מתקפות הסייבר נמצאות במגמת עלייה - אבל אם נהיה כנים, ההצהרה הזו נכונה כבר די הרבה זמן, לאור האצה של תקריות הסייבר במהלך השנים האחרונות. לאחרונה מחקרים מצביעים על כך שארגונים חוו 50% יותר ניסיונות תקיפה בשבוע על רשתות ארגוניות ב-2021 מאשר ב-2020, וטקטיקות כמו פישינג הופכות להיות פופולרי יותר ויותר כאשר התוקפים משכללים את השיטות המנוסות והאמיתיות שלהם כדי לפתות בצורה מוצלחת יותר מטרות תמימות.
אין זה מפתיע, אם כן, כי חוסן סייבר היה נושא חם בעולם אבטחת הסייבר. אבל למרות שחוסן סייבר מתייחס באופן נרחב ליכולת של ארגון לצפות, לעמוד ולהתאושש מתקריות אבטחת סייבר, מומחים רבים טועים ביישום המונח ספציפית על טכנולוגיה. ולמרות שזה נכון שכלי זיהוי ותיקון, מערכות גיבוי ומשאבים אחרים ממלאים תפקיד חשוב בחוסן הסייבר, ארגונים שמתמקדים אך ורק בסיכון טכנולוגי מתעלמים ממרכיב חשוב לא פחות: אנשים.
אנשים פגיעים, אבל הם לא חייבים להיות
אנשים נחשבים לעתים קרובות לחוליה החלשה באבטחת סייבר. קל להבין למה. אנשים נופלים להונאות דיוג. הם משתמשים בסיסמאות חלשות ומתעכבים בהתקנת עדכוני אבטחה. הם מגדירים חומרה ותוכנה לא נכון, משאירים נכסי ענן לא מאובטחים ושולחים קבצים חסויים לנמען הלא נכון. יש סיבה שכל כך הרבה טכנולוגיית אבטחת סייבר נעה לעבר אוטומציה: הסרת אנשים מהמשוואה נתפסת כאחת הדרכים הברורות ביותר לשיפור האבטחה. עבור מומחי אבטחה רבים, זה רק הגיון בריא.
אלא - האם זה באמת? זה נכון שאנשים עושים טעויות - זה נקרא "טעות אנושית" מסיבה כלשהי, אחרי הכל - אבל רבים מאלה טעויות מגיעות כאשר עובדים לא נמצאים בעמדה להצליח. פישינג הוא דוגמה מצוינת. רוב האנשים מכירים את המושג דיוג, אך ייתכן שרבים אינם מודעים לטכניקות המרושעות שהתוקפים של היום נוקטים. אם העובדים לא הוכשרו כראוי, ייתכן שהם לא מודעים לכך שהתוקפים מתחזות לאנשים אמיתיים בתוך הארגון, או שהמנכ"ל המבקש מהם לקנות כרטיסי מתנה "לשמחת חברה" כנראה אינו חוקי. ארגונים שרוצים לבנות חוסן סייבר חזק אינם יכולים להעמיד פנים שאנשים לא קיימים. במקום זאת, הם צריכים לתת עדיפות לחוסן של האנשים שלהם בדיוק כמו הגמישות של הטכנולוגיה שלהם.
אימון הארגון לזהות את הסימנים של טקטיקות תקיפה נפוצות, לתרגל היגיינת סיסמא וסייבר טובה יותר, ולדווח על סימנים לפעילות חשודה יכול לעזור להקל על העומס על אנשי ה-IT והאבטחה על ידי מתן מידע טוב יותר בזמן יותר. זה גם נמנע מכמה מהמלכודות שיוצרות ניקוז על הזמן והמשאבים שלהם. על ידי הבטחת זאת אנשים בכל רמה של העסק עמידים יותר, ארגונים של היום יגלו שחוסן הסייבר הכולל שלהם ישתפר משמעותית.
בניית מערכות התמיכה הדרושות
מגיפת ה-COVID-19 - וההאצה הנובעת מכך של הטרנספורמציה הדיגיטלית, אימוץ הענן ועבודה מרחוק - מגבשת בצורה מושלמת את הצורך לתעדף אנשים. צוותי האבטחה נמצאים בסיר לחץ מאז החלה המגיפה, כל הזמן מתבקשים לעשות יותר, לתת מידע על משתנים נוספים, להקים יכולות חדשות. וכמובן, תמיד ישנה פגיעות חדשה שתופסת את עינו של מנכ"ל או מנהיג בכיר אחר ולפתע הופכת בראש סדר העדיפויות. הקבוצות האלה עייפות, ושחיקה היא דאגה אמיתית. הם זקוקים לתמיכה מהארגונים שלהם.
מכיוון שעד כמה שכלי אבטחת סייבר מודרניים הם בעלי ערך, אנשים עדיין מקבלים את ההחלטות החשובות ביותר - מה שאומר מתן עדיפות לחוסן של אותם אנשים הוא קריטי. עובדים עייפים ועובדים יתר על המידה, שאינם חשים מוערכים כראוי על ידי המעסיקים שלהם, נוטים יותר לטעויות או לחוסר שיפוט. חשוב לקיים דיאלוג פתוח עם אנשי IT ואבטחה כדי להבין את הצרכים שלהם. עובדים שמוצאים את עצמם עובדים 12 שעות ימים שוב ושוב, לא רק מועדים לטעויות. הם צפויים לעזוב להזדמנות טובה יותר - כזו שתאפשר להם לשמור על איזון בריא בין עבודה לחיים. ארגונים חייבים להיות מוכנים להעסיק ולהכשיר עובדים חדשים כדי לעזור לשאת חלק מהעומס עבור צוותים שכבר מוטל עליהם לבצע התאמות משמעותיות מול אתגרים מתמשכים.
למידה לזהות סימני שחיקה אצל האנשים שלך, לדבר בפתיחות על שחיקה וכיצד אתה מטפל בה, ועידוד תרבות של רווחה יגרמו לצוות עמיד יותר. אחרי הכל, חוסן הוא החלמה, הן באנשים והן בטכנולוגיה.
לעולם אל תתעלם מחשיבותם של אנשים
יותר מדי ארגונים היום רואים באנשים ניתנים להחלפה, אבל ארגונים שרוצים להישאר איתנים מול נוף האיומים של היום צריכים להכיר בערך של כוח עבודה שמח, בעל מוטיבציה, מאומן היטב ובעל מנוחה. חוסן סייבר זה לא רק בקיומה של הטכנולוגיה הנכונה להתמודדות עם תוקפים מודרניים, אלא בהעצמת אנשים לקבל את ההחלטות הנכונות, ולהבטיח שיש להם את הידע והתמיכה הדרושים להם כדי לקבל אותן. התעלם מחשיבותם של אנשים בסכנה שלך - אפילו עם האוטומציה במגמת עלייה, הם נשארים עמוד השדרה של עסק מצליח.
