אבטחת מידע אפקטיבית אינה מתמקדת רק ב- IT. אמנם חשוב להגן על נכסי ה- IT מפני פרצות, קישורי Wi-Fi שאינם מאובטחים והוצאה של נתונים ללא הרשאות מתאימות, אבל זה לא הכל. אז כיצד הופכים את הארגון ל- Cyber Strong?
בבסיס של Cyber Strong עומדת עבודה לפי "היגיינת סייבר" טובה. אלה תהליכים שדורשים שיתוף פעולה של הארגון כולו. לשם כך, לא מספיקה טכנולוגיה, אלא גם מעורבות של העובדים – הם חייבים לדעת מדוע ה.תנהגות היגיינית מצדם היא חשובה. וכאן נכנס לתפקיד הטמעה של תרבות ארגונית בעלת חשיבה הגנתית.
בניית תרבות חזקה של אבטחת מידע
הבסיס לבניית תרבות של אבטחה הוא הפעלה של תוכנית מתמשכת רציפה לבניית מודעות לאבטחה. לאחרונה פורסמו ב"האפינגטון פוסט" מספר טיפים שיכולים לשמש ארגונים ביצירת תרבות שכזו. המלצות אלו הן חיוניות לצורך רתימת כח העבודה אל המאמץ לשמור על הגיינת הרשת ומערכות המחשוב.
- הבטח מעורבות של ההנהלה: לתוכנית
מודעות לאבטחה תהיה השפעה מוגבלת בלבד אם היא אינה מקבלת תמיכה מצד ההנהלה. עם
זאת, הנהלה לא יכולה להסתפק רק באישור תוכנית להכשרת עובדים. התמיכה והקידום שלה
צריך להיות אקטיבי, והמנהלים צריכים להשתתף בפעילות ההכשרה לצד העובדים. מעורבות
שכזו תסייע ליצור תחושת של אחדות השורות סביב החשיבות של אבטחה דיגיטלית.
- יצירת מדיניות אבטחה: אבטחה פועלת
בצורה הטובה ביותר כאשר הארגון כותב מדיניות אבטחה ברורה שתכווין את העובדים.
מדיניות שכזו צריכה להצביע בבירור על ההתנהגות המקובלת כדי למנוע בלבול. וכדי
ליצור תרבות אחידה, המדיניות צריכה להגדיר התנהגויות זהות עבור עובדים, מנהלים
וקבלנים, ללא יוצאים מן הכלל.
- הפוך את תוכנית המודעות לאבטחה למעניינת: תרבות של אבטחת מידע לא
תצמח מתוך תוכניות הכשרה משעממות. למרבה המזל, אנשי אבטחה יכולים להגביר את
המעורבות בתוכנית באמצעות קיום סבבי אימון תדירים, אשר משתשמשים בגיימיפיקציה ובפעילות
קבוצתית סביב הלימוד של התנהגויות נקודתיות. ברור כי הכשרות שכאלה צריכות להיות
רלוונטיות לארגון המדובר.
- הצג את אבטחת המידע כגורם חיובי: עובדים, מנהלים וקבלנים הם
כולם בני אדם. הם עושים טעויות, והם לא רוצים להיענש על כך. לכן חשוב שצוותי האבטחה
יציגו את מערכי ההכשרה כמרכיב שתומך בעסקים. באופן דומה, הם צריכים להקל על העובדים
לדווח על בעיות אבטחה, והם תמיד צריכים לשאוף ולהפוך טעויות להזדמנויות למידה, ולא
להעניש כאשר הן מתרחשות.
- תמיכה בעבודה מרחוק: בהינתן התרחבות העבודה בניידים ובענן, ארגונים יעשו לעצמם שירות גרוע אם יוותרו על עובדים מרחוק במסגרת תוכניות ההכשרה. במסגרת המאמצים האלה, צוותי האבטחה צריכים להבטיח שלעובדים מרחוק יש את כל מה שהם צריכים כדי לעבוד באופן מאובטח. כולל VPN לגישה לנכסים ארגוניים.
הגיינה ארגונית לעובדים וצוות אבטחה
ברגע שלארגונים יש תוכנית הכשרה למודעות לאבטחה, הם יכולים להשתמש בה כדי להגדיר ולהפעיל תהליכים נכונים. קווים מנחים אלה צריכים לכלול:
הגדרת מדיניות של סיסמאות חזקות
אחת מהדרכים הנפוצות ביותר באמצעותן שחקנים עוינים משתלטים על חשבונות היא
באמצעות התקפות brute force – ניחוש סיסמאות של משתמשים על ידי ניסיונות חוזרים של שילובים נפוצים.
ברגע שהם חודרים, הגורם העוין יכול למנף חשבונות עסקיים כדי לגנוב מידע רגיש או לבצע
התקפות המשך.
מקצועני האבטחה בארגון יכולים לסייע להדוף איומים כאלה באמצעות קביעת מדיניות של
סיסמאות חזקות, אשר דורשת מכל העובדים ליצור סיסמא ייחודית וחזקה עבור החשבונות
שלהם.
לצורך ניהול אפקטיבי וחכם של סיסמאות עובדים, ניתן להשתמש ב- Secret Server של Thycotic
הטמע אימות רב שלבי
כמובן שסיסמאות אינן יכולות לספק הגנה מלאה על חשבונות עסקיים. תוקפים יכולים להשתמש באתרים זדוניים ובחשבונות פישינג כדי לגרום למשתמשים למסור את הסיסמאות שלהם, ולמעשה את המפתחות לארגון. זו הסיבה שמקצועני אבטחה צריכים לנקוט בצעדים נוספים כדי להגן על חשבונות העובדים.
אחת מהפעולות החשובות ביותר שהמקצוענים יכולים לנקוט בהם כדי להמטיע אימות רב שלבי (MFA). התקן זה מוסיף צעד לתהליך הגישה של עובדים אל נכסים דיגיטליים, באמצעות מזהה ביומטרי או מכשיר פיזי (כגון Yubikey). באמצעות כלי זה, מקצועני אבטחת מידע יכולים למנוע מהחשבונות של העובדים מליפול לידיים בלתי רצויות.
הצפנת מכשירים
בדיוק כפי שההגנות של ארגונים הולכות ומתפתחות, כך גם הטקטיקות והטכניקות של התוקפים ממשיכות לצעוד קדימה. לדוגמא, כותבי קוד זדוני בנו איומים שיכולים ליירט קודים של SMS, שיטה נפוצה לאימות דו שלבי. סוג זה של איומים מייצגים רק שיטה אחת באמצעותה גורמים עוינים יכולים לעקוף הפעולת MFA.
לאור טכניקות שכאלה, מקצועני אבטחה צריכים להפעיל את האבטחה המתאימה שתמנע גישה לנתונים הרגישים במקרה והרשאות הגישה למערכת נפלו בידיים עוינות. באמצעות הצפנה ניתן להפוך את הנתונים שבמערכות ללא שימושיים, גם אם התוקף חצה את מערכות ההגנה. מומלץ להשתמש גם במודולים של אבטחת חומרה (HSM) כדי להגן על מפתחות ההצפנה עצמם ולנהל אותם ביעילות.
רק ההתחלה:
אלה רק השלבים הראשונים כדי להשיג היגיינת סייבר ארגונית וכדי להפוך ל- Cyber Strong. אך הם חיוניים לכל ארגון.