הגורם האנושי: 10 הכללים לאבטחת מידע אצל עובדים בעסקים ובארגונים
מאת:
אלי לוין, 10.12.19, 14:43
בשנה האחרונה יש מגמת עלייה בפריצות אבטחת מידע במקומות עבודה הנובעות מגורמים עוינים מחוץ לארגון ולעסק ונגרמות לרוב ע"י הנקודה החלשה ביותר באבטחת הארגון - הגורם האנושי. מהן 10 ההנחיות המומלצות לעובדים בנוגע לאבטחת מידע במקום העבודה?
הגורם האנושי ידוע כאחד הגורמים המשמעותיים לפריצות אבטחת מידע בקרב מקומות עבודה. למרות שארגונים מכשירים עובדים להגנת סייבר יש פער מבחינת המודעות והידע שלהם בתחום. כדי להתייעל באופן משמעותי בתחום נדרש לטפל בהיבט האנושי ע"י יישום פרקטיקה. בשנה האחרונה יש מגמת עלייה בפריצות אבטחת מידע במקומות עבודה הנובעות מגורמים עוינים מחוץ לארגון ולעסק ונגרמות לרוב ע"י הנקודה החלשה ביותר באבטחת הארגון והעסק - הגורם האנושי, בשל האופן היחסי הקל לבצע תקיפות מסוג זה.
10 ההנחיות המומלצות לעובדים בנוגע לאבטחת מידע במקום העבודה:
אחריות אישית - כל עובד בארגון עלול להיחשף במהלך ביצוע תפקידו למידע חסוי הכולל בין היתר: עובדים, לקוחות, מידע עסקי וכו'. על העובד להיות אחראי באופן אישי לאבטחת מידע אליו הוא נחשף במהלך עבודתו השוטפת. מידע זה מחייב אותו להישמר כראוי על פי חוק הגנת הפרטיות ולפי הנחיות החברה.
שמירת סודיות - עובד בארגון / בעסק מחויב לשמור על סודיות המידע והנתונים אליהם הוא נחשף, כולל שמירה על סודיות מול עמיתים לעבודה, שהמידע אינו רלוונטי לעבודתם וכמובן העברת מידע לגורמים חיצוניים.
הוצאת מידע מהעסק/הארגון - ארגונים רבים לא נותנים את הדעת להוצאת חומר חסוי מהארגון / מהעסק. במידה ונדרש להוציא חומר כזה נדרש לקבל אישור מיוחד של הממונה לאבטחת מידע או לחילופין לחתום אותו באמצעות חותמת דיגיטלית, שתעיד על סיווגו של המידע.
התקנת תוכנות - כל תוכנה תותקן על המחשב ע"י מחלקת מערכות מידע בלבד. תפקיד מחלקת מערכות מידע היא לבדוק את ההתקנה, ביצועה ורכישתה. מחשבים לא יאפשרו התקנה של תוכנות אלא לאחר אימות סיסמת מנהל בלבד.
שם משתמש וסיסמא - רבות דובר בנושא. הסיסמא מהווה מפתח גישה למידע הרגיש ביותר ולמערכות המידע ולכן עליה להיות אישית וסודית כולל איסור על שמירת הסיסמא במקום בו היא עלולה להיחשף או מסירת שם המשתמש והסיסמא לעובד אחר במהלך עבודתו. הסיסמא צריכה להיות בעלת 8 תווים, עדיפות לסיסמא מורכבת מאותיות גדולות וקטנות ומספרים וכן יש להחליפה מיידי 90 יום.
עזיבת עמדת העבודה - נקודה נוספת חשובה היא כאשר עובד עוזב את עמדתו לכמה רגעים או בתום יום עבודה. חשוב להקפיד לבצע יציאה מסודרת מכל מערכות המחשוב או לנעול זמנית את המחשב. כ"כ, נוהל חשוב לא פחות הוא הקפדה על קיום מדיניות שולחן נקי הכולל ניקוי שולחן עבודה מכל ניירת או מדיה בסיווג חסוי כולל גריסת כל נייר השייך לארגון / לעסק, שאין בו עוד צורך ובפרט מידע חסוי.
שימוש באינטרנט - יש להקפיד לא להעביר מידע חסוי באמצעות היישומים השונים באינטרנט, רק על פי הנחיות הממונה לאבטחת מידע בחברה. כולל הורדת קבצים באינטרנט, מסירת פרטים אישיים, מסירת כתובת האימייל של מקום העבודה בעת רישום לאתרי אינטרנט וכו'.
שימוש בציוד הארגון / העסק - תלוי אופי הארגון / העסק. יחד עם זאת, כל ביצוע פעולות החורגות ממסגרת התפקיד השוטף חושף את הארגון / העסק לפגיעות אבטחת מידע ולכן כל שימוש פרטי במחשב, הכנסת גורם חיצוני למחשבי החברה כמו דיסק און קי, דיסק חיצוני, חיבור טלפון סלולרי למחשב, הורדת תוכנות כגון אנטי וירוס ושינוי הגדרות המחשב עלולה לגרום לפריצת אבטחת משמעותית. ההמלצה היא התקנת תוכנות הגנה והצפנת מידע ע"י מחלקת אבטחת מידע.נקודה נוספת היא שימוש במדפסות / פקס במקומות עבודה - יש להקפיד לאסוף את החומר המסווג מיד לאחר שליחתו להדפסה כדי לוודא, שהחומר המודפס לא יילקח ע"י גורם לא מורשה. בהעברת פקס יש להפעיל שיקול דעת תוך התייחסות לסיכונים הכרוכים בכך.
שימוש בדואר אלקטרוני - השימוש בדואר אלקטרוני של עבודה צריך להיות במהותו לצרכי עבודה בלבד ולא למטרות אישיות ופרטיות, כולל איסור על שליחת מיילים בעלי תוכן פוגעני ופתיחת מיילים או קבצים, שמקורם לא ידוע. רצוי להקפיד לוודא לפני כל משלוח מייל את רשימת המכותבים הרלוונטים למידע הכתוב.
דיווח על אירועי אבטחת מידע - במידה ועובד מזהה אירוע או בעיית אבטחת מידע הוא צריך לדווח באופן מיידי לממונה אבטחת מידע בחברה. לדוגמא: עבירות אבטחת מידע הנעשות ע"י עובדים אחרים, חשד לפריצות אבטחת מידע במערכות המחשב השונות או המחשב האישי, חשד כלשהו, שהמידע האגור במערכת נפגע, נמחק, שונה או נחשף, חשד של העובד, שנעשה שימוש לא מורשה בזיהוי המשתמש שלו. נקודה נוספת חשובה לא פחות היא אבטחה פיזית – הקפדה, שגורמים, שאינם מורשים או אינם מוכרים, לא יכנסו אל שטחי החברה. כ"כ, הקפדה על נעילת דלתות המשרד
.
מאת:
אלי לוין, דצמבר 2019.
מנכ"ל ומייסד חברת
Elpc Networks