בעקבות אירוע - פורום CISOמשקיעים במודעות העובדים? אל תתפלאו שפישינג ממשיך להיות בעיה
כתב: עומר טרן, שותף מייסד ו-CTO ב-CybeReady
ארגונים משקיעים משאבים רבים בתוכניות להעלאת מודעות העובדים לאבטחת מידע רק כדי לגלות שתוכניות מודעות מעלות את מודעות העובדים אך אינן מצמצמות את הסיכון הנשקף מצד העובדים. הסיבות לכך מגוונות ורבות ולהלן ארבע המרכזיות:
● מודעות לסיכון אינה משפיעה על התנהגות. כל מעשן מודע לסיכוני העישון, כמו שכל נהג שחוצה רמזור באדום מודע לסיכוני תאונות הדרכים. לכן העיסוק במודעות חשוב בשביל לייצר שיח ארגוני, אך לא יניע עובדים לפעולה.
● מדדים שגויים. ארגונים שעוסקים במודעות מודדים לרוב את רמת המודעות, כאשר מה שעליהם למדוד הוא את רמת המוכנות בפועל. מדדי מודעות בוחנים עד כמה עובדים יודעים לדבר על פישינג (למשל ציוני לומדה ומבחנים), בעוד שמדדי מוכנות מודדים לרוב את הביצוע בפועל (למשל נפילות בפועל או בתרגולים).
● אנשי אבטחה אינם מומחי הדרכה. הרבה תוצרי הדרכה בעולם אבטחת המידע נשענים על מתודות הדרכה מיושנות (כגון למידה בכיתות והעמסת יתר של תוכן) ומפספסים לקלוע לעולם התוכן של העובד. כתוצאה נוצר רעש ארגוני רב עם אפקטיביות מועטה והמחיר כפול – קיבוע התנהגויות לא רצויות ובמקביל קיבוע מעמד גוף אבטחת המידע כמיושן.
● השקעת משאבים במקומות הלא נכונים. הליכה אחרי העדר גוררת ארגונים להשקעת משאבים במקומות הלא נכונים או לזיהוי שגוי של המשאבים הנדרשים. בין אם זו השקעה כספית בגרפיקה יקרה מדי, השקעת משאבי זמן רבים באיתור סימולציית הפישינג הכי טובה בעולם או הערכת חסר של המשמעויות הפנימיות בבניית תוכנית הדרכה אפקטיבית. השקעת המשאבים הזו לרוב נעשית על חשבון הדברים הבסיסיים יותר, אלו שהאפקטיביות שלהם מוכחת ובת מדידה.
אך לא הכל אבוד. ניתן להשפיע על האופן בו העובדים מתמודדים עם תקיפות פישינג, על ידי התמקדות בשינוי התנהגות, הכנסת אנשי מקצוע לתוך תהליך הפיתוח ומיפוי כל המשאבים הנדרשים, בדגש על המשאבים הסמויים מהעין (זמן עובדים, זמן מומחי אבטחה, זמן פיתוח הדרכה וכדומה).
CybeReady פותרת לארגונים את בעיית הפישינג על ידי צמצום שיטתי של הסיכון הנשקף מצד העובדים.
