המעבר לעבודה מרחוק הרחיב באופן דרמטי את היקף המרחב הדיגיטלי של הארגון, והציב את העובדים, במיוחד אלו שנמצאים מחוץ לסביבת המשרד המבוקרת, בקו ההגנה הראשון מפני איומי סייבר.
תפקידו של מנהל משאבי אנוש פרואקטיבי הוא קריטי בגישור הפער בין דרישות ה-IT הטכניות לבין הבנת העובדים את אחריותם להגנת הרשת הארגונית, תוך הבטחת תרבות אבטחה איתנה.
הדרכת אבטחה מקיפה שתועבר בצורה מרתקת:
האחריות העיקרית של מנהל משאבי אנוש היא להקים ולאכוף תוכנית הדרכה חובה ורציפה, למודעות לאבטחה המותאמת לכוח העבודה המודרני והמבוזר.
מדובר בתוכנית שהיא הרבה מעבר למצגות שנתיות. ההדרכה חייבת להיות חוזרת, בתדירות גבוהה, ורלוונטית לזרימת העבודה היומיומית מרחוק.
יש להשתמש בדוגמאות אנונימיות מהעולם האמיתי של התקפות מוצלחות נגד חברות דומות, כדי להמחיש את ההשפעה הפיננסית והתדמיתית ואת השפעתה של הפריצה על הביטחון התעסוקתי.
מיקרו-למידה:
יש לפרק נושאים מורכבים למודולים קצרים וקלים ללמידה, כגון סרטונים בני חמש דקות או חידונים אינטראקטיביים, שהעובדים יכולים להשלים אותם באופן קבוע ושטף. זה עוזר לחזק את הידע בלי לגרום לעייפות הדרכה ויציאה מריכוז.
התמקדות בקשר מרחוק:
מודולי הדרכה ספציפיים חייבים להתייחס לנקודות תורפה שהן ייחודיות לעבודה מהבית, כגון אבטחת רשתות Wi-Fi ביתיות, שימוש במכשירים שהונפקו על ידי החברה אך ורק לעבודה, הסיכונים של Wi-Fi ציבורי ואבטחה פיזית של מכשירים במרחב מגורים משותף.
הסבר הסכנות – פענוח סוגי פריצות:
כדי להבין באמת את חומרת האיום, העובדים חייבים להבין כיצד האקרים פועלים ואת הסכנה הספציפית הנשקפת מכל וקטור התקפה.
על מנהלי משאבי האנוש לשתף פעולה עם מחלקת ה-IT כדי לתרגם את השפה הטכנית והמונחים, למונחים ברורים וניתנים ליישום:
פישינג:
דואר אלקטרוני או הודעה מטעה שנועדו להיראות לגיטימיים (למשל, כאלה שנראים כאילו הגיעו מ-IT, ממשאבי אנוש או מספק) שמנסים להערים על העובדים כדי שילחצו על קישור זדוני או כדי שימסרו פרטי כניסה למערכת.
הפישינג מאפשר גניבת אישורים מיידית, דבר שמעניק להאקר מפתח תקף לרשת החברה, מה שמוביל לגניבת נתונים או להתקפות נוספות.
סוס טרויאני:
תוכנה מזיקה במסווה של יישום שימושי או תמים (למשל, משחק חינמי, קורא מסמכים, תיקון שנראה לגיטימי, אגרת ברכה דיגיטלית) שהמשתמש (העובד) מוריד למחשב מרצונו.
סוס טרויאני יוצר גישה סמויה למערכת. כלומר הוא יוצר 'דלת אחורית' במחשב של העובד, דרכה הההאקר יכול לגנוב נתונים, לנטר פעילות או להתקין תוכנת כופר (שנועלת קבצים לצורך דרישת כופר).
הנדסה חברתית:
מניפולציה של עובדים שישברו את פרוטוקולי האבטחה. לעיתים קרובות זה מתבצע על ידי משחק על אמון, פחד או תחושת דחיפות (למשל, שיחה ממישהו שמתחזה למנכ"ל הדורש העברה בנקאית מיידית).
האקרים שמשתמשים בהנדסה החברתית עוקפים בכך את האבטחה הטכנית. שיטה זו מנצלת את הגורם האנושי, מה שמוביל לעיתים קרובות להפסד כספי משמעותי או לחשיפת מידע רגיש ביותר.
טיפוח תרבות ארגונית של דיווח ללא אשמה:
חשוב לציין, שמנהל משאבי אנוש חייב לפעול כדי לחסל את הפחד של העובדים מפני מעונש, כאשר עובד לוחץ בטעות על משהו חשוד.
תרבות ארגונית של "אי אשמה" הינה חיונית לדיווח בזמן אמת, שכן ככל שמחלקת ה-IT תדע מהר יותר על בעיה, כך היא תוכל לבלום את האיום מהר יותר.
על משאבי אנוש להעביר בבירור את נוהל דיווח האירועים המפרט את הדברים הללו: למי לפנות אם התרחשה טעות שגרמה לפריצה, כיצד ליצור איתו קשר (לא דרך הדואר האלקטרוני שעלול להיות פרוץ), ואילו צעדים יש לנקוט באופן מיידי (למשל, ניתוק מהרשת).
קידום עקבי של גישה פרואקטיבית זו מאפשר למנהל משאבי האנוש להפוך עובדים מרוחקים הפגיעים לפריצות, לצוות אבטחה עירני, ולהפוך טעויות אנוש להזדמנות לחינוך ולא לכישלון קטסטרופלי.
