רוב המנהלים אומרים שסיכוני IT הם הסיכון האמתי לעסק, אולם מיעוטם משקיע בנושא האבטחה כראוי, אפילו בחדר הישיבות הארגוני. הפעם אתמקד בסיכוני האבטחה בחדרי הישיבות הארגוניים. מניסיוני הרב, זהו מקום שנשכח בדרך כלל בהיבטי האבטחה.
הסיבות העיקריות להקמת מערך אבטחה כללי בארגון הן הסיכונים מבית והסיכונים מחוץ. מטרות האבטחה ובמיוחד אבטחת מידע הן לשפר את ההפרדה בין ביצוע ובין פיקוח, כדי להגביר את ההגנה על הפרופיל של החברה, לשפר את פונקציית אבטחת המידע, ולשנות את הלך הרוח בקרב עובדים ובעלי העניין שהביטחון הוא רק בעיית IT.
רק מחצית מהארגונים מאבטחים ברמה סבירה, מעטים בלבד מאבטחים את חדרי הישיבות, ובאלו אתמקד במאמר זה.
יותר ויותר ארגונים מכירים בכך שהביטחון חייב להיות מנוהל כמו נושא סיכון עסקי, ולא רק כנושא IT מבצעי. גוברת ההבנה כי אתגרי אבטחה מקוונים הם מעבר לתחום המסורתי של IT וגולשים לתחומים כמו טכנולוגיה תפעולית (OT) ואינטרנט של אבטחת דברים. הגברת המודעות להשפעה של סיכונים עסקיים דיגיטליים, בשילוב פרסומים נרחבים בנוגע לתקריות אבטחה מקוונות, נותנים רעיונות גם למבצעי פגעי אבטחה.
היחידות העסקיות מעורבות באופן פעיל בפיתוח המדיניות שתשפיע על עסקי החברות. הדיונים העיקריים מתקיימים בחדרי ישיבות. הליקויים המרכזיים נמצאים בחדרי הישיבות.
בקרה רעועה, אם בכלל, על אמצעי אבטחה, אם יש כאלו בחדרי ישיבות, זו הרעה החולה. היעדר אבטחה אנושית, אבטחה פיזית, אבטחת מידע – הם סוגי הכשל הנפוצים. רוב חדרי הישיבות הינם פתח נפוץ לאיתור מידע זמין. החל מפתקים שנשארו לאחר דיון, תכולתם של פחי האשפה, חומר דיונים שנשכח במקום, תיקים ומעילים שנשכחו ולו גם לזמן קצר וכו' אלו דברים המתרחשים תדיר. שימוש בטלפון סלולארי בחדרי ישיבות פורץ את מחסום הקירות. כל טלפון הופך, או יכול להפוך, למכשיר הקלטה או אף למשדר אל מחוץ לחדר. גם מכשיר דומם במצב בלוטוס, אפילו בטעות, הופך להיות משדר.
זאת וגם זאת. מי ערב לנו שאין מצלמות סתר או מכשירי האזנה מוסלקים בחדר הישיבות? מתי בפעם האחרונה נבדק החדר הזה על-ידי מומחה אמתי, ולא רק על-ידי מכשירן שמביא ציוד בדיקה? מתי בפעם האחרונה נבדק החדר על-ידי מישהו שיש לו את אמת המידה של "הצד השני"? את הניסיון של "הצד השני" וגם את החזון המקצועי האמתי?
ושאלת תם כמעט לסיום – מי בחן מי הם עובדי הניקיון שמנקים חדר זה ומי מפקח עליהם? האם הניקיון מתבצע על-ידי אנשים אמינים?
כל אלו מצביעים על חוסר מעורבות פעילה, ועל חוסר הבנת הבעיה האמתית. אלו הגורמים העיקריים לנקודות מבט שונות המבדילות את תפיסת הסיכון בין צוות האבטחה של מערכות המידע ובין הביטחון הפיזי/עסקי. כתוצאה מכך מתקיימות בקרות מיותרות, בקרות כושלות, ממצאי ביקורת מיותרים, המסתכמים בסופו של דבר בפריון מופחת, בחשיפת מידע ובהפסדים עסקיים שלעתים אפילו אינם מאותרים.
כמה מידע מחדר הישיבות זולג החוצה? כמה טיוטות מידע חשובות ורעיונות עסקיים דולפים או נחשפים להקלטות ולהאזנות, לפעמים אפילו באקראי? מי לא חלף על פני דלת סגורה ושמע מה שלא היה ראוי להישמע? כמה מאיתנו מנהלים שיחה ושוכחים לנתק את הנייד, וממשיכים לדון בנושא. אם הצד השני לא ניתק – הרי ששמע הכול… מי לא היה בסרט הזה?
לכן מן הראוי לקבל עצה ממי שהיה משני צדי המיתרס…
לא מספיק לטפל בפגעי המחשב, דבר חשוב בפני עצמו, צריך לטפל בהיבטי האבטחה הפיזית מכל הסוגים, בכל המקומות, ובמיוחד בחדרי הדיונים והישיבות.
תגובה אחת
מאמר מרתק ומפורט.
מעלה דפוסי התנהגות שללא משים יכולים לפגוע בחברה.
כל סמנכ"ל חייב להפנים וליישם את הכתוב במאמר פוקח עיניים זה.
שאפו על כך, מאיר.