Az emberközpontú biztonsági modell ott találkozik az emberekkel, ahol vannak

Légy őszinte: Ha egy fontos határidővel versenyezne, tudatosan megkerülné vállalata biztonsági szabályait, hogy elvégezze a munkát? Ha igennel válaszolt, bőven van társasága. A Gartner Biztonságos viselkedés hajtóereje szerint felmérés, a bizonytalanul viselkedő alkalmazottak 93%-a ezt tudatosan teszi.

A biztonsági politikák megkerülésének következményeiről annyi köztudat mellett miért teszik ezt az alkalmazottak? Általában azért, mert ez a legkisebb ellenállás útja.

„A legtöbb cégnél valószínűleg nemcsak jelszóval kell hitelesíteni, hanem jelszóval is többtényezős hitelesítés. Noha ez sokkal biztonságosabb, mint a jelszó önmagában, ez egy másik dolog, amit az alkalmazottaknak meg kell tenniük” – magyarázza Chris Mixter, a Gartner alelnöke. „Általában a kiberbiztonság olyan irányítást ad a helyére, amelyet nagyarányúan tudnak teljesíteni, de az alkalmazottak sok súrlódást tapasztalnak az előírások betartása során, így megtalálják a módját ennek elkerülésére.”

A súrlódások hatása előtérbe helyezi a kiberbiztonsági probléma elleni támadás új módját: az embereket a keverék középpontjába helyezve.

A sok út az emberközpontú biztonsághoz

Az emberközpontú biztonság minden ponton figyelembe veszi az emberek viselkedését, szükségleteit és korlátait – nem csak az incidensre adott választervben, hanem a napi problémák felmerülésekor. Ez olyan áttekinthető irányelveket jelent, amelyek a lehető legtöbb ponton csökkentik a súrlódást, csökkentik a biztonsággal kapcsolatos folyamatok bonyolultságát, büntetés helyett pozitív megerősítést, és ítélet nélkül segítik az alkalmazottakat, amikor szükségük van rá.

2027-ig a Gartner azt jósolta, hogy a CISO-k fele ez lesz elfogadja emberközpontú biztonság a kiberbiztonsági működési súrlódások csökkentése érdekében. A Gartner előrejelzése szerint 2030-ra a vállalatok 80%-ának lesz hivatalosan meghatározott és személyzettel ellátott humán kockázatkezelési programja, szemben a 20-es 2022%-kal.

Az emberek központosítása az a megközelítés, amelyet a Random Timer, az azonos nevű termelékenységi alkalmazást készítő vállalat alkalmazottaival együtt alkalmaz. Hagyományosan a biztonságot erősen technológia- és politikavezérelték, az emberi elem kellő figyelembevétele nélkül. Emiatt korlátozó és frusztráló érzés lehet a végfelhasználók számára – magyarázza Matthew Anderson, a cégalapító.

„Igyekszünk tehát emberközpontú megközelítést alkalmazni. Például amikor egy új, kéttényezős hitelesítési rendszert vezettünk be, sok időt töltöttünk azzal, hogy az alkalmazottakkal beszélgessünk arról, mi tetszett nekik és mit nem a régi rendszerünkben. A visszajelzések alapján olyan megoldást választottunk, amely kezeli a kényelem és a használhatóság legnagyobb problémáit” – mondja.

Messze a súrlódás a biztonságos alkalmazottak legnagyobb ellensége. És burjánzik: egy Gartner-jelentés nemrégiben megállapította, hogy minden harmadik alkalmazott azt mondja, hogy a kiberbiztonsági ellenőrzéseket és irányelveket nehéz betartani, ésszerűtlenek a szerepükhöz képest, és ellentétesek munkahelyi céljaival.

A technológia-központú megközelítések alkalmazása segít csökkenteni a súrlódást, de ez nem tudja elvégezni a teljes munkát. Például a böngésző biztonságának megvalósítása és jelszó nélküli a hozzáférés jó lépések, mert a felhasználónak nem is kell rájuk gondolnia. Sok vállalat azonban még mindig nem alkalmazza ezeket a technológiákat, és még ha igen is, nem mindig működnek jól azokkal a több évtizedes technológiával, amelyre az alkalmazottak még mindig számítanak munkájuk elvégzésében.

Ezek a technológiák továbbra is súrlódást okoznak, a maguk módján. Például a biztonságos böngésző sok rossz dolgot blokkolhat, de a biztonsági csapatnak mindent „engedélyeznie kell”. Ez azt jelenti, hogy ha egy felhasználó új webhelyet szeretne meglátogatni, fel kell vennie a kapcsolatot a biztonsággal, hogy „engedélyezze” azt.

Vannak azonban technológiai alapú lehetőségek, amelyek segíthetnek. Az egyik a viselkedési jelzéseken alapuló felugró képernyő.

„Ha e-mailt küldök valakinek, akinek még soha nem küldtem e-mailt, a rendszert be lehet állítani úgy, hogy olyan riasztást kapjak, mint egy modern ellenőrző motor lámpa, ahol figyelmeztetésként használják a viselkedés esetleges megváltoztatására. ” – mondja Matthew Miller, a KPMG kiberbiztonsági szolgáltatásokért felelős vezetője. "Ez egy viselkedési lencse technológiájának beágyazása a megfelelőségi lencse helyett, és nem figyelmezteti a felhasználót."

