וובינר מודעות לאיומי סייבר

.למה מודעות לאיומי סייבר כל כך חשובה?

לכל עובד/ת יש מחשב ו/או מכשיר סלולרי אשר יכולים לשמש כנקודת כניסה לארגון לפושעי סייבר.

לחיצה קטנה על לינק לא נכון והתוקפים נמצאים בתוך הארגון.
 
כאשר עובדים אינם מודעים לאיומי סייבר הם יכולים ליפול במלכודות יותר בקלות וכמובן לעשות טעויות
שיובילו לאירועי אבטחה.
 
כאשר העובדים מודעים לאיומי סייבר ומגויסים לשמירה על החברה, צוות אבטחת המידע זוכה למכפיל
כוח עצום שמהווה רובד הגנתי בפני עצמו.
 
רצף של למידה מוביל לתרבות המשפיעה על התנהגות העובדים ובכך נוצר ארגון חסין יותר.
 
נשמע חשוב, אבל למה הרבה אנשים תופסים את עניין המודעות כמשהו
מעיק?
צריך לזכור שאבטחת מידע מלווה את כל אשר נעשה בארגון ולמעשה מוסיפה תקורות עבודה לכל
התהליכים.
 
יעדי האבטחה לרוב לא נמצאים בהלימה ליעדים העסקיים ולא תמיד מעניינים את העובדים אשר עסוקים
במטלות.
 
אשר קשורות לתפקידים שלהם בארגון.

לרוב, מודעות היא דבר אשר נכפה על העובדים ואם היא מוגשת בצורה לא מותאמת היא יכולה בקלות
להיחשב כעול ונטל.
 
לפעמים הגישה של צוות האבטחה קשוחה ונוזפת, לבטח זה לא עוזר לקדם את עניין המודעות.
 
 

אז איך משנים את הגישה השלילית למודעות?
 
קודם כל לבוא בטוב (לא עם הפטיש וגם לא עם הגרזן...). הבניית התרבות חייבת להיות תהליך חוויתי
וחיובי.

צוות האבטחה אמור לאפשר, להגן ולייצר סביבת עבודה בטוחה לכל העובדים.

הדיאלוג עם העובדים צריך לשקף את התועלת במודעות לטובת העובדים במקום העבודה ובסביבה
הביתית.

להדגיש לעובדים מה יוצא להם מזה ולמה זה כל כך חשוב.

רצוי להדגיש כי המטרה היא לא לעשות את החיים קשים אלא ההיפך.
 
נוכלי סייבר מנסים לנצל את החולשות האנושיות ולגרום לנו לעשות שגיאות, המטרה של המודעות היא
לצמצם את השגיאות וככל שנתרגל נפספס פחות.

עובדים חשופים לאיומי סייבר בחיים הפרטיים, כך שהעלאת המודעות היא בעצם בונוס ועזרה ולא
ההיפך.
 
 

אוקי, זה קצת באוויר, מה הבסיס לבניית תכנית תרבות מודעות?
בכל הקשור למודעות, רצוי שצוות ההדרכה יאמץ חשיבה שיווקית:
 
  1. הבנה של קהל היעד
    התאמת התכנים, המסרים ודרכי העברה לסוגי עובדים שונים.

    הדרכה למפתחים תהיה שונה מהדרכה לאנשי מכירות.
    הדרכה לקהל מבוגר תהיה שונה מקהל צעיר.
    קהל מגוון צריך מודעות מגוונת.
  2. המסר
    חשוב לדעת מהי המטרה של כל תהליך מודעות ומהו המסר המרכזי שאנחנו רוצים להעביר.
    ככל שנהיה יותר מדויקים במטרות ובמסרים אשר רלבנטיים למטרות שלנו, תהליך המודעות יהיה
    יותר יעיל.

  3. גיוון אמצעי העברה
    גיוון אמצעי העברת המסרים על פי קהל היעד והתרבות הארגונית.
    לחלק מהעובדים משחק יכול להיות אפקטיבי ולאחרים הדרכות פרונטאליות.
    ככל שנעמיק את הפרסונליזציה (התאמה לפרט), תהליך המודעות יהיה יעיל יותר.

נשמע כמו הרבה עבודה, כל כמה זמן צריך לעסוק במודעות?
יצירת תרבות דומה לפיתוח שרירים.

חוויה חיובית לאורך זמן תניב הצלחה.

אם נתאמן פעם בשנה לוודאי לא נגיע לתוצאות.
 
מודעות יעילה הינה רציפה ולא פוסקת ועובדת על פיתוח "שרירים" שמזהים, מגלים ומדווחים על איומי
סייבר.

מצד שני לא צריך להגזים, חשוב שתהיה הלימה לתרבות הארגונית.

