הגורם האנושי: עשרת הכללים לאבטחת מידע אצל עובדים
הגורם האנושי ידוע כאחד הגורמים המשמעותיים לפריצות אבטחת מידע בקרב מקומות עבודה. למרות שארגונים מכשירים עובדים להגנת סייבר ישנו פער מבחינת המודעות והידע שלהם בתחום. על מנת להתייעל באופן משמעותי בתחום נדרש לטפל בפן האנושי על ידי יישום פרקטיקה.
בשנה האחרונה ישנה מגמת עלייה בפריצות אבטחת מידע במקומות עבודה הנובעים מגורמים עויינים מחוץ לארגון ונגרמים לרוב על ידי הנקודה החלשה ביותר באבטחת הארגון – הגורם האנושי בשל האופן היחסי הקל לבצע תקיפות מסוג זה.
מהם עשרת ההנחיות המומלצות לעובדים בנוגע לאבטחת מידע במקום העבודה:
- אחריות אישית – כל עובד בארגון עלול להיחשף במהלך ביצוע תפקידו למידע חסוי הכולל בין היתר: עובדים, לקוחות, מידע עסקי וכו'. על העובד להיות אחראי באופן אישי לאבטחת מידע אליו הוא נחשף במהלך עבודתו השוטפת, המידע אליו נחשף במהלך העבודה השוטפת מחייבת אותו להישמר כראוי על פי חוק הגנת הפרטיות ולפי הנחיות החברה.
- שמירת סודיות – עובד בארגון מחויב לשמור על סודיות המידע והנתונים אליהם הוא נחשף, כולל שמירה על סודיות מול עמיתים לעבודה אשר המידע אינו רלוונטי לעבודתם וכמובן העברת מידע לגורמים חיצוניים.
- הוצאת מידע מהארגון – ארגונים רבים לא נותנים את הדעת להוצאת חומר חסוי מהארגון. במידה ונדרש להוציא חומר כזה נדרש לקבל אישור מיוחד של הממונה לאבטחת מידע או לחילופין לחתום אותו באמצעות חותמת דיגיטלית אשר תעיד על סיווגו של המידע.
- התקנת תוכנות – כל תוכנה תותקן על המחשב על ידי מחלקת מערכות מידע בלבד. תפקיד מחלקת מערכות מידע הינה לבדוק את ההתקנה, ביצועה ורכישתה. מחשבים לא יאפשרו התקנה של תוכנות, אלא לאחר אימות סיסמת מנהל בלבד.
- שם משתמש וסיסמא – רבות דובר בנושא, הסיסמא מהווה מפתח גישה למידע הרגיש ביותר ולמערכות המידע ולכן עליה להיות אישית וסודית כולל איסור על שמירת הסיסמא במקום בו היא עלולה להיחשף או מסירת שם המשתמש והסיסמא לעובד אחר במהלך עבודתו. הסיסמא צריכה להיות בעלת 8 תווים, עדיפות לסיסמא מורכבת מאותיות גדולות וקטנות ומספרים וכן יש להחליפה מיידי 90 יום.
- עזיבת עמדת העבודה – נקודה נוספת חשובה היא כאשר עובד עוזב את עמדתו לכמה רגעים או בתום יום עבודה. חשוב להקפיד לבצע יציאה מסודרת מכל מערכות המחשוב או לנעול זמנית את המחשב. כמו כן, נוהל חשוב לא פחות הוא הקפדה על קיום מדיניות שולחן נקי הכולל ניקוי שולחן עבודה מכל ניירת או מדיה בסיווג חסוי כולל גריסת כל נייר השייך לארגון שאין בו עוד צורך ובפרט מידע חסוי.
- שימוש באינטרנט – יש להקפיד לא להעביר מידע חסוי באמצעות היישומים השונים באינטרנט, רק על פי הנחיות הממונה לאבטחת מידע בחברה. כולל הורדת קבצים באינטרנט, מסירת פרטים אישיים, מסירת כתובת האימייל של מקום העבודה בעת רישום לאתרי אינטרנט וכו'.
