אבטחת מידע התנהגותית – פרק 17

אבטחה מול יעילות: למה נהלים שמפריעים לעבודה גורמים לאנשים לעקוף אותם

רוב האנשים חושבים שכשארגון “נפרץ”, זה בגלל טכנולוגיה חלשה.

אבל פעמים רבות זה קורה בגלל משהו הרבה יותר שקט: הפער בין אבטחה לבין עבודה.

האבטחה מבקשת לעצור, לבדוק, לאשר, להמתין.

העבודה דורשת לסגור משימות, להגיב מהר, לא לעכב לקוחות, לא “להיתקע”.

וכאשר שני העולמות האלו מתנגשים, נוצרת תופעה טבעית לגמרי:

אנשים לא נלחמים בנהלים — הם פשוט מוצאים דרך לעקוף אותם.

לא מתוך זלזול. לא מתוך רוע.

אלא מתוך צורך פשוט: להמשיך לתפקד.

כלל בסיסי: אם הדרך הבטוחה קשה מדי – תיווצר דרך עוקפת

בכל ארגון קיימת בסוף “הדרך הרשמית” ו“הדרך האמיתית”.

הדרך הרשמית כוללת תהליכים, טפסים, הרשאות, וכללים.

הדרך האמיתית היא מה שעושים כשאין זמן, כשהמערכת איטית, וכשצריך תוצאה עכשיו.

כך נוצרים “פתרונות” כמו:

• שליחת קובץ בהודעה במקום דרך מערכת מאובטחת

• שימוש במייל פרטי כי המייל הארגוני חוסם או מסרבל

• שיתוף סיסמה עם קולגה “רק כדי לא לעכב”

• שמירת קבצים על שולחן העבודה כי לא ברור איפה לשים בענן

• כניסה לחשבון של מישהו אחר כי “אין לי הרשאה ואני חייב עכשיו”

המשותף לכל אלה הוא לא “חוסר אחריות”.

המשותף הוא: חיכוך.

החיכוך הוא האויב השקט של האבטחה

כשאבטחה מוסיפה עוד שלב, עוד בדיקה, עוד אישור — היא לא רק מגדילה בטיחות.

היא גם מגדילה תחושת עומס.

ואז קורה משהו צפוי:

בזמן שקט אנשים יכולים להסכים עם הנהלים.

אבל תחת לחץ הם חוזרים להרגלים שמקצרים דרך.

זה לא עניין של “מוסר”.

זה עניין של מוח אנושי שמחפש לחסוך מאמץ בזמן אמת.

“רק הפעם” מתגלגל לשגרה

עקיפה כמעט תמיד מתחילה במשפט תמים:

“רק הפעם, כי זה דחוף”.

בפעם הראשונה העובד עוד מרגיש אי־נוחות.

בפעם השנייה הוא כבר פחות מוטרד.

בפעם השלישית זה נעשה פתרון קבוע.

ואז זה כבר לא “טעות”.

זה הופך לדרך עבודה.

ואם זה עובר בין עובדים — זה נהיה גם נורמה:

“ככה עובדים פה”.

ברגע הזה הארגון לא מתמודד עם עבירה של אדם אחד,

אלא עם דפוס התנהגות שמושרש בתוך המערכת.

דוגמה שמדברת לכולם: סיסמאות

למה אנשים בוחרים סיסמאות חלשות, חוזרים עליהן, או משתפים אותן?

כי סיסמה, במקום להיות כלי הגנה, הופכת לעתים לכלי שמפריע לעבודה:

• צריך לזכור עשר סיסמאות

• המערכת דורשת שינוי תכוף

• ננעלים בגלל טעות קטנה

• לא תמיד יש זמן לשחזור

• לפעמים צריך שמישהו אחר יטפל בעניין “עכשיו”

אז אנשים עושים מה שעוזר להם לשרוד את היום:

• כותבים סיסמה במקום נגיש

• משתמשים בסיסמה קלה

• חוזרים על אותה סיסמה

• משתפים אותה עם קולגה “רק כדי להתקדם”

לא כי הם לא יודעים שזה מסוכן.

אלא כי הם מרגישים שהמערכת לא מותאמת לקצב וללחץ שלהם.

אבטחה טובה אינה רק “חזקה” – היא גם “אפשרית”

זו נקודה שאנשים לא אוהבים לשמוע, אבל היא אמת:

אבטחה שלא מתחשבת בעבודה היומיומית — תפסיד לעבודה היומיומית.

ולכן המדד של אבטחה חכמה הוא לא רק כמה היא מחמירה,

אלא כמה קל לחיות איתה.

אבטחה טובה היא כזו שמאפשרת לאדם:

• לעבוד מהר

• להישאר יעיל

• ובאותו זמן להיות מוגן

כי אם האבטחה דורשת “שלמות” — היא לא תחזיק.

היא תישבר על המציאות.

איך מצמצמים עקיפות? הופכים את הדרך הבטוחה לדרך הקלה

במקום לצפות מאנשים “להיות גיבורים”, בונים מערכת שמפחיתה צורך בגבורה.

כך עושים זאת:

א. מסלול בטוח שהוא גם נוח

אם יש דרך מאובטחת לשלוח קובץ — היא חייבת להיות:

מהירה, ברורה, זמינה, ופשוטה.

ב. פתרון למצבי דחיפות

דחיפות תמיד תהיה.

לכן צריך “נוהל קצר לדחוף בצורה בטוחה”:

אימות מהיר, ערוץ קבוע, ופשטות.

ג. פחות החלטות, יותר אוטומציה

ככל שהעובד צריך “לחשוב כל פעם מחדש” — כך גדל הסיכוי שיטעה.

מערכת טובה מכוונת אוטומטית למסלול הנכון.

ד. פחות רעש, יותר דיוק

אזהרות בכל רגע מחנכות להתעלמות.

אזהרות מעטות, מדויקות, וחשובות — מחנכות להקשבה.

ה. ללמוד מהעקיפות במקום להאשים עליהן

עקיפה היא מידע.

היא אומרת לך איפה הכאב האמיתי.

מי שמזהה עקיפות ומתקן את נקודת החיכוך — משפר אבטחה באמת.

השאלה הנכונה לכל מנהל

לא: “איך נגרום לעובדים להפסיק לעקוף?”

אלא: “מה גורם לעובדים להרגיש שאין להם ברירה אלא לעקוף?”

כי כשהסיבה נפתרת — העקיפה נעלמת.

סיום

אבטחה שמתנגשת בעבודה יוצרת מלחמה שקטה:

עובדים רוצים להספיק, והנהלים עומדים להם בדרך.

אבל אבטחה שמשתלבת בתוך העבודה — הופכת להרגל טבעי, לא למאבק.

בפרק הבא: “הנחמדות מסוכנת” — איך רצון לעזור, להיות שירותי, ולהיראות טוב, הופך לכלי נשק בידיים של תוקפים (הנדסה חברתית דרך רגש).