יצא לי לעבוד לא מעט עם מנהלי אבטחת מידע על הדרכות אבטחת מידע. התפיסה הנפוצה בתחום הנה שעל ידי שינוי תודעתי ניתן יהיה לייצר שינוי התנהגותי. אם העובדים רק יבינו את המשמעות של סוגיות אבטחת מידע הם ינקטו בצעדים נכונים יותר וטובים יותר לארגון. נסיוני מראה כי ניתן לשנות התנהגות עובדים, אך זו דווקא אינה תוצאה של שינוי תודעתי. לכל הפחות לא במובן הרווח. במאמר מוסגר אני חייב לציין כי אני לא חסיד של שינויים תודעתיים; תפיסתי היא כי עובדים עושים כל מה שהם צריכים על מנת לעשות את עבודתם בצורה הטובה ביותר כפי שהם מבינים אותה. אבטחת מידע אינה חלק מהעבודה של איש מהעובדים (למעט מנהל אבטחת המידע וצוותו) ולכן אין טעם כלל לנסות לייצר איזו תודעה אבטחתית או אשליה לקיומה של כזו.
חשוב להבין עוד משהו, מאחר ועובדים אינם מבינים אבטחת מידע, שינוי תודעתי לא בהכרח יוביל לשינוי התנהגותי רצוי. עובד עשוי להבין כי וירוסים הם דבר מסוכן ולכן הצעד הבא שלו יהיה להוריד מהאינטרנט אנטי וירוס ולהתקין אותו במשרד כצעד מונע. לחילופין, עובד עשוי להבין כי מידור הוא חשוב ולכן ישמור את כל המידע הרגיש של החברה דווקא בכונן המקומי של המחשב שלו. מה שאני מנסה לומר הוא שניתוח אבטחתי שנראה לנו כה הגיוני אינו הגיוני ואינו תוצאה טבעית. הוא תוצאה של הכשרה מסוימת שחסרה לרוב העובדים ולכן עובדים רבים "בעלי מודעות" עושים תקלות כה רבות. ההגיון שאנו מפעילים שונה מההגיון שהם מפעילים (וזה בסדר גמור, פשוט צריך לקבל זאת כנתון).
אם רוצים להדריך עובדים צריך להתמקד בשינויים התנהגותיים ולא תודעתיים. לשם כך צריך בראש ובראשונה לצמצם למינימום את המשאבים הנדרשים מהעובד על מנת ליצור סביבת עבודה מאובטחת. בהדרכה עצמה צריך לצמצם למינימום אפשרי את כמות התכנים לעובדים ולהתאימם בדיוק לשינויים הנדרשים. אנסה להמחיש באמצעות מספר דוגמאות:
- הדרכות רבות מתמקדות בסכנות מוירוסים. מה בדיוק אתם רוצים מהעובדים? שיידעו לזהות וירוס? על מנת לטפל בוירוסים צריך להשתמש בתוכנה מתאימה ולא לצפות מהעובדים להיות אנשי אבטחה. אם החשש הוא מדיה נתיקה, צריך לחסום במידת הניתן והיכן שלא לספק חלופות ראויות.
- זיהוי אנשים לא מוכרים. ברור לכולנו שגורמים שמסתובבים במשרדים עלולים לגנוב מידע. עובד לא יידע לזהות כאלה גורמים אם לא ניתן בידיו כלים ראויים. כלים ראויים הנם מדיניות ותרבות של תעודות מזהות גלויות. כל הנחיה אחרת תעזור כמו כוסות רוח למת.
- גלישה לאתרים מסוכנים. עובד לא יכול לזהות אתר מסוכן, גם אם ישימו לו אותו מול העיניים. אין טעם בכלל לנסות להדריך בנושא. אם זה מסוכן - אפשר לחסום וזהו.
לעומת זאת, ניתן לספק הרבה מאוד תכנים בהדרכות לעובדים, אך אלו צריכות להיות ישימות ומנוסחות על דרך החיוב (הנחיות עשה, להבדיל מהנחיות אל תעשה). בכלל, כשרוצים לשנות משהו בארגון חשוב לייצר מערכת תהליכית תומכת. הצרה היא שברוב המקרים, כשמנהלי אבטחת מידע אינם מצליחים לייצר תהליכי עבודה תקינים מבחינה אבטחתית (כמו חובת שימוש בתעודות מזהות גלויות), הם מנסים להטיל על העובד לפתור את בעיית האבטחה (הבעיה היא כאמור זיהוי מבקרים). העובד אינו מסוגל לפתור בעיות מסוג זה ולכן אין טעם להטיל עליו משימות אלה. עובד צריך חמישה כללים שישתלבו לו בתהליך העבודה העסקי וישפרו את רמת האבטחה. זה הכל. אם אתם לא מסוגלים לצמצם את ההנחיות למשהו בנוסח זה, יש לכם בעיית תהליכים, נהלים וטכנולוגיה בארגון. תסדרו אותם לפני שאתם באים לעובד בדרישות.
בבלוג זה
בכל הבלוגים
