המדריך לשדרוגי אבטחה לכוח העבודה ההיברידי
בעולם שלאחר הקורונה, המעבר לכוח עבודה היברידי רלוונטי מאי פעם. מנהיגים בתחום האבטחה נדרשים ליצור תוכנית אימונים המותאמת למשתנה האנושי ומתמקדת בתרחישים עתידיים ממשיים
ישראל דיפנס
| 04/05/2021
קרדיט תמונה: זום
בעידן הפוסט-קורונה, כאשר דנים בחזרה למשרד ועובדים עדיין חושקים בגמישות בבחירת מיקום העבודה, מנהלים בכל מקום צריכים לבדוק מה המשמעות של הקמת כוח עבודה היברידי מוצלח ומאובטח.
הגופים שאחראים בחברות על האבטחה יצטרכו להעריך מחדש את מצב אבטחת הרשת שלהם, לשמור על אסטרטגיית אבטחת הגנה על נתונים בנקודות קצה ולשקול ניהול מכשירים ניידיםMDM) ). גם העומס ברשת התאגידית יכול להפוך לנושא גדול עבור חברות שיש בהן עובדים רבים החוזרים למשרד, בנוסף לכוח עבודה גדול שעובד מרחוק.
חברות עם עובדים מרוחקים רבים יצטרכו יותר מאשר בעבר לתמוך גם בנקודות הקצה. ההגנה על הנתונים בנקודות הקצה הללו תהיה קריטית. תוכניות כמו BYOD (Bring Your Own Device) יציעו לאותם עובדים גישה מאובטחת לכלים הדרושים להם בכדי להישאר פרודוקטיביים.
אבל, האחריות אינה רק בידי הארגון, המעסיק. כדי לשמור על המידע הארגוני בידיים בטוחות, כמו גם על המערכות המחשוביות שמשמשות את העובדים בזמן שאלה נוסעים וחוזרים למשרד ומחוצה לו, ארגונים יצטרכו ליצור אסטרטגיית אבטחה המושרשת בשונות של מושג ״העבודה מכל מקום״, כזו שתסייע לעובדים להבין את התפקיד שהם משחקים באבטחת המודל החדש הזה.
הערך של הכשרה
מחקר חדש - 2021 X-Force Threat Intelligence Index של IBM, מראה כי 95% מהפרות אבטחת הסייבר נובעות מטעויות אנושיות. המסקנה ברורה: הכשרת עובדים היא לא רק חשובה, היא חיונית להישרדות של כל ארגון. הכשרה יוצרת תחושה חיונית של מודעות לאיומים המורכבים של ימינו ולתפקיד המשתמשים בתוכו. הכשרה אפקטיבית מעודדת תחושת אחריות בכך שהיא מראה שלפעולות המשתמשים יש קשר ישיר למערך האבטחה הכולל של הארגון. הכשרה יוצרת גם תרבות של ביטחון, שבה כל הצדדים מרגישים שהם מושקעים בהגנה הכוללת של הארגון, גם אם הם מנותקים מהמשרד הפיזי.
מתקדמים מעבר ליסודות
כדי להילחם באיומים המורכבים של ימינו, ההכשרה צריכה לקדם את המשתמשים מעבר ל״יסודות של תחום האבטחה״. בעוד העובדים זקוקים ללמידה מתמשכת בנושא איתור איומים ותרגול שיטות עבודה מומלצות להגנת נתונים, מנהלי ה- IT צריכים להתאים גם את התוכניות והתכנים שלהם לצרכים הייחודיים של כוח העבודה ההיברידי.