לכן, חשוב לגוון ולהתאמן על קבוצות "שרירים" שונה בכל פעם כדי לא לשעמם ולהפוך למטרד.

המינון הנכון מותאם לאופי הארגון, לרמת הסיכון שיש בו ולפערים במודעות בקרב העובדים.
 

אז מה נכון ומה פחות?
חשוב לתאם ציפיות עם קהל היעד ולהבהיר מה מצופה מהעובדים.

לדבר בגובה העיניים ובהתאמה לקהל היעד.

לא להעמיס בהדרכות ארוכות שמוציאות את החשק.

להיות כמה שיותר יצירתיים ולא בנאליים.

אנשים רגילים לצרוך תוכן קצר וקולע, לכוון לתכני הדרכה מונגשים וקלילים ממש כמו פרסומות.

לשלב סיפורים מהחיים שהעובדים יוכלו לזכור וירצו לשתף אם אחרים.

לחבר את נושא איומי הסייבר בארגון לחיי המשפחה. אם נלמד את העובדים איך להגן על הבית שלהם
הם יתרגמו את זה לשמירת אבטחת המידע בארגון.

לגעת בנושאים החשובים לעובדים מחוץ לעבודה כמו קניות, בילויים, חופשות והמשפחה שלהם.

לקבל משוב על התהליך ולבדוק עם העובדים אם הוא עוזר או מעיק.
לעודד דיווח ולא להפחיד או לאיים.

לתגמל עובדים ערניים אשר תורמים לתהליך.

לשתף פעולה עם העובדים ועם ההנהלה.חגוג הצלחות ולמעט בנזיפות ובענישה.

ליצור שגרירים בתוך הארגון.
 

שגרירים?
כן, ללא שיתוף פעולה יהיה קשה מאוד לצוות האבטחה להשריש תרבות.

העובדים בארגון הם המפתח להצלחה.

דרבון עובדים אשר יותר מחוברים לנושא (לא חייבים להיות אנשי אבטחה) וקשירתם לנושא המודעות
יהווה מכפיל כוח רציני.
 
משפיענים אלו יכולים לעזור בהפצה של המסר ולתרום לקידום והשבחת התהליכים בארגון.
 
אפשר לשלב את השגרירים בבניית התכנים ולקבל מהם משוב אמיתי על המתרחש במחלקות השונות.

השגרירים יקבלו הוכרה שהם חלק ממשהו חשוב ובכך יתרמו ליצירת תרבות מודעת.
 

איך מודדים הצלחה?
ישנם כלים טכנולוגיים מדידים כמו סימולציות פישינג ומבדקים און ליין שיכולים לשקף את רמת המודעות.

צוות האבטחה יכול לחוות את השינוי בארגון לפי כמות הדיווחים, כמות הפניות והשילוב בתהליכים.

משוב מהעובדים ישקף את התאמת התוכנית בפועל. חשוב לדבר עם העובדים ולהבין מה הם מרגישים.

תרבות היא משהו שמרגישים וחווים. כאשר תכנית המודעות אפקטיבית ידה של המודעות עובדת כמו
קסם לאט לאט ומדביקה את כל הארגון, אתם פשוט תרגישו את זה...
 

טוב, השתכנענו שזה חשוב, אבל כמה זה עולה?
אין תשובה חד משמעית.

הדבר תלוי בכמות ובאיכות.

זה משחק של כסף וזמן.

ישנם ספקים עם פתרונות טכנולוגיים, מרצים, יועצים, לומדות ועוד.

במקביל אפשר לעשות הרבה דברים לבד כמו להפיק סרטונים קצרים בשיתוף העובדים (הרבה אנשים
מעלים תכנים שיצרו בעצמם למדיה החברתית).

הספקים החיצוניים יעלו כסף אבל יחסכו זמן.

עבודה עצמית תחסוך כסף אבל תדרוש הרבה השקעה וזמן.

התהליך ארוך ויכול להיות גם סיזיפי וכל ארגון צריך לבחור איזו גישה מתאימה לו.

כמובן שאפשר לשלב בין השניים.
 

מה חשוב לזכור?
תרבות אוכלת אסטרטגיה לארוחת בוקר.

תרבות לא נבנית ביום אחד זה תהליך ארוך.
 
חשוב להתחיל ולהתקדם לאורך זמן.
 
ארגון עם תרבות מודעת סייבר חסין יותר.

ליצור מחויבות מההנהלה לתהליך.

לשתף פעולה עם העובדים בכל שלבי התהליך.

להביא בחשבון את קהל היעד, המסר ודרכי העברה הרלבנטיים.

להיות יצירתיים ולגוון.

ליצור חוויה חיוביות ולא להעיק.

להשתדל להנות מזה....