירים אישיים ומכשירים שקיבלו מהחברה, ומתחברים לסביבות רשת שונות, החל ברשת Wi-Fi ביתית מאובטחת ועד לרשתות וויפי ציבוריות שעלולות להיות פגיעות.
זה מרחיב באופן דרמטי את סיכון התקפת הסייבר על הרשת של הארגון, מה שמקשה על שמירה על פרוטוקולי אבטחה עקביים ומעקב אחר איומים.
הפתרון: מחלקת ה-IT אמנם מטמיעה את כלי האבטחה, אבל תפקידו של מנהל משאבי האנוש טמון באכיפת מדיניות ואימוץ על ידי המשתמשים, של טכנולוגיות אבטחה מתקדמות.
זה כולל חובת שימוש ברשתות פרטיות וירטואליות (VPN) עבור כל הפעילויות הקשורות לחברה, כדי להצפין נתונים שעוברים ברשת.
מדיניות משאבי אנוש צריכה להתייחס גם לניהול המכשירים, ולדרוש מהעובדים להתקין מערכות הפעלה עדכניות, תוכנת אנטי-וירוס ואימות רב-שלבי עבור כל הגישה הקשורה לעבודה.
במקרים של שילוב מכשירים פרטיים ומכשירים של החברה, מנהלי משאבי אנוש יכולים להנחות מדיניות מחמירה המתווה שימוש מקובל ודרישות אבטחת מידע, במכשירים אישיים, לרבות יכולתה של מחלקת ה-IT למחוק מרחוק נתוני חברה במקרה של אובדן או גניבה.
על מנהלי משאבי אנוש גם לוודא שהעובדים מבינים את החשיבות של דיווח מיידי במקרה של אובדן או פגיעה במכשיר.
דיווח מיידי מאפשר פעולה מהירה באמצעות טכנולוגיות, לרבות טכנולוגיות של זיהוי ותגובה לנקודות קצה, ומערכות ניהול מידע ואירועי אבטחה המנוהלות על ידי מחלקת ה-IT.
בסיכומו של דבר, נקיטת גישה פרואקטיבית ומשולבת לפיתוח מדיניות אבטחת מידע, הכשרה מתמשכת וקידום אימוץ טכנולוגיות אבטחה מתקדמות, מאפשרת למנהלי משאבי אנוש לפעול לבניית מדיניות אבטחת מידע עמידה עבור כוח אדם מרוחק המפוזר ברחבי העולם.