ההכשרה וההדרכה צריכות להתמקד במספר אלמנטים:
-מערכי לימוד טכנולוגיים: כוח העבודה ההיברידי אינו אפשרי ללא הטכנולוגיה שמאפשרת לבצע את עבודתם מכל מקום. עסקים צריכים לאמץ פתרונות ידידותיים למשתמשים, כאלה שיש להם אמצעי בקרה ושליטה על רכיבי האבטחה המובנים בהם וכאלה המתפקדים בצורה הגיונית לאנשים שמשתמשים בהם מדי יום; הליך ההטמעה מול כל עובד ועובד חייב לבוא יד ביד עם הדרכות ייעודיות והכשרות בשימוש בתוכנה על כל רזיה.
-מודעות לאיומים: מנהלי ה-IT צריכים לבנות תרחישי אימונים המותאמים לשונות של כוח עבודה מבוזר - שיעורים המדברים על איומי ופגיעויות מידע שזורם למשרד ומחוצה לו, תרחישים שמלמדים להתמודד עם סכנות אבטחה הכרוכות בעבודה בחללים ציבוריים, לסוגים של התקפות המכוונות לעובדים בבית ועוד.
כמה מתרחישי התקפה אלה צריכים לכלול, לדוגמה: פריצות לדוא"ל עסקי, פישינג, התקפות סיסמאות Brute force וכד׳. בסופו של דבר יש להכין הדרכה שתרגיש חווייתית ולא כמו עוד ״משימת חובה רבעונית״ שעובדים מרגישים מחויבים לבצע.
אצלנו בזום, לדוגמא, אנו מציידים את העובדים במעין צ'קליסט בשם "שיטות מומלצות לאבטחת העבודה מהבית" ועורכים אימונים שוטפים בנושאי אבטחה אישית. בחודשים האחרונים אך הרחבנו את מאמצינו גם לכיוון ״הכשרה מצבית״, כלומר להכין את העובדים לשלל סיטואציות מהחיים ולמצבים בהם המידע שבידיהם יכול להפגע בשל חולשות אבטחה.
כמו כן, השקנו סימולציות של מצבי פישינג שרצים מדי חודש בחודשו ואנו דואגים למערכי חינוך ולימוד (כולל מעקב שהכל אכן מתבצע) כדי שהעובדים יתאמנו בזיהוי ודיווח על הודעות פישינג בדוא"ל בסביבה בטוחה, כשאנו הופכים למעשה את איום הפישינג למציאות מוחשית.
שילוב חוזקות ההכשרה והטכנולוגיה
המשתנה האנושי של כוח העבודה ההיברידי יכול להיות האיום הגדול ביותר של כל ארגון, או היתרון התחרותי החזק ביותר שלו. ההצלחה בנוף המורכב של ימינו תקבע על ידי האופן שבו מנהלים את האסטרטגיה סביב אותו ׳משתנה אנושי׳ בעייתי.
ככל שמשפרים את כישורי כוח העבודה ההיברידי ותגבור האבטחה שלו, סביר גם שצריך יהיה לאמץ פלטפורמת תקשורת אינטואיטיבית שתוכל לעמוד בקצב. כזו שמתוכננת לשיתוף פעולה חלק ומאובטח, כזו שתתחבר בצורה יעילה כך כל עובד ועובדת יוכלו לעשות יותר, לא משנה היכן הם נמצאים וכשהם יודעים שהמידע החיוני שהם מתכוונים לשתף בפלטפורמה אכן מאובטח דיו.
כך לדוגמה, במיוחד עבור פגישות זום, יצרנו תכונת הצפנה מקצה לקצה (E2EE), שכאשר היא מופעלת, היא משתמשת באותה הצפנת AES GCM של 256 סיביות התומכת בפגישות זום סטנדרטיות - אך מפתחות ההצפנה ידועים רק למכשירים של משתתפי הפגישה...
נראה שעם שילוב נכון של הכשרה וטכנולוגיה התומכים בכוח העבודה, היברידיות אינה עוד מושג חדשני, אלא מציאות בת קיימא שיכולה לתמוך בגמישות, יעילות וביטחון גדולים יותר עבור כל ארגון.
