עד מרץ 2020 היה תחום אבטחת המידע בארגון וההגנה על הרשת של הארגון נתון לאחריותה הבלעדית (או הכמעט בלעדית) של מחלקת ה-IT בארגון.
במרץ 2020, עם המעבר המאסיבי לעבודה מהבית, נפתח בפני האקרים ומפתחי תוכנות זדוניות גן עדן של נקודות תורפה קלות לפריצה, בדמות גישה לרשת של הארגון דרך המחשבים הביתיים והטלפונים של העובדים.
המצב הזה הטיל בבת אחת אחריות על מנהלי משאבי האנוש להגביר במידה משמעותית את המודעות ותחושת האחריות האישית של העובדים, לגבי אבטחת המידע של המכשירים בביתם ושל המכשירים הניידים שהם עובדים איתם מכל נקודה שמחוץ לארגון.
מאותו רגע זינקה דרגת החשיבות לכך שכל מנהל משאבי אנוש יבין לעומק את המשמעות של אבטחת סייבר במקום העבודה.
זה כולל ידע מעמיק של מנהלי משאבי האנוש על איך להגן על מידע רגיש של העובדים, ואיך להגן על מידע רגיש של החברה עצמה.
כיום, רוב הארגונים כבר מספקים לעובדים הדרכה כדי להבטיח שהם יבינו את כללי האבטחה ומדיניות אבטחת המידע של החברה.
ובכל זאת, רצוי שיהיה שיתוף פעולה הדוק בין מנהל משאבי האנוש לאנשי ה-IT של החברה, בכל הנוגע לצעדים אדמיניסטרטיביים שיכולים לסייע בהגנה על מכשירי העובדים ועל הרשת שבביתם, מפני מעקב ופריצות.
להלן 4 נקודות מפתח שמנהל משאבי אנוש צריך לדעת על אבטחת סייבר:
1 החשיבות של אבטחת סיסמאות:
יש לעודד את העובדים להשתמש בסיסמאות חזקות וייחודיות ולהחליף אותן באופן קבוע בתדירות גבוהה.
בה בעת, מנהלי משאבי אנוש צריכים לוודא שהעובדים שומרים על חשאיות מוחלטת בכל הקשור לסיסמאות שלהם ולא משתפים אותם עם אף אדם אחר, כולל בני משפחה, כדי שהסיסמאות לא ידלפו בטעות. כל סיסמאות המשמשות לחשבונות החברה חייבות להיות מאובטחות כראוי.
2 הונאות דיוג:
יש לחנך את העובדים כיצד לזהות ולהימנע מהונאות דיוג, שניתן להשתמש בהן כדי לגנוב מידע רגיש או להתקין תוכנות זדוניות במכשיריהם.
מנהלי משאבי אנוש צריכים לקבוע נהלים לדיווח ולתגובה על כל הודעה או פעולה אחרת שחשודים בניסיונות דיוג.
3 אבטחת הרשתות הביתיות של העובדים וכל המכשירים שהעובדים משתמשים בהם לצורך גישה לרשת של הארגון:
יש לגבש תוכנית לשיתוף פעולה בין מנהלי משאבי אנוש לאנשי ה-IT של הארגון, שמאפשרת לוודא שהרשת של החברה, הרשת בבית העובדים מהבית והמכשירים שהעובדים משתמשים בהם לצורך עבודה, כולם מאובטחים כראוי, לרבות באמצעות חומות אש, תוכנות אנטי וירוס, רשתות וירטואליות פרטיות (VPN) וכדומה, ושהעוהדים אכן מפעילים את האמצעים הללו.
4 תוכנית תגובה למצב של פריצה למחשבי העובדים ולרשת של הארגון:
על מנהלי משאבי אנוש להכיר את תוכנית התגובה של אנשי ה-IT לפריצה למחשבי הארגון, למחשבי העובדים ולרשת הארגונית, ולהבין את תפקידם (של מנהלי משאבי האנוש) ביישום התוכנית הזאת במקרה של פרצת אבטחה.
הכרת תוכנית התגובה כוללת מידע לגבי הודעות שיש לשלוח באופן מיידי לעובדים שמושפעים מהפריצה, עבודה עם אנשי ה-IT כדי להעריך את היקף הפריצה ונקיטת צעדים למניעת התקפות עתידיות וכדומה.