Cyberangreb er stigende - men hvis vi skal være ærlige, har denne udtalelse været sand i et stykke tid, givet accelerationen af cyberhændelser i løbet af de sidste mange år. Nylig forskning indikerer at organisationer oplevede 50 % flere angrebsforsøg om ugen på virksomhedens netværk i 2021, end de gjorde i 2020, og taktikker såsom phishing er ved at blive stadig mere populær efterhånden som angribere raffinerer deres gennemprøvede metoder til mere succesfuldt at lokke intetanende mål.
Det er derfor ingen overraskelse, at cyberresiliens har været et varmt emne i cybersikkerhedsverdenen. Men selvom cyberresiliens i store træk refererer til en organisations evne til at forudse, modstå og komme sig efter cybersikkerhedshændelser, begår mange eksperter den fejl at anvende udtrykket specifikt på teknologi. Og selvom det er rigtigt, at detektions- og afhjælpningsværktøjer, backupsystemer og andre ressourcer spiller en vigtig rolle i cyberresiliens, overser organisationer, der udelukkende fokuserer på teknologirisiko, et lige så vigtigt element: mennesker.
Folk er sårbare, men det behøver de ikke være
Folk opfattes ofte som det svage led i cybersikkerhed. Det er nemt at forstå hvorfor. Folk falder for phishing-svindel. De bruger svage adgangskoder og udsætter med at installere sikkerhedsopdateringer. De fejlkonfigurerer hardware og software, efterlader cloud-aktiver usikrede og sender fortrolige filer til den forkerte modtager. Der er en grund til, at så meget cybersikkerhedsteknologi bevæger sig mod automatisering: at fjerne folk fra ligningen ses som en af de mest oplagte måder at forbedre sikkerheden på. For mange sikkerhedseksperter er det bare sund fornuft.
Bortset fra - er det virkelig? Det er rigtigt, at folk laver fejl - det kaldes trods alt "menneskelige fejl" af en grund - men mange af dem fejl kommer, når medarbejderne ikke er i stand til at lykkes. Phishing er et godt eksempel. De fleste mennesker kender til begrebet phishing, men mange er måske ikke klar over de uhyggelige teknikker, som nutidens angribere anvender. Hvis medarbejderne ikke er blevet ordentligt uddannet, er de måske ikke klar over, at angribere ofte efterligner rigtige mennesker i organisationen, eller at den administrerende direktør, der beder dem om at købe gavekort "til en virksomheds happy hour", sandsynligvis ikke er lovlig. Organisationer, der ønsker at opbygge en stærk cyberresiliens, kan ikke foregive, at folk ikke eksisterer. I stedet skal de prioritere deres folks robusthed lige så højt som deres teknologis robusthed.
At træne organisationen i at genkende tegnene på almindelige angrebstaktikker, øve bedre adgangskoder og cyberhygiejne og rapportere tegn på mistænkelig aktivitet kan hjælpe med at lette byrden for it- og sikkerhedspersonale ved at give dem bedre informationer på en mere rettidig måde. Det undgår også nogle af de faldgruber, der trækker deres tid og ressourcer. Ved at sikre det mennesker på alle niveauer i virksomheden er mere modstandsdygtige, vil nutidens organisationer opdage, at deres overordnede cyberresiliens vil forbedres betydeligt.
Opbygning af de nødvendige støttesystemer
COVID-19-pandemien – og den deraf følgende acceleration af digital transformation, cloud-adoption og fjernarbejde – indkapsler perfekt behovet for at prioritere mennesker. Sikkerhedshold har været i en trykkoger, siden pandemien begyndte, og de er konstant blevet bedt om at gøre mere, tage højde for yderligere variabler, oprette nye muligheder. Og selvfølgelig er der altid en ny sårbarhed, der fanger øjnene af en administrerende direktør eller en anden seniorleder og pludselig bliver en prioritet. Disse hold er trætte, og udbrændthed er en reel bekymring. De har brug for støtte fra deres organisationer.
Fordi, hvor værdifulde moderne cybersikkerhedsværktøjer end er, træffer folk stadig de vigtigste beslutninger — hvilket betyder Det er afgørende at prioritere disse menneskers robusthed. Trætte, overanstrengte medarbejdere, der ikke føler sig passende værdsat af deres arbejdsgivere, er mere tilbøjelige til at begå fejl eller dømmekraft. Det er vigtigt at holde en åben dialog med it- og sikkerhedspersonale for at forstå deres behov. Medarbejdere, der oplever at arbejde 12-timersdage igen og igen, er ikke kun tilbøjelige til at begå fejl. De vil sandsynligvis tage afsted for at få en bedre mulighed - en, der lader dem opretholde en sund balance mellem arbejde og privatliv. Organisationer skal være parate til at ansætte og uddanne nye medarbejdere til at hjælpe med at bære noget af byrden for teams, der allerede har til opgave at foretage væsentlige justeringer i lyset af igangværende udfordringer.
At lære at genkende tegn på udbrændthed hos dine medarbejdere, at tale åbent om udbrændthed og hvordan du håndterer det, og at opmuntre til en kultur for velvære vil give et mere modstandsdygtigt team. Eftergivenhed handler trods alt om recovery, både i mennesker og teknologi.
Overse aldrig betydningen af mennesker
Alt for mange organisationer i dag ser mennesker som udskiftelige, men organisationer, der ønsker at forblive standhaftige i lyset af nutidens trusselslandskab, bør anerkende værdien af en glad, motiveret, veluddannet og veludhvilet arbejdsstyrke. Cyberresiliens handler ikke kun om at have den rigtige teknologi på plads til at håndtere moderne angribere, men om at give folk mulighed for at træffe de rigtige beslutninger og sikre, at de har den viden og støtte, de har brug for til at træffe dem. Overse vigtigheden af mennesker på egen risiko – selv med automatiseringen i fremmarch, forbliver de rygraden i en succesfuld virksomhed.
