רוב הדיונים הציבוריים סביב אבטחת מידע מתמקדים בהאקרים מתוחכמים ובמתקפות סייבר חיצוניות, אבל מסתבר שהסטטיסטיקה בעולם הארגוני כיום מציגה מציאות שונה לחלוטין.
מתברר שהאיום הגדול ביותר על המידע הרגיש של החברה מגיע לעיתים קרובות דווקא מבפנים. מהעובדים. ולא מתוך כוונת זדון, אלא בשל טעויות אנוש תמימות.
במציאות זו, אבטחת מידע היא כבר לא נחלתה הבלעדית של מחלקת ה-IT, ומנהל משאבי האנוש הופך לשחקן אסטרטגי בקו ההגנה הראשון של הארגון.
השומר שבפנים – מהו תפקידו האסטרטגי של מנהל משאבי האנוש במניעת דליפות מידע בשל טעויות אנוש:
כאשר בוחנים את הגורמים לדליפות נתונים בארגונים, הנתונים של חברות המחקר המובילות מפתיעים מדי שנה.
מדו"ח הגנת המידע השנתי של חברת ווריזון וחברת המחקר גרטנר עולה, כי יותר מ-74% מכלל אירועי אבטחת המידע ודליפות הנתונים בארגונים כוללים רכיב של הגורם האנושי.
מתוכם, כ-50% מוגדרים כטעויות אנוש מובהקות ושלא במתכוון של עובדים ומנהלים (קיימים ולשעבר), בעוד שפריצות האקרים ישירות ושלא נעזרו בטעות אנוש (כמו פישינג שהצליח) מהוות את הנתח הנותר.
כשהטעות הופכת למשבר – להלן 4 דוגמאות לדליפות מידע מתוך החברה שיכולות להתרחש במגוון תרחישים יומיומיים:
1 שיתוף קבצים שגוי:
עובד המשתף קישור לענן (כמו Google Drive או OneDrive) ומגדיר אותו בטעות כפתוח לכל מי שקיבל את הקישור במקום להגבילו לעובדי החברה בלבד.
2 תכתובות דואר אלקטרוני קריטיות:
שליחת דו"ח שכר או מידע עסקי סודי לנמען שגוי בשל מנגנון ההשלמה האוטומטית בתיבת האימייל (למשל, שליחת אימייל ללקוח חיצוני בעל שם דומה לעובד פנימי).
3 שימוש בכלי בינה מלאכותית חיצוניים:
עובדים המזינים קוד מקור סודי, נתונים פיננסיים או מידע אישי של לקוחות לתוך מודלי בינה מלאכותית ציבוריים לצורך ניתוח, בלי לדעת שהמידע הופך לחלק ממאגר האימון של המערכת.
4 עובדים לשעבר (חשבונות רפאים):
עובד שעזב את החברה אבל תהליך הניתוק שלו מהמערכות הארגוניות לא הושלם באופן מלא, מה שמאפשר לו גישה אקראית (בטעות או מתוך הרגל) למידע פנימי רגיש.
תפקידו האסטרטגי של מנהל משאבי האנוש:
כדי למנוע תקלות אלה, למנהל משאבי האנוש יש תפקיד מפתח שחורג מהדרכה שגרתית.
חברת המחקר דלויט מדגישה, כי מנהל משאבי האנוש אחראי על עיצוב תרבות אבטחת המידע בארגון בשלושה צירים מרכזיים:
1 ניהול מחזור חיי העובד וניתוק בעת עזיבה:
מנהל משאבי האנוש הוא הגוף המסנכרן את תהליך העזיבה. עליו לוודא קיומו של פרוטוקול קשיח מול מחלקת ה-IT, המבטיח חסימה מיידית ואוטומטית של כלל הרשאות הגישה של העובד ביום עזיבתו, כולל קבוצות ווטסאפ, תיבות אימייל ומערכות ענן.
2 הדרכות מבוססות התנהגות:
במקום לקיים מבדק אבטחה משעמם פעם בשנה, על מנהל משאבי האנוש להוביל סדנאות חווייתיות המדמות טעויות נפוצות (כמו למשל שימוש לא בטוח בבינה מלאכותית), במטרה להעלות את המודעות הדיגיטלית והאוריינות הדיגיטלית של העובדים ביומיום.
3 יצירת תרבות של שקיפות בלי להאשים את הטועה:
אם עובד ביצע טעות ושלח קובץ שגוי, עליו להרגיש בטוח לדווח על כך מיד למשאבי האנוש ול-IT, בלי לחשוש מפיטורים.
דיווח מהיר מאפשר לטפל באירוע בתוך דקות ולמזער את הנזק, בעוד שהסתרה מחשש לעונש רק מחמירה את הדליפה.
בסיכומו של דבר, אבטחת המידע כיום כבר לא מבוססת רק על חומות אש טכנולוגיות, אלא על החוסן והמודעות של ההון האנושי.
מנהל משאבי אנוש המבין את תפקידו האסטרטגי, פועל לצמצום חסמי המיומנות, יוצר סביבת עבודה אחראית, ומספק לארגון את ההגנה הטובה ביותר מפני הטעויות הבלתי נמנעות של בני האנוש המפעילים אותו.
