זהירות! – מרגל בעסק שלך?!

מנהל הביטחון הוא בעל תפקיד חשוב ובעל השפעה חזקה, הן במישרין והן בעקיפין ומהווה צוואר בקבוק למנעד רחב של מידע אשר נאסף במהלך תפקידו. במאמר זה אתמקד במושג “חוסן עסקי” ובתפקידו של מנהל הביטחון בשימור חוסן זה.

מאת: אבי אטיאס

תפקידו “הקלאסי” של הקב”ט הינו לתכנן ולבצע את האבטחה הפיזית בגוף בו הוא פועל המשלבת כוח אדם וטכנולוגיה וזאת לאחר ניתוח האיומים, תכנון תוכנית חירום ואבטחה, איתור, גיוס והכשרת עובדים ועוד מגוון משימות מגוונות, בין אם הינן חלק ממשימותיו ובין אם בנוסף על תפקידו.
אולם, תפקידו של מנהל הביטחון בימינו הוא רחב בהרבה והוא נדרש לתת מענה למגוון רחב מאוד של נושאים אשר לרוב אין לו מומחיות בהם ואמנה כמה מהם: אבטחת מידע וסייבר, מהימנות, מניעת ריגול תעשייתי, רציפות תפקודית, מוכנות לחירום ועוד.
השימוש ביועצים חיצוניים המתמחים בעולמות תוכן שונים קיים מזה שנים. כפי שברור לכל מנהל ביטחון כי תכנון והקמת מערך מצלמות או גלאים יבוצע ע”י אנשי מקצוע חיצוניים, כך הוא צריך להיות “פתוח” לשימוש ביועצים מקצועיים לתכנון ואף לטיפול בתחומים בהם אין למנהל הביטחון את הידע והניסיון הנדרשים. עוצמתו ומקצועיותו של מנהל הביטחון הם ביכולתו לאתר את המקומות בהם הוא זקוק לסיוע אנשי מקצוע חיצוניים ולא לחשוש שהבאתם ממעיטה ביכולתו או מקצועיותו, שכן ההיפך הוא הנכון!
דוגמה טובה לנושא זה הוא תחום הריגול התעשייתי הצובר תאוצה ענקית בימים אלו באמצעות בינה מלאכותית, יכולות סייבר התקפי ועוד. התמודדות כנגד תופעות אלו מחייבת שימוש בגורמי מקצוע והנהלת ארגון אינה מצפה ממנהל הביטחון לתת מענה עצמאי לתופעה זו.

כאשר אנשי מקצוע חיצוניים, אשר הובאו ע”י מנהל הביטחון, מציגים בפני ההנהלה את תוצאות סקר הסיכונים או תוצאות צוות אדום, אזי הקרדיט ניתן למנהל הביטחון גם אם לא הוא זה שביצע את הסקר.
שלושת "הרגליים" המרכזיות בעולם האבטחה:
ריגול עסקי – הנחת העבודה של מנהל הביטחון צריכה להיות כי יש "מרגל בעסק", או שלפחות יש ניסיון תמידי לריגול תעשייתי כנגד העסק. ריגול עסקי הוא אוסף של מידע סודי על מוצרים ותהליכי עבודה של המתחרים, כחלק הלא לגיטימי של פעילות המודיעין העסקי. שיטות הריגול הינן דומות לשיטות של הריגול הצבאי או ריגול מדינתי ולכן יש קושי רב לאתרו בשלבים המוקדמים, אלא אם נבצע תהליכים סדורים ומקצועיים. שיטות הפעולה של היריב הינן רבות; חלקן גלויות וחלקן סמויות, חלקן מבוצע ממידע הדולף אל מחוץ לכותלי הארגון וחלקו מגיע
מעובדים, ספקים, עובדי קבלן ועוד. איסוף המידע מתבצע ע"י האזנה לשיחות, צילום או לקיחת מסמכים, העתקת קבצים ממחשב, הכנסת רוגלה או "סוס טרויאני", גניבת מחשבים ועוד. איומי הסייבר אף הם הולכים וגוברים כפי שראינו בתקופה האחרונה בדואר ישראל וב-27.04 עת בוצעה תקיפת סייבר כנגד חברת החשמל אשר השביתה את אספקת החשמל אצל למעלה מחצי מיליון בתי אב בישראל.

