Sikkerhedstræthed er reel: Sådan overvinder du det

IT-sikkerhed betragtes ofte som "Nej-afdelingen", og nogle gange er det let at se hvorfor. I en verden med eskalerende cyberrisiko, udvidende angrebsflader og en hurtigt voksende økonomi for cyberkriminalitet er sikkerhedsteams forståeligt nok ivrige efter at begrænse den skade, deres medarbejdere kan forårsage. Når alt kommer til alt, skal der kun et malplaceret klik til for at udløse et potentielt ødelæggende ransomware-kompromis. Men når byrden på medarbejderne bliver for høj, kan de reagere på uventede måder, hvilket faktisk øger cyberrisikoen i organisationen.

Dette er kendt som "sikkerhedstræthed" og i værste fald kan det føre til hensynsløs og impulsiv adfærd – det modsatte af, hvad it-teams ønsker. For at tackle det skal sikkerheden fungere mere problemfrit, begrænse antallet af beslutninger, brugerne skal træffe og genbalancere beskyttelse og produktivitet for en verden af ​​hybrid arbejde.

Hvad er sikkerhedstræthed, og hvor slemt er det?

Mennesker opfattes ofte som det svageste led i virksomhedens sikkerhedskæde. Det er derfor, IT-sikkerhedsafdelinger er så opsatte på at mindske risikoen fra (ikke kun) uagtsomme insidere. På den ene side har de ret. Det anslås, 67 % af virksomhederne oplevede mellem 21 og over 40 insider-hændelser i 2021, op fra 60 % i 2020 og kostede dem i gennemsnit over 15 mio. USD at afhjælpe.

Men når personalet føler sig bombarderet af sikkerhedsadvarsler, politiske regler og procedurer på arbejdet og mediehistorier om brud og trusler i deres fritid, kan en tilstand af udmattelse indtræde. Denne sikkerhedstræthed er karakteriseret ved en følelse af hjælpeløshed og tab af styring. Enkeltpersoner kan finde det hele så overvældende, at de trækker sig tilbage fra virksomhedens politik og går deres egne veje. Der kan også være en følelse af resignation: at brud kommer til at ske, uanset hvad de gør, så de kan lige så godt ignorere alle de stressende sikkerhedsadvarsler.

Det er mere almindeligt, end du måske tror. En 2018 undersøgelse afslørede, at over halvdelen (55 %) af EMEA-medarbejderne ikke regelmæssigt tænker på cybersikkerhed, og næsten en femtedel (17 %) er slet ikke bekymrede over det. Beviser tyder på, at yngre medarbejdere er endnu mere tilbøjelige til at blive trætte af overdrevne sikkerhedskrav.

Hvad er de vigtigste symptomer på sikkerhedstræthed?

Desværre kan dette have en alvorlig destabiliserende indvirkning på virksomhedens sikkerhed. Blandt de afslørende tegn på sikkerhedstræthed er medarbejdere, der:

• Tag mere risici ved phishing-e-mails, måske beslutter at klikke videre på links eller åbne vedhæftede filer af interesse.
• Øv dårlig adgangskodestyring, såsom genbrug af svage legitimationsoplysninger på tværs af flere konti. Ifølge En nyere undersøgelse, indrømmer 43 % af medarbejderne, at de deler logins og endda helt undgår deres arbejde for at reducere stresset ved at logge ind.
• Log ind på virksomhedens netværk uden en VPN, selvom dette kan være begrænset i nogle organisationer.
• Brug usikrede offentlige Wi-Fi-hotspots, når du er på vej til at logge ind på følsomme virksomhedskonti.
• Undlader at opdatere deres enheder og maskiner regelmæssigt. EN nyt EY-studie hævder, at Gen Z- og Gen Y-medarbejdere er langt mere tilbøjelige end ældre kolleger til at se bort fra obligatoriske programrettelser så længe som muligt.
• Undlad at rapportere hændelser med det samme til overordnede eller IT-afdelingen. Den samme EY-undersøgelse afslører, at næsten en femtedel (16%) af medarbejderne ville forsøge at håndtere et formodet brud på egen hånd i stedet for at underrette en anden.
• Brug arbejdsenheder til personlig brug, herunder risikable aktiviteter såsom internetdownloads, spil og online shopping. En undersøgelse hævder at halvdelen af ​​medarbejderne nu ser deres arbejdsenhed som deres personlige ejendom.
• Omgå sikkerheden på andre måder: En anden rapport afslører, at 31 % af kontoransatte i alderen 18-24 har forsøgt at omgå politikken.

Sådan tackler du sikkerhedstræthed

Det hurtige skift til massearbejde i hjemmet i 2020 udløste et knæfald i mange organisationer, da it-teams forsøgte at begrænse deres risikoeksponering ved at pålægge deres medarbejdere besværlige nye regler. Nu begynder den hybride arbejdsplads at komme ud af pandemiens aske, og der er mulighed for at revidere disse restriktioner med henblik på at reducere risikoen for sikkerhedstræthed.

Overvej følgende:

• Lyt til dine slutbrugere for bedre at forstå, hvordan sikkerhed påvirker arbejdsgange og forstyrrer produktiviteten. Prøv at designe politikker, der bedre balancerer medarbejdernes behov med behovet for at minimere cyberrisikoen.
• Begræns antallet af sikkerhedsbeslutninger, som brugere skal træffe. Det kan betyde automatisk softwarepatch, fjerninstallation af sikkerhedssoftware og administration af bærbare computere og enheder. Og kører detektions- og responstjenester i baggrunden for at fange og begrænse trusler, når de bryder netværksforsvaret.
• Understøtter forbedret log-in-sikkerhed, mens du minimerer indsatsen, med adgangskode ledere, biometrisk-baseret to-faktor autentificering og single sign-on (SSO).
• Begræns antallet af sikkerhedsrelaterede meddelelser, du bombarderer brugere med. Mindre er mere.
• Lave træning i sikkerhedskendskab sjovere, via kortere sessioner (10-15 minutter), der bruger den virkelige verden simuleringer og gamification, at ændre adfærd.

For at sikkerheden kan fungere effektivt, skal du skabe en kultur, hvor hver medarbejder forstår den afgørende rolle, de spiller for at holde organisationen sikker, og proaktivt ønsker at spille deres rolle. Den slags kultur kan tage tid at opbygge. Men det starter med at forstå og tackle årsagerne til sikkerhedstræthed.