כל עוד כל העובדים או לפחות רובם, עבדו במשרד, לא היתה בעיית אבטחת מידע חמורה במיוחד, שכן כל המחשבים הנייחים והניידים, היו ברשת המאובטחת היטב של הארגון.
ברגע שהעובדים החלו לעבוד מהבית, בין אם על המחשבים הביתיים הפרטיים שלהם או על מחשבים שניתנו לעובדים על ידי הארגון, נוצר פתח לא קטן שדרכו יכולים לעבור פורצים פוטנציאליים.
מערכת אבטחת סייבר, כמו מערכת אבטחה ביתית פיזית (ולמעשה כמו כל מנעול של דלת כניסה לבית) לא יכולה למנוע מהפורצים לפרוץ, אם לא מפעילים אותה ולא עובדים דרכה.
המשמעות היא, שנושא אבטחת הסייבר הארגוני הוא כבר לא באחריותם הבלעדית של אנשי ה-IT של הארגון, אלא כל עובד אחראי על אבטחת המידע של מערכות הארגון מהזווית האישית שלו.
אין זה אומר שהעובד צריך להתקין מערכות אבטחת מידע בעצמו ולדעת להפעיל אותן. אבל זה בפירוש אומר שלכל עובד צריכה להיות מודעות לצורך בשמירה על אבטחת המידע ובעבודה מול הארגון אך ורק דרך אמצעי האבטחה.
וכאן נכנסים לתמונה מנהלי משאבי האנוש. על כל מנהל משאבי אנוש להוסיף לתרבות הארגונית נדבך חדש יחסית: המודעות והמוטיבציה לעבוד רק דרך מערכות אבטחת המידע ולא לבטל אותן, גם כאשר הן לא מאפשרות לאימיילים מסויימים להגיע, וגם כאשר הן מערכות את מהירות העבודה.
המשמעות היא שאבטחת הסייבר היא באחריות של כולם. על מנהלי משאבי האנוש לתזכר את העובדים לגבי שיטות העבודה המומלצות הפשוטות הללו לבטיחות מקוונת. זה הדבר העיקרי שימנע מהארגון להפוך לקורבן של מתקפת סייבר.
להלן 3 טיפים בסיסיים לשמירה על אבטחת המידע של הארגון:
1 לנעול את המחשבים כאשר לא עובדים איתם:
יש ארגונים שיש להם משרדים בכמה מקומות, ובנוסף יש עובדים שעובדים מהבית. לא משנה היכן ממוקם המשרד במשך היום, כל המחשבים והטלפונים הניידים בעלי הגישה לרשת הארגונית צריכים להיות מאובטחים בקפידה.
יש לוודא שהעובדים יודעים לשמור תמיד על מכשירים ניידים כגון מחשבים ניידים וטלפונים סלולריים נעולים עם קוד גישה מאובטח (ססמה לכניסה למחשב או לטלפון הנייד).
לחלק מהמכשירים יש סורקים ביומטריים, בעוד שאחרים משתמשים ב-PIN או בקוד מטריצה לאימות. אם העובדים משתמשים בסיסמת טקסט, יש לוודא שהיא ייחודית לכל חשבון.
2 תמיד יש להעדיף אימות דו שלבי על אימות חד שלבי:
עבור יישומים וחשבונות קריטיים, יש לדרוש מהעובדים להשתמש באימות שהוא שילוב של כמה גורמים. לדוגמה, שילוב של סיסמה שהעובד יצר, או תג מזהה, לבין טביעת אצבע.
אימות כזה יוצר שכבת הגנה חשובה מעבר לסיסמה הפשוטה. זה מקטין את הסיכון ליפול קורבן לפרוצה משום שזה מאלץ את הפורצים להשיג גישה לא רק לסיסמת החשבון, אלא גם לשיטת האבטחה הנוספת. לכן, על מנהל משאבי האנוש לוודא שדרישות אלו מועברות לכל עובד שיש לו גישה לרשת הארגונית ובפרט לנתונים רגישים.
3 רשת אישית וירטואלית – VPN – מעבר מאובטח של נתונים:
ארגון שמנהל עסקים מחוץ לרשת המשרדית, חייב להבטיח את בטיחותו. אין להשתמש ב-Wi-Fi בלי להשתמש ב-VPN (רשת אישית וירטואלית).
ה- VPN פועל כמנהרה מאובטחת (או שרוול מאובטח) דרך האינטרנט, ומצפין את תעבורת התקשורת. ברגע שעובדים משתמשים ב-VPN הם יכולים לגשת לרשת הארגונית תוך הסתמכות על בקרות ההגנה שמנוהלות על ידי אנשי ה-IT שבמשרדי הארגון.
הדרישה מהעובדים להשתמש ב-VPN במחשב שהם משתמשים בו לצרכי עבודה היא חיונית. שימוש ברשתות Wi-Fi ציבוריות עלול לחשוף את החשבונות והנתונים של הארגון לגורמים זדוניים או לתשתית שנפגעה.