מהימנות עובדים – ברוב הארגונים הקב"ט מנהל את תחום מהימנות העובדים, הן משלב האיתור ועד שלב הגיוס והעסקת העובד במעלה הדרך. מתפקידו של מנהל הביטחון או איש מטעמו לנהל שיחה פרונטלית עם המגויסים במטרה לבחון את מידת הסיכון הפוטנציאלי בקבלתם לעבודה, תוך מתן דגש על אמינותו של המועמד. במהלך השיחה נאספים נתונים אשר ישמשו את המתשאל בגיבוש חוות דעת כלפי המועמד או כאמצעי למחקר נוסף. עבור תפקידים רגישים במיוחד ניתן להשתמש גם בכלים נוספים, כגון: בדיקת פוליגרף ואחרות. יש לזכור, להפנים ולבצע בחינה מתמדת של עובדים במהלך השנים שהינה קריטית במיוחד כאשר העובד עולה במעלה הארגון ומקבל שליטה ויכולת החלטה. ככל שהעובד בדרגה בכירה יותר, כך הסיכון גבוה יותר. על הקב"ט לבחון מעת לעת את מהימנות העובדים והסימנים המעידים. מנהל הביטחון
חייב להיות בתקשורת עם כל בעלי התפקיד בארגון, לדוגמא: מנהל שיווק, מנהל אבטחת מידע ועוד בעלי תפקידים על מנת לקבל באופן יזום ושוטף מידע על עובדים אשר מגלים בעיות אישיות, "דגלים אדומים" או אירועים חריגים, בעיות כלכליות, אובדן אישי וכדומה. כל אלו ואחרות מקבלות ראיה אחרת בתחום מהימנות עובדים והטיפול הוא בהתאם.

צוות אדום – כל תכליתו של הצוות זה לראות ולהבין את התוקף!! לרוב צוות שכזה יורכב ממספר אנשי מקצוע בעל ידע וניסיון של שנים ממגוון רחב של תחומים, הצוות צריך לכלול אנשי מודיעין, אנשים בעלי רקע מבצעי, אנשי סייבר בתחום התקיפה, אנשי מבצעים לתקיפה פיזית, אנשים מתחום מהימנות עובדים ועוד. מטרת תרגיל התקיפה הוא לשקף למקבלי ההחלטות תמונת מצב אמיתית על יכולתו של היריב לממש את תרחישי האיום בתוך הארגון ולהעריך את יכולותיו לפגוע בחיי אדם, תשתיות חיוניות וקריטיות, במאגרי מידע, ציוד רגיש, מחקר ופיתוח, תוכניות עבודה וכדומה.
יש לציין כי צוות שכזה יפעל, הן בצורה גלויה והן בצורה סמויה ובמהלך הבקרה יתשאל את עובדי הארגון, יבחן את מערכות אבטחת המידע והאבטחה הפיזית, יבחן את שרשרת ההספקה וההפצה, מערך בדיקת המהימנות לעובדים, תוכניות חירום ויכולת לשמר רציפות תפקודית ועוד- הכל בהתאם להגדרות שיינתנו ע"י מנהל הביטחון והנהלת הגוף הנבדק.
בתום הליך הבדיקה יוצגו איומי הייחוס והפערים והפרצות שהתגלו וכן יוגשו המלצות לסגירת אותן פרצות שהתגלו.
לסיכום,
הנחת העבודה של מנהל הביטחון חייבת לצאת מנקודת המוצא כי הארגון נמצא או יכול להיות חשוף לניסיון פגיעה והוא חייב לפעול באופן שוטף על מנת למנוע פגיעה אפשרית זו. אי לכך שהיום ספקטרום החשיפה הוא רחב ביותר, אזי על מנהל הביטחון להיעזר בגורמי מקצוע הן לצורך קבלת ייעוץ מקצועי והן לצורך בדיקה ובקרה. מומלץ לבצע מדי שנה בקרה חיצונית ולא תלויה אשר תאתגר את יכולות הארגון ותצביע על פערים.

הכותב הינו מנכ"ל ומייסד של חברה לייעוץ בטחוני GSS360 . אבי יוצא שירות הביטחון הכללי וגופי הבטחון השונים, איש מבצעים המתמחה בתחום התקיפה ומייעץ למספר רב של גופי ביטחון/גופים ממשלתיים וחברות פרטיות.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

x
סייען נגישות
הגדלת גופן
הקטנת גופן
גופן קריא
גווני אפור
גווני מונוכרום
איפוס צבעים
הקטנת תצוגה
הגדלת תצוגה
איפוס תצוגה

אתר מונגש

אנו רואים חשיבות עליונה בהנגשת אתר האינטרנט שלנו לאנשים עם מוגבלויות, וכך לאפשר לכלל האוכלוסיה להשתמש באתרנו בקלות ובנוחות. באתר זה בוצעו מגוון פעולות להנגשת האתר, הכוללות בין השאר התקנת רכיב נגישות ייעודי.

סייגי נגישות

למרות מאמצנו להנגיש את כלל הדפים באתר באופן מלא, יתכן ויתגלו חלקים באתר שאינם נגישים. במידה ואינם מסוגלים לגלוש באתר באופן אופטימלי, אנה צרו איתנו קשר

רכיב נגישות

באתר זה הותקן רכיב נגישות מתקדם, מבית all internet - בניית אתרים. רכיב זה מסייע בהנגשת האתר עבור אנשים בעלי מוגבלויות.