ניהול אבטחת מחשבים בארגונים קטנים – טעויות שכדאי להימנע מהן

מתי בפעם האחרונה בדקתם מי נוגע לכם במחשב?

כל ארגון קטן כבר הבין שאבטחת מחשבים היא חשובה, אבל עדיין – רובם מתנהגים כאילו "לי זה לא יקרה". אז דבר ראשון, תנו לי להרוס לכם את האשליה היפה ולספר לכם שזה יקרה גם לכם, השאלה היא רק מתי ואיך. ואם לא תשימו לב לזה היום, יהיה לכם הרבה זמן לחשוב על זה לאחר פריצת האבטחה הבאה. אבל הי, לפחות יהיה לכם סיפור מצחיק לספר לחבר'ה (שככל הנראה גם לא אבטחו את עצמם כמו שצריך).

רגע, כמה כבר אפשר לגנוב מארגון קטן, והאם בכלל שווה להשקיע בזה כסף?!

יש לכם גבוהי מצח שחושבים שלארגון קטן אין הרבה מה להציע להאקרים? אז הנה סיפורון קטן בשבילכם: חברת עיצוב גרפי צנועה (לא אגלה את השם בשביל להשאיר קצת מסתורין 😉) חשבה בדיוק כמוכם, עד שיום אחד כל המידע שלהם הופיע באינטרנט. במיוחד המחירון הגמיש וה"סודי" שלהם… אגב, הם התחרטו על כך שלא השקיעו בפתרונות אבטחה בסיסיים וטענו שבתמורת המחיר ששילמו על השחזור הם היו יכולים להקים מערכת אבטחת מידע ברמה בינלאומית.

אז למה כל כך חשוב לנהל אבטחת מחשבים בארגון קטן (גם אם נדמה לכם שאתם משעממים)?

• ריגול עסקי: כן כן, אפילו אתם מעניינים. המתחרים שלכם מתים להניח ידיהם על מידע מסחרי כמו הצעות מחיר, רשימות לקוחות וכדומה.
• הונאות וסייבר: האקרים זוטרים, כאלה שלא התקבלו ליחידות מודיעין מסוימות, מוצאים בכם אתגר נחמד לבחון את כישוריהם (נשמע מעליב? מצוין, עכשיו אתם מבינים).
• כופר ופגיעה בתשתיות מידע: כי למה לגנוב כשאפשר פשוט לסחוט? לדרוש כופר תמורת גישה למידע שלכם הופך לטרנד נפוץ מדי.

7 הטעויות הנפוצות (והמצחיקות) בניהול אבטחת מידע בארגונים קטנים

אספתי עבורכם את הפנינים הכי משעשעות שראיתי במו עיניי:

• להשאיר סיסמאות על מדבקה צבעונית מתחת למקלדת (זהו לא משחק מחבואים, חברים!).
• "הטכנאי שלנו מבין בזה": שמעתם פעם טכנאי אומר "אני לא מבין בזה"? זה חלק מהקסם שלו…
• מערכות הפעלה ללא עדכונים במשך שנים, כי "עדכונים מאטים את המחשב!".
• Wi-Fi עם סיסמה כמו 12345678 (אם גם לכם יש כזו, עצרו הכל ולכו לשנות! אני אמתין).
• שימוש באנטי וירוס חינמי, כי למי אכפת שזה פיראטי?
• הרשאות גישה לכולם-הרי אנחנו כמו משפחה אחת גדולה, לא?
• השליח של פיצריה שכבר מכיר את קוד הכניסה למשרדים ("אבל הוא נראה אמין כל כך!").

מה באמת צריך לעשות כדי לא להפוך לבדיחה הבאה בין ההאקרים?

שימו את הצחוקים בצד רגע – כי יש לנו כאן כמה צעדים שאם תיישמו אותם, תחסכו לעצמכם המון אי נעימויות ותגרמו להאקרים שלכם לאבד עניין:

שלב ראשון – "תמצאו מישהו שמבין בזה": איך לבחור יועץ אבטחת מידע בלי לפשוט רגל?

לא חייבים לקחת את המומחה הכי יקר, אבל יש כמה שאלות שאתם חייבים לשאול לפני שסוגרים איתו:

• מה מידת הנסיון שלך עם עסקים בסדר הגודל שלנו?
• אילו תקני אבטחה אתה מיישם?
• האם השירות שלך כולל הדרכות צוות עובדים? (רמז: התשובה הנכונה היא "כן").

שלב שני – "טכנולוגיה זה רק חצי סיפור!": תשתיות זה יופי, אבל מה עם ההון האנושי שלכם?

נסו להכניס לתרבות הארגונית שלכם כמה הרגלים שיצמצמו את הסיכון:

• הדרכות על מודעות אבטחת סייבר על בסיס קבוע (כן, גם אם הן משעממות – אתם תודו לי אח"כ).
• הקפדה על סיסמאות מורכבות ושונות לכל שירות.
• שיטת "אפס אמון" – אל תיקחו את זה אישית, לא מאמינים לכם וגם לא לאימא שלכם; כך ההאקרים נתקעים בחוץ (ויוצאים מתוסכלים ועצובים).

שלב שלישי – "תקשורת שוטפת עם מנהל האבטחה שלכם": אתם רוצים להיות החברים הכי טובים שלו בוואטסאפ

דאגו שתהיה לכם תקשורת קלה ומהירה עם מי שאחראי על אבטחת המחשב (אבל אל תשלחו לו בדיחות של סייבר…). דווחו מיידית על כל משהו חשוד. ככל שתדברו והתהליך יהיה שקוף יותר, כך תצמצמו סיכון משמעותית.

כמה שאלות שאתם מתים לשאול עכשיו (לא? בכל זאת תתעניינו!)

• ש: לא עדיף כבר להתחבר עם הכל לענן?
  ת: בגדול כן, אם יודעים לאבטח את הענן כהלכה. זה לא קסם וזה לא גן עדן לסייבר.
• ש: למה בכלל להאקרים אכפת ממני?
  ת: לא באמת אכפת להם ממך, זה המשחק. הם פשוט משחקים ודייגים שמנסים לתפוס כל דג אפשרי.
• ש: אנטי וירוס זה מספיק?
  ת: זה כמו להסתפק בדלת נעולה אבל חלונות פתוחים לרווחה.

לא נמאס כבר להיות טרף קל?

בשורה התחתונה, גם אם אתם "רק" עסק קטן – אתם בהחלט יכולים להפוך את אבטחת הארגון שלכם לחלק מהחיים בלי לפשוט רגל ובלי לאבד שפיות. תכל'ס, אם הצלחתם לסיים לקרוא את הכל עד כאן, הוכחתם שאתם רציניים מספיק כדי להתחיל. אז למה אתם מחכים? לכו לבדוק את המדבקה עם הסיסמה מתחת למקלדת. כן, אני יודע שהיא שם. וד"ש חם ממני להאקרים המיואשים.