אם הייתי אומר לך שהעובד הכי נאמן שלך הוא זה שיגנוב אותך, כנראה שלא תאמין. אך במקרים רבים, רבים מאוד זו המציאות. עסקים רבים מוקמים ע”י עובד שעוזב ולוקח איתו תיקי לקוחות, סודות מסחריים ומידע רגיש נוסף.
משרד עו”ד שהתחיל לעבוד איתנו לפני כשנה, חשד בעובד שביקש לעזוב וביקש את עזרתנו לזהות האם החשד לגיטימי או לא.
איך יודעים אם עובד גונב לך מידע?
אלו הגנות ניתן ליישם בכדי להגן על נכסי החברה?

אבטחת מידע מחייבת אותנו להגנה הן מפגיעות חיצוניות והן מפגיעות מגורמי פנים. לפעמים מדובר בטעות אנוש אך במקרים רבים מדובר בעובד שעזב אם בכדי להקים עסק עצמאי ואם בכדי לעבור למתחרה ולוקח איתו נכסי ידע רבים שהארגון השקיע משאבים עצומים ביצירתם: רשימת לקוחות וספקים, מחירונים, הסכמים ותבניות, שיטות עבודה וסודות מסחריים רבים.

לפני כשנה פנה אלינו משרד יועצים קטן בכדי לבחון את רמת האבטחה בארגון, לאחר סקר קצר מצאנו שהארגון עובד עם טכנולוגיות ושיטות עבודה מיושנות שפוגעות גם באבטחה וגם באפקטיביות העבודה. ביחד עם הנהלת הארגון בנינו תוכנית עבודה שנתית שכללה מעבר מעבודה עם שרת קבצים מקומי לשירות ניהול קבצים בענן, עדכון של ציוד התקשורת, הקשחות אבטחה למערכות הקיימות והדרכת עובדים למודעות.

8 חודשים לאחר תחילת עבודתנו אצל הלקוח, אחד העובדים ביקש לעזוב ומנכ”ל הארגון שאל אם יש לנו דרך לבחון את פעילות העובד לקראת עזיבתו. בבדיקת לוגים בשירות ניהול הקבצים מצאנו שהעובד הוריד מידע רב הכולל תיקיות שלמות של לקוחות עם מידע רגיש ויקר ערך. זיהוי האירוע אפשר לארגון למנוע את הנזק שהיה יכול להגרם.

כיצד להגן על נכסי הארגון בפני גורמי פנים?

אבטחת המידע תתחלק לשתיים, מניעה ובקרה:

מניעה: נעשית לרוב ע”י בקרות גישה, החל מבקרה פיזית, מי יכול להכנס לאזורים רגישים, מצלמות אבטחה, דרך הגבלות טכנולוגיות ותהליכים כמו ניהול הרשאות גישה במערכות המידע כך שכל עובד יכול לגשת למידע המינימלי ההכרחי לעבודתו, חסימת התקני USB, חסימת אתרי שיתוף קבצים והחתמה של העובדים על מסמכים מחייבים לנושא זה.

בקרה: אחת הבעיות הגדולות בטיפול במקרי הונאה, היא המחסור בהוכחות. מערכות בקרה יכולות לזהות פעילות חשודה ולהתריע ויכולות לשמש לתחקיר אירוע. מערכות הבקרה קריטיות בעידן המודרני, חלק גדול מובנה במערכות המידע השונות ויש שירותים חיצוניים מתקדמים המתאימים לארגונים המחוייבים לרמת אבטחה גבוהה. הבקרה מבוצעת באמצעות לוגים ומערכות ניטור לפעילות חשודה, כמו הורדת מידע בנפח חריג, ניסיון גישה לתיקיות רגישות.

לסיכום:

מעל ל-90 אחוז מהעסקים בישראל הם עסקים קטנים. אין דבר יותר מתסכל ופוגע לגלות שעובד שטיפחת במשך שנים בוחר לעזוב ולוקח איתו לקוחות ונכסי ידע יקרים מפז. בתי המשפט מלאים בתביעות מסוג זה. הגנה על נכסי המידע לא מחייבת השקעות גדולות, בשימוש נכון של שירותי המחשוב וניהול תהליכים בארגון תוכלו למנוע את מרבית הסיכונים.