אבטחת מידע התנהגותית – פרק 5
- binyxisrael
- 3 בפבר׳
- זמן קריאה 2 דקות
עודכן: לפני 4 ימים
למה הדרכות אבטחה נכשלות – ואיך גורמים לאנשים באמת לזכור ולעשות
כמעט כל ארגון עושה “הדרכת אבטחת מידע”.
ולמרות זה — כמעט כל ארגון גם חווה טעויות אנוש, דיוגים, שיתופים לא נכונים, ועקיפות נהלים.
אז מה לא עובד?
הבעיה היא לא שהעובדים לא רוצים.
הבעיה היא שהרבה הדרכות נראות כמו שיעור תאוריה… בעולם שבו ההתנהגות נקבעת בשטח.
1) כי ההדרכה מדברת על “מה נכון”, לא על “מה קורה באמת”
הדרכה טיפוסית אומרת:
אל תלחצו על קישורים
אל תשתפו סיסמאות
תוודאו שולח
אל תפתחו קבצים חשודים
אבל עובד אמיתי חושב:
“יש לי 40 מיילים”
“הבוס מחכה”
“זה נראה פנימי”
“רק לסיים ולחזור לעבודה”
כל עוד ההדרכה לא פוגשת את הרגעים האלו — היא נשארת מצגת יפה.
2) כי היא נדירה מדי – והמוח שוכח
אבטחה נלמדת פעם בשנה, התוקפים עובדים כל יום.
והמוח האנושי עובד פשוט:
מה שלא מתורגל — נעלם.
מה שלא נכנס להרגל — לא מופעל בזמן אמת.
זו הסיבה שהדרכה חד־פעמית כמעט תמיד נכשלת.
3) כי היא עמוסה מדי – ואז לא נשאר כלום
עוד בעיה קלאסית: “נכניס הכול”.
מכניסים:
פישינג, סיסמאות, הרשאות, ניידים, ענן, מדפסות, Wi-Fi, USB…
והתוצאה: העובד יוצא עם תחושת “וואו זה מורכב”, אבל בלי פעולה אחת ברורה שהוא באמת יזכור.
יותר מידע ≠ יותר בטיחות.
4) כי היא בנויה על הפחדה – ופחד הוא דלק קצר
יש ארגונים שמנסים להפחיד: “תהיו זהירים, זה מסוכן”.
פחד יכול לעבוד לשעה.
אבל לטווח ארוך הוא מייצר:
הימנעות
עצבים
הסתרה של טעויות (“שלא יאשימו אותי”)
ותרבות של שקט במקום דיווח
אבטחה מבוססת פחד מגדילה את הסיכוי שמישהו יסתיר אירוע — וזה כבר הופך טעות קטנה לאירוע גדול.
5) כי היא לא נותנת לאנשים “מסלול פעולה”
הבעיה העמוקה ביותר:
הרבה הדרכות מסבירות מה לא לעשות, אבל לא נותנות “מה כן לעשות” כשהמצב מורכב.
לדוגמה:
מה עושים כשמגיע מייל “דחוף מהמנכ״ל” ויש ספק קטן?
העובד צריך מסלול קצר:
למי פונים?
איך מאמתים?
מה מותר ומה אסור?
כמה זמן זה לוקח?
אם אין מסלול ברור, אנשים יאלתרו. ואלתור הוא אויב האבטחה.
אז איך בונים הדרכה שעובדת?
1) מיקרו־הרגלים במקום מצגות
במקום שעה אחת בשנה — 2 דקות בשבוע.
הדרכה קצרה, מסר אחד, פעולה אחת.
לדוגמה:
“לפני פתיחת קובץ – תבדוק דבר אחד: כתובת שולח”.
2) סיפורים אמיתיים מהארגון (בלי שמות, בלי בושה)
כשזה “תיאורטי” — זה לא נוגע.
כשזה “קרה אצלנו” — זה נכנס ללב ולזיכרון.
הכלל: ללמוד מאירועים בלי להשפיל.
3) סימולציות קלות שמכבדות את הזמן
לא מבחנים ארוכים.
סימולציות קצרות שמייצרות רגע אמיתי של בחירה:
“היית לוחץ או לא?”
ואז נותנים הסבר קצר: למה זה נראה אמין, ומה הסימן שהפיל אותך.
4) חוק אחד חזק במקום עשרה חלשים
הדרכה טובה משאירה 1–3 כללים שאנשים באמת יפעילו.
לדוגמה:
דחוף = לעצור 10 שניות
סמכות = לאמת בערוץ נוסף
קובץ לא צפוי = לא לפתוח לפני אימות
5) הכי חשוב: תרבות שמתגמלת דיווח מוקדם
אם עובד לוחץ ומפחד לדווח — הארגון מפסיד זמן יקר.
אם עובד מדווח מיד — גם טעות של אדם יכולה להיגמר בלי נזק.
לכן הדרכה טובה תמיד מסתיימת במשפט:
“אם טעית — זה לא בושה. תדווח מהר.”
סיום פרק 5
הדרכת אבטחה לא נכשלת בגלל העובדים.
היא נכשלת כי היא מנסה ללמד ידע — במקום לבנות הרגל.
ובאבטחת מידע, בסוף, מה שמגן זה לא מה שאתה יודע.
זה מה שאתה עושה כשאתה עייף, לחוץ וממהר.
בפרק הבא: תרבות אשמה מול תרבות למידה — למה ארגונים שמענישים על טעויות נהיים פחות בטוחים.
תגובות