top of page
חיפוש

אבטחת מידע התנהגותית – פרק 4

  • תמונת הסופר/ת: binyxisrael
    binyxisrael
  • לפני יום 1
  • זמן קריאה 2 דקות

למה “אני יודע” לא אומר “אני עושה”


אחד המשפטים הכי נפוצים בעולם האבטחה הוא:

“אני יודע. ברור. אל תדאג”.

ובדיוק שם מסתתרת הבעיה.

כי באבטחת מידע יש פער קבוע בין ידיעה לבין התנהגות.

אנשים יכולים לדעת היטב מה נכון, להסכים עם הכללים, ואפילו להסביר אותם לאחרים — ובכל זאת לפעול הפוך מהם ברגע האמת.

הפער הזה הוא הלב של אבטחת מידע התנהגותית.



ידע הוא תיאוריה. התנהגות היא מציאות.


ידע עובד מצוין בכיתה, במצגת, ובהדרכה שנתית.

התנהגות מתרחשת במציאות צפופה:

  • עשר משימות פתוחות

  • לקוח שמחכה

  • מנהל שמלחיץ

  • הודעות בלי סוף

  • עייפות

  • רעש

  • “רק לסגור את זה מהר”

ובמציאות כזו, המוח לא שואל “מה נכון”, אלא “מה יעיל עכשיו”.



למה אנחנו עושים “קיצור דרך” גם כשאנחנו יודעים שהוא מסוכן


כי התנהגות לא נבנית מהסכמה — היא נבנית מהרגל.

הרגלים נוצרים כשפעולה:

  • חוסכת זמן

  • מקטינה חיכוך

  • נותנת תחושת שליטה

  • ומתגמלת מיידית (“סיימתי”)

לעומת זאת, אבטחה מתגמלת מאוחר:

כשלא קרה משהו.

וזו תחרות לא הוגנת:

התועלת של קיצור דרך מיידית. הסיכון של קיצור דרך עתידי.



“לי זה לא יקרה” – ההגנה העצמית הפסיכולוגית


עוד פער בין ידע להתנהגות מגיע מהנפש:

אנשים חייבים להרגיש שהם שולטים במצב.

לכן גם אם הם יודעים שהסיכון אמיתי, הם אומרים לעצמם:

  • “זה בטח לא באמת”

  • “אין לי מה להסתיר”

  • “זה קטן”

  • “זה רק פעם אחת”

זו לא טיפשות. זו הגנה נפשית מפני חרדה.



כשכללי אבטחת מידע נתפסים כ"עונש", אנשים ילמדו לעקוף אותה


ארגון יכול להכריז נהלים, אבל אם בפועל הם:

  • מסרבלים עבודה

  • גורמים לעיכובים

  • יוצרים תחושת “לא סומכים עליי”

  • או גורמים בושה מול אחרים

התוצאה צפויה: עובדים יעקפו.

ואז קורה דבר מעניין:

העקיפה עצמה הופכת לנורמה חברתית.

“כולם עושים ככה”.

ומכאן ועד התרסקות אבטחתית — הדרך קצרה.



ההבדל בין “הדרכה” לבין “עיצוב התנהגות”


הדרכה אומרת:

  • “אל תלחצו על קישורים חשודים”

  • “אל תשתפו סיסמאות”

  • “תבדקו כתובת שולח”

עיצוב התנהגות אומר:

  • איך גורמים לזה לקרות בפועל?

לדוגמה:

  • אם רוצים שאנשים לא ישתפו סיסמאות — צריך לתת דרך מהירה לשיתוף גישה בלי סיסמה

  • אם רוצים שלא ילחצו על קישור — צריך לתת דרך קלה לאימות (כפתור, נוהל קצר, איש קשר ברור)

  • אם רוצים דיווח מוקדם — צריך להוריד פחד, אשמה ועונש



כלל זהב: אבטחה שמנצחת היא אבטחה שמכבדת את הזמן של אנשים


כשאבטחה מכבדת את הזמן של עובדים — הם מכבדים אותה חזרה.

כשהיא מתעלמת מהמציאות שלהם — הם יתייחסו אליה כמו אל רעש רקע.



סיום פרק 4


רוב הארגונים לא נפרצים בגלל חוסר ידע.

הם נפרצים בגלל פער קטן בין מה שאנשים יודעים — לבין מה שהם עושים כשהם עייפים, לחוצים, או ממהרים.



בפרק הבא: למה הדרכות אבטחה נכשלות, ואיך הופכים אותן למשהו שאנשים באמת זוכרים ומיישמים.

לפרק הבא: אבטחת מידע התנהגותית פרק 5


להקדמה ורשימת הפרקים:




תגובות

bottom of page