• ליאה צור

האיום הפנימי בארגון


הערב הקשבתי (בקשב רב..) לוובינר בינלאומי בנושא האיום הפנימי. זהו נושא שאני עוסקת בו כבר כמעט 18 שנים מזוויות שונות ורציתי לראות "מה חדש בעולם". "החדשות המרעישות" הם שאין שום דבר חדש שאנו כאן בישראל לא יודעים או לא מכירים... כולם מתמודדים עם אותן הבעיות, אותם האתגרים אם זה בהיבט הרגולציה והחוק ואם זה בהיבט תרבות ארגונית, מאבקים פוליטים וכו'.. למרות שחברי הפאנל המכובדים סיפרו תובנות ואמרו משפטים שאני משתמשת בהם בהרצאות שלי.. החלטתי לסכם לכם, בעברית, את עשרת הדיברות לניהול האיום הפנימי כפי שעלה בובינר: 1. הנדסה חברתית אינה רק סיסמה! מדובר בטקטיקה מעשית וידועה בה משתמשים תוקפים (ואגב השתמשו תמיד בעבר גם לפני עידן הסייבר). ארגוני פשע מאתרים את העובדים (וככל שהארגון יותר גדול כך קל יותר למצוא), מוצאים עליהם באינטרנט וברשתות החברתיות כל מיני "סודות" ורפש, ופשוט סוחטים אותם. 2. מודיעין עסקי הוא דבר שקרה, קורה ויקרה ולא רק בסרטים... ארגוני פשע שולחים את אנשי הצוות שלהם לעבוד בארגונים אותם הם מתכוונים לתקוף. מה יותר פשוט מזה? גישה נקייה וחלקה ללקוחות הארגון, מערכות, סיסמאות, הרשאות ואפילו מקבלים על זה כסף...חבר קרוב שלי היה אומר על זה "דבש". 3. ארגונים תחליפו את התקליט הישן ותתקדמו! מספיק להפריד הפרדה מלאכותית ולא נכונה בין תחום ה"מעילות" לבין "אבטחת מידע והגנת הסייבר", הפרדה אשר ברוב אם לא בכל המקרים נובעת מסיבות "היסטוריות" במקרה הטוב ומלחמות פוליטיות ארגוניות במקרה הרע. היום אנחנו מבינים שכל (או רוב) ההתקפות (לפחות המשמעותיות שבהן) מתבצעות באמצעות סיוע (בתום לב או בכוונה תחילה) של גורם פנימי! כל פעולה חשודה יכולה להיות מעילה באותה מידה שיכולה להיות אינדיקציה לתקיפת סייבר. ההפרדה המלאכותית הזו יכולה לעלות מחיר מאוד יקר לארגון. כאן דרוש אומץ ניהולי ומנהיגות של מקבל/ת ההחלטה בארגון. 4. אז מה עושים? מודעות מודעות ושוב מודעות! הדרכות והרבה. שינויים בהתנהגות, אורח החיים וכו' ובכלל זיהוי "אורות אדומים" יכולים לנטרל ולמנוע התקפה. בכל המקרים אנו שומעים בדיעבד כי "היה חשד", בואו נהפוך את החשד בדיעבד למניעה בזמן אמת. 5. ואי אפשר בלי להזכיר את הקורונה... כן, העבודה בבית מעלה פלאים את האיום הפנימי, העובד לא רואה את הקולגות והמנהל, הוא לא רואה את השומרים הוא מרגיש שהוא חופשי לעשות מה שהוא רוצה ומצד שני, הקולגות/מנהל/עובדים לא רואים אותו במסדרון/קפטריה/חדר ישיבות ו"קוראים" את השפת שלו או רואים התנהגות חשודה. המבט אחר העובד מצטמצם משמעותית בעבודה מהבית. 6. כפיפות ארגונית - למי כפוף האחראי על התחום? אגב בחו"ל (הנה משהו חדש...) יש תפקיד כזה הוא נקרא Insider Threat Manager. כמו בישראל, כך גם בחו"ל אין מקום אחד שבו מקובל לשים את הפונקציה. המנהל יכול להיות תחת חטיבת הייעוץ המשפטי, סמנכ"ל הכספים, חטיבת הטכנולוגיות, CISO ( (Chief Information Security Officer או במקרה הטוב כשיש אחד כזה תחת ה-CRO (Chief Risk Officer), אבל כולם הסכימו על דבר אחד: הכי גרוע לשים את זה תחת הHR (Human Resource). 7. לתרבות ארגונית יש משקל ענקי בהתמודדות עם האויב הפנימי והתרבויות כל כך שונות בין הסקטורים העסקיים (הייטק מול פארמה), מדינה וכו'. יש להכין תוכנית הטמעה תרבות שהינה Tailor made. 8. דנו רבות בנושא עד כמה אפשר לעקוב אחר העובדים? אם יש חשד אפשר לצפות במצלמה? האם צריך להיות שקופים עם העובדים ולספר להם על האמצעים וגם כיצד ומתי משתמשים בהם? ובכן כאן הדעות חלוקות וצריך לזכור שהחוקים במדינות שונות מאוד שונים בנושאים הללו. בגדול רובם כן בעד לספר לעובדים ואוסיף את ה-2 סנט שלי שעצם הידיעה יכולה למנוע מעשה שגוי/פשע מלכתחילה או לעצור מישהו שכבר מבצע מזה זמן. כלומר אפקט ההרתעה. 9. רגישות רבותיי רגישות!! ארגונים בעבר התרחקו מניהול סיכון מעילות/האיום הפנימי כמו מאש (!), היה להם חשוב להראות שהם סומכים על העובדים ולא חושדים בהם וכל "ההתעסקות" בפרטיות העובד ו/או ריגול אחריו נחווה בעיניהם כחצייה של קו אדום. לעומת זאת, בכל הנוגע לבדיקת ספקים או עובדי הספקים, שם הם הרגישו בנוח. בשנים האחרונות בעקבות שינויים ברגולציה ובמציאות חיינו, כולם מבינים כי אין מנוס מ"ללכלך את הידיים" גם בתחום הזה. ואני אוסיף את ה-2 סנט שלי גם כאן...הכל עניין של מיתוג, שיווק ואופן העברת המסר. בהדרכות שלי אני מסבירה איך כל המנגנון של ניטור ובדיקת עובדים באה לשמור על העובדים. הדבר נכון שבעתיים כאשר אנו מדברים על הסקטור הפיננסי שבהרבה מקרים הינו בבחינת "הפירצה קוראת לגנב", הביזנס הוא כסף.. 10. אסיים בדיבר העשירי שהוא הוא סוד הקסם! ניהול סיכונים אפקטיבי, טמון ב C3- Collaboration Communication Correlation כלומר: שת"פ, תקשורת, קורלציה בין הגופים השונים המסייעים בניהול הסיכונים. לדוגמא: אבטחת מידע, ניהול סיכונים, מש"א, ביקורת פנימית, ביטחון וכו'. שיתוף פעולה פורה ימנע התקפה ונזק לארגון ויצליח להטמיע תרבות ניהול סיכונים טובה בארגון. ולסיום, מקווה שהצלחתי לתרום עניין ולעורר מחשבה. מוזמנים לפנות אלי בשאלות והערות כמו תמיד. שלכם.ן, ליאה צור