פנומן הפשע – הגורם האנושי בארגונים

ידוע כי מקרים רבים של פגיעה בנכסי הארגון מתרחשת על ידי גורם פנימי ● באחריות הארגון ליצור מנגנוני בקרה וביקורת מתאימים למניעה ולגילוי ואף ולהוביל מהלכי הרתעה ● מוצע שקברניטי הארגונים יבחנו את האפשרות לשלב את מנהלי אבטחת המידע (CISO) גם בסיוע לאנשי משאבי אנוש בעזרת כלים טכנולוגיים אפליקטיביים

01/06/2020 12:11
שלומי אדר, מומחה בינלאומי לפענוח עבירות סייבר. צילום: פרטי

יותר ויותר מקרים מדווחים על עבירות פליליות של עובדים במקום העבודה. זכורה פרשייה, שתוקשרה על ידי  מרבית כלי התקשורת  בישראל, על חשש לגניבה וניסיון מכירה של  תוכנת הדגל של החברה.

גניבה של תוכנה שמכילה מידע רגיש מאוד על מוצרי החברה על ידי עובדים הפכה לתופעה של ממש. חברות משקיעות רבות בטכנולוגיות, שיסייעו להן בהתמודדות עם סוגיית שימוש לרעה במידע שברשותן על מנת להגן על מידע רגיש ולעמוד בתקנים ובדרישות רגולטוריות. ואולם אחת הטעויות הנפוצות בקרב ארגונים רבים היא, שהם אינם מייחסים משקל ראוי לביצוע תהליכי פיקוח ובקרה על בסיס התפיסה של סיכול ומניעה, עוד בטרם ביצוע מעשה גניבת מידע, חומרה, הונאה או מעילה בקרב עובדים באמצעים הדיגיטליים הקיימים כמעט בכל ארגון בחברה המודרנית שבה אנו חיים.

נורות אדומות 

האם אפשר לזהות התנהגויות אישיות של עובדים, אשר מעידות על כוונות או ביצוע של הפרת נורמות מקובלות של הארגון? להלן רשימה חלקית של נורות אדומות שניתן לזהות בקרב עובדים הפוגעים בנכסי הארגון: שינויים פתאומיים בהתנהגות ומצב רוח של כפיפים; עלייה משמעותית ברמת חיים של כפיפים; פערים בלתי מוסברים בסעיפי ההוצאות (במיוחד הוצאות “קטנות”); אי התאמות מלאי על פי רשימות מחשב; התארגנויות של קבוצות עובדים כקנוניות.

מה עליך כמעסיק לבצע כפעולות מניעה על מנת לצמצם פגיעה בארגונך?

  1. מבדקים טרום העסקה של העובדים על מנת לנסות ולנבא היתכנות קרימינלית בעתיד.
  2. בדיקות סמויות מול ספקים אשר באים במגע עם העובדים.
  3. עריכת ביקורות אקראיות על ידי גורם בלתי תלוי על רשימות מלאי, ביצוע ביקורות חשבונאיות, הצלבות מידע מול דיווחי מנהלי מחסנים/רכש, ביקושים וכו'.
  4. ביצוע בדיקות פוליגרף מדגמיות ככלי התרעתי.
  5. בדומה לנעשה בבנקים/מוסדות אחרים – ביצוע פעילות יזומה, שעיקרה קביעת מנגנון קבוע ורנדומלי, המאפשר תחלופה של עובדים בתפקידים רגישים, לעיתים ללא הודעה מוקדמת (כך שאם מתרחש תהליך רמייה/הונאה, סביר להניח שעובד אחר יחשוף זאת בדרך מקרה).
  6. הדרכה/הכשרה בקרב מנהלי המחלקות בחברתה, כדי שיהיו בידיהם הכלים לאבחן מבעוד מועד חריגות אתיות בקרב כפיפיהם ובכך להתריע מבעוד מועד.
  7. הקצאת ערוץ מידע דיסקרטי, שבו ניתן להתלונן בפני מרכז/ת התחום בארגון מבלי להיחשף יתר על המידה בפני העובד.ת עליו.ה התלוננו.
  8. יצירתה של מנגנוני פיקוח, אשר אינם מאפשרים ביצוע פעולה משמעותית במידע על ידי עובד בודד, אלא על ידי ביזור הפעילות כך שתחייב הפעלתם של 3-4 עובדים לצורך השלמת המשימה (כדי למנוע מזימה של איש אחד או שניים ולהקשות על פעולות כאלו).

מומלץ לגייס כלים טכנולוגיים אפליקטיביים

כאשר בוחנים סוגיות אלו תחת עינו של קרימינולוג המתמחה בקיום "פנומן הפשע על ידי הגורם האנושי עוד טרם קביעת חקיקה/רגולציה חיצונית שתחייב את הארגונים לבצע פעולות סיכול ומניעה בקרב כלל העובדים/שותפים/ספקים/נותני שירותים וכו' – מוצע שקברניטי הארגונים יבחנו את האפשרות לשלב את מנהלי אבטחת המידע (CISO) גם בסיוע לאנשי משאבי אנוש בעזרת מעורבות בכל תהליכי הקליטה, המעבר בין תפקידים/העזיבה וכד' בעזרת כלים טכנולוגיים אפליקטיביים, שבמידה רבה נגישים ומצויים ממילא בהישג ידם של מנהלי אבטחת המידע, אך השימוש בהם אינו בהכרח במשקל הראוי  כפי שמתבקש כאשר מטמיעים מתודולוגיה חדשה לאבטחת מידע שגרתית בארגון.

אם לסכם, כל ארגון ראוי שינקוט פעולות שוטפות כדי למזער את הסיכון ולנסות להימנע מתופעות של מעילה, הונאה או זליגת מידע. באחריות הארגון ליצור מנגנוני בקרה וביקורת מתאימים למניעה ולגילוי ואף ולהוביל מהלכים שיפחיתו הרתעתית וטכנולוגית באופן משמעותי את ההיתכנות לפגוע בנכסי הארגון, ובכך להגן טוב יותר על הארגון, על תדמיתו ועל נכסיו הרבים.

 

הכותב הוא קרימינולוג, מומחה בינלאומי למניעת התפשטות פנומן הפשע – פשעי סייבר על ידי הגורם האנושי, בעל ניסיון של 30 שנה בליווי וסיוע לתאגידים וחברות בינלאומיות.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים