Légy őszinte: Ha egy fontos határidővel versenyezne, tudatosan megkerülné vállalata biztonsági szabályait, hogy elvégezze a munkát? Ha igennel válaszolt, bőven van társasága. A Gartner Biztonságos viselkedés hajtóereje szerint felmérés, a bizonytalanul viselkedő alkalmazottak 93%-a ezt tudatosan teszi.
A biztonsági politikák megkerülésének következményeiről annyi köztudat mellett miért teszik ezt az alkalmazottak? Általában azért, mert ez a legkisebb ellenállás útja.
„A legtöbb cégnél valószínűleg nemcsak jelszóval kell hitelesíteni, hanem jelszóval is többtényezős hitelesítés. Noha ez sokkal biztonságosabb, mint a jelszó önmagában, ez egy másik dolog, amit az alkalmazottaknak meg kell tenniük” – magyarázza Chris Mixter, a Gartner alelnöke. „Általában a kiberbiztonság olyan irányítást ad a helyére, amelyet nagyarányúan tudnak teljesíteni, de az alkalmazottak sok súrlódást tapasztalnak az előírások betartása során, így megtalálják a módját ennek elkerülésére.”
A súrlódások hatása előtérbe helyezi a kiberbiztonsági probléma elleni támadás új módját: az embereket a keverék középpontjába helyezve.
A sok út az emberközpontú biztonsághoz
Az emberközpontú biztonság minden ponton figyelembe veszi az emberek viselkedését, szükségleteit és korlátait – nem csak az incidensre adott választervben, hanem a napi problémák felmerülésekor. Ez olyan áttekinthető irányelveket jelent, amelyek a lehető legtöbb ponton csökkentik a súrlódást, csökkentik a biztonsággal kapcsolatos folyamatok bonyolultságát, büntetés helyett pozitív megerősítést, és ítélet nélkül segítik az alkalmazottakat, amikor szükségük van rá.
2027-ig a Gartner azt jósolta, hogy a CISO-k fele ez lesz elfogadja emberközpontú biztonság a kiberbiztonsági működési súrlódások csökkentése érdekében. A Gartner előrejelzése szerint 2030-ra a vállalatok 80%-ának lesz hivatalosan meghatározott és személyzettel ellátott humán kockázatkezelési programja, szemben a 20-es 2022%-kal.
Az emberek központosítása az a megközelítés, amelyet a Random Timer, az azonos nevű termelékenységi alkalmazást készítő vállalat alkalmazottaival együtt alkalmaz. Hagyományosan a biztonságot erősen technológia- és politikavezérelték, az emberi elem kellő figyelembevétele nélkül. Emiatt korlátozó és frusztráló érzés lehet a végfelhasználók számára – magyarázza Matthew Anderson, a cégalapító.
„Igyekszünk tehát emberközpontú megközelítést alkalmazni. Például amikor egy új, kéttényezős hitelesítési rendszert vezettünk be, sok időt töltöttünk azzal, hogy az alkalmazottakkal beszélgessünk arról, mi tetszett nekik és mit nem a régi rendszerünkben. A visszajelzések alapján olyan megoldást választottunk, amely kezeli a kényelem és a használhatóság legnagyobb problémáit” – mondja.
Messze a súrlódás a biztonságos alkalmazottak legnagyobb ellensége. És burjánzik: egy Gartner-jelentés nemrégiben megállapította, hogy minden harmadik alkalmazott azt mondja, hogy a kiberbiztonsági ellenőrzéseket és irányelveket nehéz betartani, ésszerűtlenek a szerepükhöz képest, és ellentétesek munkahelyi céljaival.
A technológia-központú megközelítések alkalmazása segít csökkenteni a súrlódást, de ez nem tudja elvégezni a teljes munkát. Például a böngésző biztonságának megvalósítása és jelszó nélküli a hozzáférés jó lépések, mert a felhasználónak nem is kell rájuk gondolnia. Sok vállalat azonban még mindig nem alkalmazza ezeket a technológiákat, és még ha igen is, nem mindig működnek jól azokkal a több évtizedes technológiával, amelyre az alkalmazottak még mindig számítanak munkájuk elvégzésében.
