האם קיים סיכון בתרבות הפנאי במקומות עבודה?

סגנון העבודה התובעני בתחום ההיי-טק והרצון לשפר את המוטיבציה של העובדים הביאו לפריחתה של תרבות פנאי במקום העבודה. בעוד שבארגונים רבים יום העבודה נמתח הרבה מעבר ל-9 שעות, רבים מתירים לעובדים, במקרים רבים בצדק רב, את האפשרות להתרענן במהלך יום העבודה עם עיסוקי פנאי. ישנם ארגונים המתירים לצאת לקניות בסופרמרקט באמצע היום, אחרים מתירים לצאת לשעה לחדר כושר וישנם כאלו שמאפשרים לשחק במשחקי מחשב, לשוחח בצ'אטים פרטיים, לערוך קניות און-ליין, לחקור אפליקציות אודות טיולים ברחבי העולם ועוד.

בישראל, נלווית לכך תופעה נוספת של זליגת העבודה לשעות השהיה בבית. עובדים רבים לוקחים את המחשב הנייד שלהם הביתה וממשיכים לעבוד גם בבית – ודרך אותו מחשב גם ממשיכים לקיים את חיי הפנאי. אם כן, שעות הפנאי זולגות לעבודה, ואילו העבודה זולגת לשעות הפנאי ושני החלקים הללו של החיים מתערבבים יותר ויותר.

אולי לא חשבתם על זה, אבל בזמן שהעובד שלכם הוריד אפליקציית טיולים חדשה והתחיל לתכנן את החופשה המשפחתית הבאה שלו, נשתלה נוזקה קטנה ובלתי מורגשת במחשב של החברה. הנוזקה הזאת תופעל יום בהיר אחד על ידי פושע סייבר, שישתמש בה על מנת לכרות מידע רגיש או על מנת להשתמש בכוח המחשוב של שרתי החברה למטרותיו הזדוניות. כאשר עובד שלכם הוריד משחק מחשב חדש למחשב הנייד שלו כדי לעשות הפוגה קלה בין משימה למשימה בעבודה, האקר משועמם שחרר מתקפת כופרות רוחבית דרכו למאות אלפי מחשבים ומכשירים ניידים, במטרה לסחוט את המשתמשים התמימים תמורת כופר. לדמיון של ההאקרים אין גבולות והם לא בוחלים בשום אמצעים.

כיצד הארגון יכול להתמודד?

ישנם ארגונים מחמירים מאד שמיישמים מדיניות חסימה מוחלטת לרשת האינטרנט כדי למנוע חדירה של גורמים עוינים. על פי גישה זאת מקצים לעובדים אימייל לצרכי עבודה ומספר אתרים מורשים לגלישה ותו לא. גישה זאת אולי מאד בטוחה, אבל היא מובילה למרמור רב וניתוק מוגזם מהעולם. אם לא מדובר בארגון בטחוני מהמעלה הראשונה, בהחלט אין שום צורך לנקוט בגישה זאת. בל נשכח שישנם ארגונים שעובדיהם זקוקים לגישה נרחבת לרשת ולרשתות החברתיות למטרת עבודתם.
בקצה השני ניצבים ארגונים שלא מגבילים דבר. הרשת פתוחה בפני העובדים ללא כל הגבלה. גישה זאת יכולה ליצור בעיית אבטחה חמורה, כמו שציינתי קודם לכן, פתח להורדת אפליקציות לא בטוחות, רוגלות, נוזקות, כופרות פישינג וכל שאר הרעות והחולות שפושעי הסייבר יכולים להמציא.

הפתרון נמצא כמו תמיד במקום כלשהו באמצע, בין שתי הגישות הקיצוניות הללו. ראשית, חשוב לזכור כי על פי רוב, יישומים ידועים ומובילים יהיו יותר מאובטחים, אם כי גם בהם יכולות להיות פריצות. שנית, הארגון צריך לכתוב וליישם מדיניות נכונה במערכות ההגנה הפרמטריות.

בבסיסו של דבר על הארגון לבצע סגמנטציה נכונה ולהשתית מידור בין אזורים שונים בארגון, רגישים יותר ופחות. באזורים רגישים, הכוללים מידע סודי ורגיש או בעלי תפקידים שנוגעים במידע מסוג זה, על הארגון להנחיל נהלי אבטחת מידע מחמירים, כולל הדרכה ספציפית לאותם בעלי תפקידים או לאותן חטיבות וכמובן ליישם פתרונות אבטחת מידע מתקדמים ומקיפים. בחלקים פחות רגישים בארגון ניתן להתיר פתיחות רבה יותר לרשת האינטרנט ולהתקין פתרונות אבטחת מידע בסיסיים יותר. כלומר, יש לבצע אופטימיזציה של אבטחת המידע ולהגביל את הגישה לרשת על פי רגישות המידע בחלקים השונים של הארגון. אגב, סגמנטציה של אבטחת המידע בארגון לא רק מייצרת סביבת עבודה נעימה ובטוחה לעובדים, אלא בעקיפין גם חוסכת בעלויות.

הכותב הוא סמנכ"ל מכירות ופיתוח עסקי ב-Power Communication, המפיצה את פתרונות Sophos בישראל.