השפעת מנהלים על התנהגות אבטחתית

אבטחת מידע בארגון לא מתחילה בתוכנת אנטי־וירוס, בסיסמה חזקה או במדיניות כתובה. היא מתחילה בהתנהגות של האנשים. ובמקום שבו יש אנשים, יש גם תרבות ארגונית. השאלה החשובה היא לא רק אילו כלים מותקנים במחשבים, אלא מה העובדים מרגישים שמצופה מהם לעשות ביום־יום.

כאן נכנס התפקיד המרכזי של המנהלים.

מנהל יכול לומר לעובדים: “חשוב לשמור על אבטחת מידע”. אבל אם באותו זמן הוא עצמו מבקש לשלוח לו סיסמה בוואטסאפ, לוחץ על קישורים בלי לבדוק, משתמש במחשב פתוח, דוחה עדכוני אבטחה, או מתעצבן כשעובד עוצר לבדוק הודעה חשודה — העובדים מבינים מהר מאוד מה באמת חשוב בארגון.

לא מה שכתוב בנוהל קובע את ההתנהגות. מה שהמנהלים מתגמלים, מאפשרים וסובלים — זה מה שקובע.

העובדים מסתכלים למעלה

בכל ארגון יש מסרים גלויים ומסרים סמויים. המסר הגלוי יכול להיות: “אסור לשתף סיסמאות”. המסר הסמוי יכול להיות: “אבל כשיש לחץ, תסתדרו איך שאתם רוצים”.

אם מנהל מבקש מעובד “תיכנס רגע מהמחשב שלי”, “שלח לי את הקוד שקיבלת”, “תעקוף את זה בינתיים”, או “אין זמן עכשיו לכל הבדיקות האלה” — הוא בעצם מחנך את העובדים שאבטחת מידע היא המלצה בלבד.

לעומת זאת, מנהל שעוצר רגע ואומר: “לא שולחים סיסמאות”, “נבדוק את הקישור לפני שנפתח”, “עדיף לעכב פעולה בדקה מאשר להסתבך בפריצה”, יוצר תרבות אחרת לגמרי. הוא משדר שאבטחה אינה הפרעה לעבודה, אלא חלק מהעבודה המקצועית.

תרבות של לחץ יוצרת טעויות

הרבה אירועי אבטחה לא קורים כי העובד לא חכם. הם קורים כי העובד היה בלחץ.

הוא קיבל הודעה שנראית דחופה.

הוא פחד לעכב תשלום.

הוא חשב שהבוס ביקש ממנו לבצע פעולה מיד.

הוא לא רצה להיתפס כמי שמסבך דברים.

הוא התבייש לשאול.

הוא התרגל לעבוד מהר, גם כשצריך לעצור.

לכן מנהלים חייבים להבין: אם בארגון יש תרבות שבה “מהירות חשובה מהכול”, העובדים עלולים להקריב שיקול דעת. אם כל שאלה נתפסת כהפרעה, העובדים יפסיקו לשאול. ואם מי שמזהיר נחשב “פחדן” או “מעכב עבודה”, בסוף אף אחד לא יתריע.

ארגון בטוח יותר הוא ארגון שבו מותר לעצור. מותר לשאול. מותר להגיד: “משהו כאן נראה לי חשוד”.

התגובה לטעות חשובה יותר מהטעות עצמה

בכל ארגון יהיו טעויות. עובד ילחץ לפעמים על קישור. מישהו יוריד קובץ לא נכון. מישהו ישלח מידע לאדם הלא נכון. השאלה הגדולה היא מה קורה אחר כך.

אם מנהל מגיב בצעקות, השפלות או ענישה מיידית — העובדים ילמדו להסתיר טעויות. וזה מסוכן הרבה יותר מהטעות עצמה.

לעומת זאת, אם המנהל מגיב בצורה עניינית: “טוב שדיווחת, עכשיו נבדוק ונצמצם נזק” — הוא יוצר תרבות שבה אנשים מדווחים מהר. באבטחת מידע, דיווח מהיר יכול להיות ההבדל בין אירוע קטן לבין נזק גדול.

המטרה אינה לייצר פחד. המטרה היא לייצר אחריות.

מנהל טוב הופך אבטחה להרגל פשוט

לא כל עובד צריך להיות מומחה סייבר. אבל כל עובד צריך לדעת כמה כללים בסיסיים:

לא מוסרים סיסמה.

לא מעבירים קוד אימות לאדם אחר.

לא לוחצים על קישור חשוד בלי לבדוק.

לא מתקינים תוכנה או תוסף בלי אישור.

לא משתמשים באותה סיסמה בכמה שירותים.

לא נכנסים לחשבונות חשובים ממחשב ציבורי.

מדווחים מיד כשמשהו נראה מוזר.

התפקיד של המנהל הוא להפוך את הכללים האלה לחלק טבעי מהעבודה. לא הרצאה פעם בשנה, אלא שפה יומיומית קצרה וברורה.

למשל, לפני העברת תשלום חריגה, שיחת אימות קצרה. לפני פתיחת קובץ לא צפוי, בדיקה. לפני התקנת תוכנה, אישור. לפני שיתוף מידע רגיש, מחשבה נוספת.

כך נוצרת אבטחה התנהגותית: לא רק מערכות שמגנות על מחשבים, אלא אנשים שמתרגלים לפעול בזהירות.

אבטחת מידע היא גם ניהול אמון

כאשר עובד יודע שהמנהל שלו מעריך זהירות, הוא ירגיש בנוח לעצור. כאשר הוא יודע שלא יצחקו עליו אם ישאל שאלה, הוא ישאל. כאשר הוא יודע שדיווח על טעות לא יהפוך מיד למשפט שדה, הוא ידווח.

זהו הבסיס של אבטחה ארגונית בריאה.

מנהל שמייצר אמון חוסך לארגון כסף, כאב ראש וסיכונים. לא בגלל שהוא התקין עוד מערכת, אלא מפני שהוא בנה סביבה שבה אנשים מתנהגים נכון יותר.

סיכום: אבטחה מתחילה בדוגמה אישית

מנהלים משפיעים על אבטחת המידע הרבה יותר ממה שנדמה להם. כל בקשה, כל קיצור דרך, כל תגובה לטעות, כל יחס לשאלה — בונים את התרבות האבטחתית של הארגון.

אם המנהל מזלזל, העובדים יזלזלו.

אם המנהל עוקף נהלים, העובדים ילמדו לעקוף.

אם המנהל מכבד זהירות, העובדים ילמדו להיזהר.

אם המנהל משדר שאבטחה היא חלק ממקצועיות, היא תהפוך לחלק מהעבודה.

בסופו של דבר, אבטחת מידע אינה רק עניין של טכנולוגיה. היא עניין של הרגלים, אחריות ודוגמה אישית. ובכל ארגון, הדוגמה מתחילה מלמעלה.