הגורם האנושי: עשרת הכללים לאבטחת מידע אצל עובדים

הגורם האנושי ידוע כאחד הגורמים המשמעותיים לפריצות אבטחת מידע בקרב מקומות עבודה. למרות שארגונים מכשירים עובדים להגנת סייבר ישנו פער מבחינת המודעות והידע שלהם בתחום.  על מנת להתייעל באופן משמעותי בתחום נדרש לטפל בפן האנושי על ידי יישום פרקטיקה.
בשנה האחרונה ישנה מגמת עלייה בפריצות אבטחת מידע במקומות עבודה הנובעים מגורמים עויינים מחוץ לארגון ונגרמים לרוב על ידי הנקודה החלשה ביותר באבטחת הארגון – הגורם האנושי בשל האופן היחסי הקל לבצע תקיפות מסוג זה.

מהם עשרת ההנחיות המומלצות לעובדים בנוגע לאבטחת מידע במקום העבודה: 

  1. אחריות אישית – כל עובד בארגון עלול להיחשף במהלך ביצוע תפקידו למידע חסוי הכולל בין היתר: עובדים, לקוחות, מידע עסקי וכו’. על העובד להיות אחראי באופן אישי לאבטחת מידע אליו הוא נחשף במהלך עבודתו השוטפת, המידע אליו נחשף במהלך העבודה השוטפת מחייבת אותו להישמר כראוי על פי חוק הגנת הפרטיות ולפי הנחיות החברה.
  2. שמירת סודיות – עובד בארגון מחויב לשמור על סודיות המידע והנתונים אליהם הוא נחשף, כולל שמירה על סודיות מול עמיתים לעבודה אשר המידע אינו רלוונטי לעבודתם וכמובן העברת מידע לגורמים חיצוניים.
  3. הוצאת מידע מהארגון – ארגונים רבים לא נותנים את הדעת להוצאת חומר חסוי מהארגון. במידה ונדרש להוציא חומר כזה נדרש לקבל אישור מיוחד של הממונה לאבטחת מידע או לחילופין לחתום אותו באמצעות חותמת דיגיטלית אשר תעיד על סיווגו של המידע.
  1. התקנת תוכנות – כל תוכנה תותקן על המחשב על ידי מחלקת מערכות מידע בלבד. תפקיד מחלקת מערכות מידע הינה לבדוק את ההתקנה, ביצועה ורכישתה. מחשבים לא יאפשרו התקנה של תוכנות, אלא לאחר אימות סיסמת מנהל בלבד.
  2. שם משתמש וסיסמא – רבות דובר בנושא, הסיסמא מהווה מפתח גישה למידע הרגיש ביותר ולמערכות המידע ולכן עליה להיות אישית וסודית כולל איסור על שמירת הסיסמא במקום בו היא עלולה להיחשף או מסירת שם המשתמש והסיסמא לעובד אחר במהלך עבודתו. הסיסמא צריכה להיות בעלת 8 תווים, עדיפות לסיסמא מורכבת מאותיות גדולות וקטנות ומספרים וכן יש להחליפה מיידי 90 יום.
  1. עזיבת עמדת העבודה – נקודה נוספת חשובה היא כאשר עובד עוזב את עמדתו לכמה רגעים או בתום יום עבודה. חשוב להקפיד לבצע יציאה מסודרת מכל מערכות המחשוב או לנעול זמנית את המחשב. כמו כן, נוהל חשוב לא פחות הוא הקפדה על קיום מדיניות שולחן נקי הכולל ניקוי שולחן עבודה מכל ניירת או מדיה בסיווג חסוי כולל גריסת כל נייר השייך לארגון שאין בו עוד צורך ובפרט מידע חסוי.
  2. שימוש באינטרנט – יש להקפיד לא להעביר מידע חסוי באמצעות היישומים השונים באינטרנט, רק על פי הנחיות הממונה לאבטחת מידע בחברה. כולל הורדת קבצים באינטרנט, מסירת פרטים אישיים, מסירת כתובת האימייל של מקום העבודה בעת רישום לאתרי אינטרנט וכו’.
  3. שימוש בציוד הארגון – תלוי אופי הארגון, יחד עם זאת כל ביצוע פעולות החורגות ממסגרת התפקיד השוטף חושפת את הארגון לפגיעות אבטחת מידע ולכן כל שימוש פרטי במחשב, הכנסת גורם חיצוני למחשבי החברה כמו דיסק און קי, דיסק חיצוני, חיבור טלפון סלולרי למחשב, הורדת תוכנות כגון אנטי וירוס ושינוי הגדרות המחשב עלולה לגרום לפריצת אבטחת משמעותית. ההמלצה היא התקנת תוכנות הגנה והצפנת מידע על ידי מחלקת אבטחת מידע.

 

נקודה נוספת היא שימוש במדפסות/ פקס במקומות עבודה – יש להקפיד לאסוף את החומר המסווג מיד לאחר שליחתו להדפסה על מנת לוודא כי החומר המודפס לא יילקח על ידי גורם לא מורשה. בהעברת פקס יש להפעיל שיקול דעת תוך התייחסות לסיכונים הכרוכים בכך.

  1. שימוש בדואר אלקטרוני – השימוש בדואר אלקטרוני של עבודה צריך להיות במהותו לצרכי עבודה בלבד ולא למטרות אישיות ופרטיות, כולל איסור על שליחת מיילים בעלי תוכן פוגעני ופתיחת מיילים או קבצים אשר מקורם לא ידוע. רצוי להקפיד לוודא לפני כל משלוח מייל את רשימת המכותבים הרלוונטים למידע הכתוב.
  1. דיווח על אירועי אבטחת מידע – במידה ועובד מזהה אירוע או בעיית אבטחת מידע הוא צריך לדווח באופן מיידי לממונה אבטחת מידע בחברה. לדוגמא: עבירות אבטחת מידע הנעשות על ידי עובדים אחרים, חשד לפריצות אבטחת מידע במערכות המחשב השונות או המחשב האישי, חשד כלשהו כי המידע האגור במערכת נפגע, נמחק, שונה או נחשף, חשד של העובד
  2. כי נעשה שימוש לא מורשה בזיהוי המשתמש שלו. נקודה נוספת חשובה לא פחות הינה אבטחה פיזית – הקפדה כי גורמים שאינם מורשים או אינם מוכרים לא יכנסו אל שטחי החברה. כמו כן, הקפדה על נעילת דלתות המשרד.