נכתב על ידי גרי סורנטינו, משנה גלובלי ל-CIO, חברת זום
בעולם שלאחר הקורונה, המעבר לכוח עבודה היברידי רלוונטי מאי פעם. מנהיגים בתחום האבטחה נדרשים ליצור תוכנית אימונים המותאמת למשתנה האנושי ומתמקדת בתרחישים עתידיים ממשיים
קרדיט תמונה: זום
בעידן הפוסט-קורונה, כאשר דנים בחזרה למשרד ועובדים עדיין חושקים בגמישות בבחירת מיקום העבודה, מנהלים בכל מקום צריכים לבדוק מה המשמעות של הקמת כוח עבודה היברידי מוצלח ומאובטח.
הגופים שאחראים בחברות על האבטחה יצטרכו להעריך מחדש את מצב אבטחת הרשת שלהם, לשמור על אסטרטגיית אבטחת הגנה על נתונים בנקודות קצה ולשקול ניהול מכשירים ניידיםMDM) ). גם העומס ברשת התאגידית יכול להפוך לנושא גדול עבור חברות שיש בהן עובדים רבים החוזרים למשרד, בנוסף לכוח עבודה גדול שעובד מרחוק.
חברות עם עובדים מרוחקים רבים יצטרכו יותר מאשר בעבר לתמוך גם בנקודות הקצה. ההגנה על הנתונים בנקודות הקצה הללו תהיה קריטית. תוכניות כמו BYOD (Bring Your Own Device) יציעו לאותם עובדים גישה מאובטחת לכלים הדרושים להם בכדי להישאר פרודוקטיביים.
אבל, האחריות אינה רק בידי הארגון, המעסיק. כדי לשמור על המידע הארגוני בידיים בטוחות, כמו גם על המערכות המחשוביות שמשמשות את העובדים בזמן שאלה נוסעים וחוזרים למשרד ומחוצה לו, ארגונים יצטרכו ליצור אסטרטגיית אבטחה המושרשת בשונות של מושג ״העבודה מכל מקום״, כזו שתסייע לעובדים להבין את התפקיד שהם משחקים באבטחת המודל החדש הזה.
הערך של הכשרה
מחקר חדש - 2021 X-Force Threat Intelligence Index של IBM, מראה כי 95% מהפרות אבטחת הסייבר נובעות מטעויות אנושיות. המסקנה ברורה: הכשרת עובדים היא לא רק חשובה, היא חיונית להישרדות של כל ארגון. הכשרה יוצרת תחושה חיונית של מודעות לאיומים המורכבים של ימינו ולתפקיד המשתמשים בתוכו. הכשרה אפקטיבית מעודדת תחושת אחריות בכך שהיא מראה שלפעולות המשתמשים יש קשר ישיר למערך האבטחה הכולל של הארגון. הכשרה יוצרת גם תרבות של ביטחון, שבה כל הצדדים מרגישים שהם מושקעים בהגנה הכוללת של הארגון, גם אם הם מנותקים מהמשרד הפיזי.
מתקדמים מעבר ליסודות
כדי להילחם באיומים המורכבים של ימינו, ההכשרה צריכה לקדם את המשתמשים מעבר ל״יסודות של תחום האבטחה״. בעוד העובדים זקוקים ללמידה מתמשכת בנושא איתור איומים ותרגול שיטות עבודה מומלצות להגנת נתונים, מנהלי ה- IT צריכים להתאים גם את התוכניות והתכנים שלהם לצרכים הייחודיים של כוח העבודה ההיברידי.
ההכשרה וההדרכה צריכות להתמקד במספר אלמנטים:
-מערכי לימוד טכנולוגיים: כוח העבודה ההיברידי אינו אפשרי ללא הטכנולוגיה שמאפשרת לבצע את עבודתם מכל מקום. עסקים צריכים לאמץ פתרונות ידידותיים למשתמשים, כאלה שיש להם אמצעי בקרה ושליטה על רכיבי האבטחה המובנים בהם וכאלה המתפקדים בצורה הגיונית לאנשים שמשתמשים בהם מדי יום; הליך ההטמעה מול כל עובד ועובד חייב לבוא יד ביד עם הדרכות ייעודיות והכשרות בשימוש בתוכנה על כל רזיה.