Ezek a technológiák továbbra is súrlódást okoznak, a maguk módján. Például a biztonságos böngésző sok rossz dolgot blokkolhat, de a biztonsági csapatnak mindent „engedélyeznie kell”. Ez azt jelenti, hogy ha egy felhasználó új webhelyet szeretne meglátogatni, fel kell vennie a kapcsolatot a biztonsággal, hogy „engedélyezze” azt.
Vannak azonban technológiai alapú lehetőségek, amelyek segíthetnek. Az egyik a viselkedési jelzéseken alapuló felugró képernyő.
„Ha e-mailt küldök valakinek, akinek még soha nem küldtem e-mailt, a rendszert be lehet állítani úgy, hogy olyan riasztást kapjak, mint egy modern ellenőrző motor lámpa, ahol figyelmeztetésként használják a viselkedés esetleges megváltoztatására. ” – mondja Matthew Miller, a KPMG kiberbiztonsági szolgáltatásokért felelős vezetője. "Ez egy viselkedési lencse technológiájának beágyazása a megfelelőségi lencse helyett, és nem figyelmezteti a felhasználót."
Ismerje meg felhasználóit
Az is nagyon fontos, hogy megértsük a felhasználókat – teszi hozzá Anderson. Ez azt jelenti, hogy interjúkon, megfigyeléseken és felméréseken keresztül közvetlenül beszél a felhasználókkal. Ezzel a visszajelzéssel prototípust készíthet és kiadhat minimálisan életképes termékeket, hogy még több visszajelzést gyűjtsön a felhasználói élmény finomítása érdekében. Még azt is javasolja, hogy használjanak használhatósági szakértőket az alkalmazottak érdekképviseletére.
Miller egyetért azzal, hogy megértsük a felhasználók viselkedését és motivációit. Példát hoz arra, hogy amikor egy banknál dolgozott – elég régen, hogy a felhő még új fogalom volt – minden nyáron rendszeresen több ezer gyakornok dolgozott ott. Sokan adatot, adatelemzést és szófelhőket használó projekteket kaptak, így a cég sok olyan oldalt blokkolt, amelyeken a cég adatainak védelme érdekében nyilvánosan feltölthették volna eredményeiket.
Csapata megállapította, hogy az egyik gyakornok fájlokat töltött fel a felhőbe. „Arra a kérdésre, hogy miért és hogyan csinálta ezt, és hogy nem esett baja, azt mondta, hogy miután blokkolt oldalra futott be, végül talált egyet, ami nincs blokkolva, ezért arra jutott, hogy ez a jóváhagyott webhely az adatok feltöltésére” – magyarázza Miller.
Néhány vállalat a végletekig viszi a felhasználói élmény megértését, de ez meghozza az eredményt. Például a Santander, Spanyolország legnagyobb bankja megtanította kiberbiztonsági munkatársainak a felhasználói élmény alapelveit, amely jellemzően a fejlesztők és az ügyfelekkel foglalkozó alkalmazottak területe. Mostantól, amikor egy alkalmazott azt mondja, hogy „nem tehetem”, vagy megsérti a szabályzatot, a kiberbiztonsági személyzet kérdéseket tehet fel a felhasználói élményről. Ahelyett, hogy megkérdeznék, miért tettek valamit, megkérdezhetik, milyen gyakran kell ezt megtenniük, nehéz-e elvégezni, és hogy a feladat elengedhetetlen-e a munkafolyamathoz. Ezen információk birtokában a kiberbiztonsági csapat képes lehet megváltoztatni a folyamatot – vagy kiiktatni a munkafolyamatból, ha ez nem elengedhetetlen.
Természetesen mindig van a edzés komponens, de kulcsfontosságú az edzés másként való gondolkodása emberközpontú gondolkodásmód. Ez azt jelenti, hogy a képzést az egyéni szerepekhez kell igazítani.
„Különböző típusú alkalmazottak különböző módon lépnek kapcsolatba a technológiával, az ügyfelekkel és az adatokkal, ezért nagyon konkrétan kell segíteni az embereknek a szükséges készségek fejlesztésében, valamint a kockázatkezeléshez szükséges magatartásformák kialakításában” – mondja Miller.
Építsd fel az „igen” kultúráját
Ha azt várja az alkalmazottaktól, hogy biztonságosabban járjanak el, fontos, hogy soha ne mondjunk nemet. Ha így tesz, egyszerűen megtalálják a módját a rendszer megkerülésére, mondja Mixter.