Ismerje meg felhasználóit

Az is nagyon fontos, hogy megértsük a felhasználókat – teszi hozzá Anderson. Ez azt jelenti, hogy interjúkon, megfigyeléseken és felméréseken keresztül közvetlenül beszél a felhasználókkal. Ezzel a visszajelzéssel prototípust készíthet és kiadhat minimálisan életképes termékeket, hogy még több visszajelzést gyűjtsön a felhasználói élmény finomítása érdekében. Még azt is javasolja, hogy használjanak használhatósági szakértőket az alkalmazottak érdekképviseletére.

Miller egyetért azzal, hogy megértsük a felhasználók viselkedését és motivációit. Példát hoz arra, hogy amikor egy banknál dolgozott – elég régen, hogy a felhő még új fogalom volt – minden nyáron rendszeresen több ezer gyakornok dolgozott ott. Sokan adatot, adatelemzést és szófelhőket használó projekteket kaptak, így a cég sok olyan oldalt blokkolt, amelyeken a cég adatainak védelme érdekében nyilvánosan feltölthették volna eredményeiket.

Csapata megállapította, hogy az egyik gyakornok fájlokat töltött fel a felhőbe. „Arra a kérdésre, hogy miért és hogyan csinálta ezt, és hogy nem esett baja, azt mondta, hogy miután blokkolt oldalra futott be, végül talált egyet, ami nincs blokkolva, ezért arra jutott, hogy ez a jóváhagyott webhely az adatok feltöltésére” – magyarázza Miller.

Néhány vállalat a végletekig viszi a felhasználói élmény megértését, de ez meghozza az eredményt. Például a Santander, Spanyolország legnagyobb bankja megtanította kiberbiztonsági munkatársainak a felhasználói élmény alapelveit, amely jellemzően a fejlesztők és az ügyfelekkel foglalkozó alkalmazottak területe. Mostantól, amikor egy alkalmazott azt mondja, hogy „nem tehetem”, vagy megsérti a szabályzatot, a kiberbiztonsági személyzet kérdéseket tehet fel a felhasználói élményről. Ahelyett, hogy megkérdeznék, miért tettek valamit, megkérdezhetik, milyen gyakran kell ezt megtenniük, nehéz-e elvégezni, és hogy a feladat elengedhetetlen-e a munkafolyamathoz. Ezen információk birtokában a kiberbiztonsági csapat képes lehet megváltoztatni a folyamatot – vagy kiiktatni a munkafolyamatból, ha ez nem elengedhetetlen.

Természetesen mindig van a edzés komponens, de kulcsfontosságú az edzés másként való gondolkodása emberközpontú gondolkodásmód. Ez azt jelenti, hogy a képzést az egyéni szerepekhez kell igazítani.

„Különböző típusú alkalmazottak különböző módon lépnek kapcsolatba a technológiával, az ügyfelekkel és az adatokkal, ezért nagyon konkrétan kell segíteni az embereknek a szükséges készségek fejlesztésében, valamint a kockázatkezeléshez szükséges magatartásformák kialakításában” – mondja Miller.

Építsd fel az „igen” kultúráját

Ha azt várja az alkalmazottaktól, hogy biztonságosabban járjanak el, fontos, hogy soha ne mondjunk nemet. Ha így tesz, egyszerűen megtalálják a módját a rendszer megkerülésére, mondja Mixter.

A Johnson & Johnson például az összes tiltott tevékenységet negatív, elfogadható felhasználási szabályzatából pozitív önkiszolgáló értékeléssé változtatta. A munkavállaló válaszai alapján az automatizált rendszer biztonságos megoldásra irányítja őket. Ha a rendszer megállapítja, hogy egy alkalmazott valami újat csinál, válaszul oktatóvideót küldhet. Ha a válaszokból kiderül, hogy egy alkalmazott hibásan tervezi a védett adatok felhasználását, akkor a munkavállalónak egy szintetikus adatok adattár, amely valós adatkészleteken alapul, de nem tartalmaz tényleges védett adatokat.

Azok a cégek, amelyek ténylegesen visszajelzést kérnek, gyakran jobban járnak, teszi hozzá Mixter. Az SRI, egy kaliforniai székhelyű technológiai vállalat megjegyzésdobozokat helyez el irányelveibe. Ennek kifizetődő volt az a felismerés, hogy a kiberpolitikák nem annyira olvashatók a kibertartományon kívüliek számára, ami a vállalat szerint pozitív változásokhoz vezetett.

Végül a tipikus ember/folyamat/technológia háromszög jön le, ahol az emberek állnak a középpontban.

„A technológia adja az alapot, de a folyamat és a filozófia a sikerhez vezet” – mondja Anderson. „Alapvetően olyan kultúrára van szükség, amely felöleli a felhasználóközpontú tervezést, nem csak az új technológiai eszközöket.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cybersecurity-operations/human-centric-security-model-meets-people-where-they-are