-מודעות לאיומים: מנהלי ה-IT צריכים לבנות תרחישי אימונים המותאמים לשונות של כוח עבודה מבוזר - שיעורים המדברים על איומי ופגיעויות מידע שזורם למשרד ומחוצה לו, תרחישים שמלמדים להתמודד עם סכנות אבטחה הכרוכות בעבודה בחללים ציבוריים, לסוגים של התקפות המכוונות לעובדים בבית ועוד.
כמה מתרחישי התקפה אלה צריכים לכלול, לדוגמה: פריצות לדוא"ל עסקי, פישינג, התקפות סיסמאות Brute force וכד׳. בסופו של דבר יש להכין הדרכה שתרגיש חווייתית ולא כמו עוד ״משימת חובה רבעונית״ שעובדים מרגישים מחויבים לבצע.
אצלנו בזום, לדוגמא, אנו מציידים את העובדים במעין צ'קליסט בשם "שיטות מומלצות לאבטחת העבודה מהבית" ועורכים אימונים שוטפים בנושאי אבטחה אישית. בחודשים האחרונים אך הרחבנו את מאמצינו גם לכיוון ״הכשרה מצבית״, כלומר להכין את העובדים לשלל סיטואציות מהחיים ולמצבים בהם המידע שבידיהם יכול להפגע בשל חולשות אבטחה.
כמו כן, השקנו סימולציות של מצבי פישינג שרצים מדי חודש בחודשו ואנו דואגים למערכי חינוך ולימוד (כולל מעקב שהכל אכן מתבצע) כדי שהעובדים יתאמנו בזיהוי ודיווח על הודעות פישינג בדוא"ל בסביבה בטוחה, כשאנו הופכים למעשה את איום הפישינג למציאות מוחשית.
שילוב חוזקות ההכשרה והטכנולוגיה
המשתנה האנושי של כוח העבודה ההיברידי יכול להיות האיום הגדול ביותר של כל ארגון, או היתרון התחרותי החזק ביותר שלו. ההצלחה בנוף המורכב של ימינו תקבע על ידי האופן שבו מנהלים את האסטרטגיה סביב אותו ׳משתנה אנושי׳ בעייתי.
ככל שמשפרים את כישורי כוח העבודה ההיברידי ותגבור האבטחה שלו, סביר גם שצריך יהיה לאמץ פלטפורמת תקשורת אינטואיטיבית שתוכל לעמוד בקצב. כזו שמתוכננת לשיתוף פעולה חלק ומאובטח, כזו שתתחבר בצורה יעילה כך כל עובד ועובדת יוכלו לעשות יותר, לא משנה היכן הם נמצאים וכשהם יודעים שהמידע החיוני שהם מתכוונים לשתף בפלטפורמה אכן מאובטח דיו.
כך לדוגמה, במיוחד עבור פגישות זום, יצרנו תכונת הצפנה מקצה לקצה (E2EE), שכאשר היא מופעלת, היא משתמשת באותה הצפנת AES GCM של 256 סיביות התומכת בפגישות זום סטנדרטיות - אך מפתחות ההצפנה ידועים רק למכשירים של משתתפי הפגישה...
נראה שעם שילוב נכון של הכשרה וטכנולוגיה התומכים בכוח העבודה, היברידיות אינה עוד מושג חדשני, אלא מציאות בת קיימא שיכולה לתמוך בגמישות, יעילות וביטחון גדולים יותר עבור כל ארגון.
נכתב על ידי גרי סורנטינו, משנה גלובלי ל-CIO, חברת זום