- שימוש בציוד הארגון – תלוי אופי הארגון, יחד עם זאת כל ביצוע פעולות החורגות ממסגרת התפקיד השוטף חושפת את הארגון לפגיעות אבטחת מידע ולכן כל שימוש פרטי במחשב, הכנסת גורם חיצוני למחשבי החברה כמו דיסק און קי, דיסק חיצוני, חיבור טלפון סלולרי למחשב, הורדת תוכנות כגון אנטי וירוס ושינוי הגדרות המחשב עלולה לגרום לפריצת אבטחת משמעותית. ההמלצה היא התקנת תוכנות הגנה והצפנת מידע על ידי מחלקת אבטחת מידע.
נקודה נוספת היא שימוש במדפסות/ פקס במקומות עבודה – יש להקפיד לאסוף את החומר המסווג מיד לאחר שליחתו להדפסה על מנת לוודא כי החומר המודפס לא יילקח על ידי גורם לא מורשה. בהעברת פקס יש להפעיל שיקול דעת תוך התייחסות לסיכונים הכרוכים בכך.
- שימוש בדואר אלקטרוני – השימוש בדואר אלקטרוני של עבודה צריך להיות במהותו לצרכי עבודה בלבד ולא למטרות אישיות ופרטיות, כולל איסור על שליחת מיילים בעלי תוכן פוגעני ופתיחת מיילים או קבצים אשר מקורם לא ידוע. רצוי להקפיד לוודא לפני כל משלוח מייל את רשימת המכותבים הרלוונטים למידע הכתוב.
- דיווח על אירועי אבטחת מידע – במידה ועובד מזהה אירוע או בעיית אבטחת מידע הוא צריך לדווח באופן מיידי לממונה אבטחת מידע בחברה. לדוגמא: עבירות אבטחת מידע הנעשות על ידי עובדים אחרים, חשד לפריצות אבטחת מידע במערכות המחשב השונות או המחשב האישי, חשד כלשהו כי המידע האגור במערכת נפגע, נמחק, שונה או נחשף, חשד של העובד
- כי נעשה שימוש לא מורשה בזיהוי המשתמש שלו. נקודה נוספת חשובה לא פחות הינה אבטחה פיזית – הקפדה כי גורמים שאינם מורשים או אינם מוכרים לא יכנסו אל שטחי החברה. כמו כן, הקפדה על נעילת דלתות המשרד.
אנא דרגו את המידע
Related posts:
- זליגת נתונים בעסק? נעים מאוד, DLP זליגת נתונים בעסק? נעים מאוד, DLP - Data Leak Prevention...
- אבטחת מידע, גם לעסקים קטנים עולם העסקים השתנה ללא היכר בשנים האחרונות, והמידע הפך להיות...
- מה זה GDRP ואיך אוכפים את זה? GDPR - General Data Protection Regulation היא אוסף של הוראות...
- עשרת הכללים לאבטח"מ אצל עובדים הגורם האנושי: עשרת הכללים לאבטחת מידע אצל עובדים הגורם האנושי...
- 11 טיפים, שכדאי לכל עסק וארגון לאמץ צ'ק ליסט בתחום אבטח"מ שעל כל עסק וארגון לאמץ 11...
- FortiClient Fabric FortiClient Fabric הוא פתרון אבטחת Endpoints מקיף ומתקדם מבית Fortinet,...
- מה זה שירותי MDR: הכל מה שצריך לדעת לפני שמחליטים בעולם התוסס והמתפתח של אבטחת מידע, שירותי MDR (Managed Detection...
- חשיבות מנהל אבטחת מידע (CISO) בארגונים קטנים ובינוניים בעידן בו פרטיות המידע ואבטחת מידע בארגון נדרשות לעמוד בפני...
- המדריך האולטימטיבי: איך לבחור חברת IT שתשדרג את העסק שלכם בחירת חברת IT היא הרבה יותר מסתם החלטה טכנית...
- אבטחת מידע לעסקים – למה זה חשוב ואיך לעשות את זה נכון? האתגרים הטכנולוגיים והאיומים של העשור הנוכחי מציבים בפני ארגונים מציאות...