הגנה על המידע מתחילה בהטמעה חכמה

המפגש המקצועי של פורום מנהלי אבטחת המידע CSC של אנשים ומחשבים, שנערך באחרונה במרכז ללימודים אקדמיים (מל"א) באור יהודה, עסק בין היתר בהיבטים האנושיים של המאבק בסייבר וההגנה מפני אירועי אבטחת מידע. הדוברים במפגש ציינו כי ארגונים משקיעים לא מעט כסף בהגנה על המידע הארגוני, אבל שוכחים את אחד הגורמים המרכזיים לחשיפת הארגון למתקפות: העובדים עצמם.

שני דוברים בכנס הצביעו על כך שהעדר השקעה בהעלאת המודעות, חידוד הנהלים ורתימת העובדים למאמץ להגן על הארגון מגדיל את החשיפה לפעילות סייבר מצד התוקפים. ההאקרים לומדים את דפוסי הפעולה של הארגון, יודעים היטב מה החולשות של העובדים, שלא מקפידים על נהלי אבטחה בסיסיים, כמו שמירה על סיסמאות ושיתוף מידע חסוי, ומנצלים את הפרצות כדי לחדור לארגונים.

אולם, היריעה הרבה יותר מורכבת ורחבה. רתימת הארגון להגנה על המידע דורשת גם תהליכי הטמעה נכונים, שלא תמיד מתקיימים בעידן המהפכה הדיגיטלית. בנושא זה עסקה הרצאתו של ד"ר אלון הסגל, מרצה בכיר בפקולטה ללימודי ההיי-טק במרכז ללימודים אקדמיים, שגם אירח והנחה את המפגש המרתק.

לדברי ד"ר הסגל, אימוץ טכנולוגיות נכפה במידה מסוימת על ארגונים, בגלל איום החדשנות המשבשת. מאז ומעולם, ציין, היו חסמים טבעיים פנים ארגוניים להכנסת חדשנות. הסיבות הן, בדרך כלל, חשש מעלות גבוהה; התנגדות טבעית לשינויים, בנוסח המשפט הידוע "אם זה עובד – למה להחליף?"; חשש מסיכוני רגולציה שיבואו עם המהפכה החדשה ועוד. אבל, כאמור, החדשנות שמגיעה מחוץ לארגון מציבה אור אדום בפני המנהלים והם מבינים שעליהם להטמיע טכנולוגיות חדשות.

מודל "הפעפוע"

ד"ר הסגל הציג בהרצאתו את מודל "הפעפוע" של התנהגות אל מול הטכנולוגיות החדשות. "יש את השלבים הראשונים, שבהם עדיין לא כולם יודעים לזהות מהי הטכנולוגיה החדשה, אחר כך מגיעים לשלב שבו היא פורצת לשוק, מזנקת למקום גבוה בגרף ההתנהגות, ובשלב מסוים מתחילה לרדת ומפנה את מקומה לגל החדשנות הבא", ציין.

כאן באה לידי ביטוי הדילמה של הארגונים המסורתיים כיצד ומתי לאמץ את הטכנולוגיה. הסגל הציג מודל, שבשלב הראשון שלו, שאותו הוא מגדיר "ההברקה ההמצאתית", מישהו בארגון חשב על רעיון שמדליק את כולם ומביא לאינפלציה של ציפיות. אחר כך מגיע שלב ההתפכחות ואז מתחילים לבדוק את ההטמעה, במסגרת שלבי ההתפכחות והבשלת הטכנולוגיה.

הסגל ציין שעלות ההטמעה כיום זולה יותר מאשר במאה הקודמת. כדוגמה, הוא אמר שחלפו 75 שנים עד שהצליחו לחבר לקו טלפון 50 מיליון בני אדם. כיום, הוסיף בחיוך, כל iPhone חדש מגיע לאותה הכמות של אנשים בכמה ימים.

אבל מעבר לטכנולוגיה, הוא הדגיש שההטמעה הנכונה היא זו שנעשית באופן חוצה ארגון. "כדי להטמיע חדשנות נדרשת מעורבות ההנהלה, שצריכה לייצר אווירה ארגונית תומכת, וכתוצאה ממנה להנהיג תהליכי עבודה שכוללים הקמת ועדות וצוותי חדשנות, וכמובן – הקצאת משאבים נאותים", אמר.

הוא ציין כי התהליכים הללו צריכים להיות מותאמים למי שעתידים לעבור אותם – המשתמשים. "כיום ברור שהטמעה מוצלחת בקרב משתמשים צריכה להיות מוכוונת משתמש. אם זה לא קורה, צצות בעיות שקשורות בכישלון ההטמעה, כולל בעיות אתיות", הוסיף.

לא לתת לרעשים חיצוניים לגרום למשתמש לצאת מהאפליקציה

דבר חשוב נוסף שצריך לקחת בחשבון הוא אפס הסובלנות של המשתמש. "העולם הדיגיטלי שואף לאמץ אפליקציות שההטמעה שלהן היא במהירות שיא", ציין הסגל. "המוטו הוא: אם אתה רוצה שאני אשתמש באפליקציה, אל תבזבז לי את הזמן". הוא נתן טיפ שלפיו כאשר מפתחים את האפליקציה, צריך לשאוף שהמשתמש ישהה בה כמה שיותר זמן. כדי שזה יקרה, יש למקד את הפעילות של האפליקציה ולא לתת לרעשים חיצוניים לגרום למשתמש לצאת ממנה. כמובן שיש לבצע מדדים ובדיקות, שהם הבסיס לתמחור כלכלי של הפרויקט, אם הוא מיועד למשתמשים חיצוניים , כולל לבחון מודל שגובה תשלום לפי כניסות המשתמש, או ברמה פנים ארגונית, שם נמדדת היעילות שמושגת כתוצאה משימוש באפליקציה.

ד"ר הסגל ציין שגם לאחר שאנשי המחשוב בארגונים מבצעים הטמעה מוצלחת, לא מפסיקה עבודתם. הוא מציע לבצע בדיקות מוכנות, לקבל הצעות לשינויים, לזהות מוקדי הצלחה וכישלון ולבסוף לבצע הערכת מצב האם הפרויקט הצליח או לא. המדד להצלחה הוא, לדבריו, המשתמשים ושביעות רצונם.

השורה התחתונה: הטיפים האלה הם גנריים, נכונים לארגונים שמפתחים אפליקציות או שמטמיעים חדשנות פנים ארגונית. אלה גם אלה חייבים להיות פשוטים למשתמש, לא רק כדי להגביר את סיכויי ההצלחה, אלא גם מפני שחוסר פשטות מגדיל את הסיכוי לחשיפה לאירועי אבטחה שונים.