A Johnson & Johnson például az összes tiltott tevékenységet negatív, elfogadható felhasználási szabályzatából pozitív önkiszolgáló értékeléssé változtatta. A munkavállaló válaszai alapján az automatizált rendszer biztonságos megoldásra irányítja őket. Ha a rendszer megállapítja, hogy egy alkalmazott valami újat csinál, válaszul oktatóvideót küldhet. Ha a válaszokból kiderül, hogy egy alkalmazott hibásan tervezi a védett adatok felhasználását, akkor a munkavállalónak egy szintetikus adatok adattár, amely valós adatkészleteken alapul, de nem tartalmaz tényleges védett adatokat.
Azok a cégek, amelyek ténylegesen visszajelzést kérnek, gyakran jobban járnak, teszi hozzá Mixter. Az SRI, egy kaliforniai székhelyű technológiai vállalat megjegyzésdobozokat helyez el irányelveibe. Ennek kifizetődő volt az a felismerés, hogy a kiberpolitikák nem annyira olvashatók a kibertartományon kívüliek számára, ami a vállalat szerint pozitív változásokhoz vezetett.
Végül a tipikus ember/folyamat/technológia háromszög jön le, ahol az emberek állnak a középpontban.
„A technológia adja az alapot, de a folyamat és a filozófia a sikerhez vezet” – mondja Anderson. „Alapvetően olyan kultúrára van szükség, amely felöleli a felhasználóközpontú tervezést, nem csak az új technológiai eszközöket.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cybersecurity-operations/human-centric-security-model-meets-people-where-they-are
- :van
- :is
- :nem
- :ahol
- $ UP
- 2022
- 2030
- 7
- a
- Képes
- Rólunk
- elfogadható
- hozzáférés
- Szerint
- törvény
- tevékenységek
- tényleges
- tulajdonképpen
- cím
- Hozzáteszi
- tapad
- Elfogadása
- szószóló
- Után
- ellen
- Augusztus
- Éber
- Minden termék
- lehetővé
- megengedett
- kizárólag
- Is
- mindig
- an
- elemző
- analitika
- és a
- Anderson
- Másik
- válaszok
- app
- megközelítés
- megközelít
- jóváhagyott
- VANNAK
- TERÜLET
- felmerülhet
- körül
- AS
- kérdez
- kér
- értékelés
- At
- Támadó
- hitelesíteni
- Hitelesítés
- Automatizált
- Rossz
- Bank
- alapján
- BE
- mert
- óta
- előtt
- viselkedés
- viselkedés
- Jobb
- Legnagyobb
- Blokk
- zárolt
- dobozok
- böngésző
- de
- by
- Kalifornia
- TUD
- Okoz
- Központ
- változik
- Változások
- A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a
- chris
- megkerülése
- megkerülve
- felhő
- jön
- megjegyzés
- Companies
- vállalat
- bonyolultság
- teljesítés
- összetevő
- koncepció
- konfliktus
- Következmények
- megfontolás
- úgy véli,
- kapcsolat
- ellenőrzés
- ellenőrzések
- kényelem
- tudott
- Tanfolyam
- kritikai
- kultúra
- Ügyfelek
- cyber
- Kiberbiztonság
- dátum
- Adatelemzés
- adatkészletek
- nap
- határidő
- meghatározott
- szállít
- Design
- meghatározza
- Fejleszt
- fejlesztők
- DID
- nem
- különböző
- eltérően
- közvetlen
- közvetlenül
- do
- nem
- Ennek
- domain
- Don
- csinált
- le-
- hajtás
- illesztőprogramok
- elem
- megszüntetése
- beágyazás
- átkarolás
- munkavállaló
- alkalmazottak
- végén
- elég
- Vállalatok
- alapvető
- létrehozó
- Még
- Minden
- minden
- példa
- vár
- tapasztalat
- szakértők
- Elmagyarázza
- szélső
- messze
- Visszacsatolás
- érez
- mintás
- Fájlok
- Végül
- Találjon
- A
- Formálisan
- talált
- Alapítvány
- alapító
- súrlódás
- ból ből
- frusztráló
- alapvetően
- Gartner
- gyűjt
- általános
- kap
- adott
- ad
- jó
- kellett
- fél
- Kemény
- Legyen
- tekintettel
- he
- segít
- segít
- segít
- becsületes
- Hogyan
- HTTPS
- emberi
- Emberi elem
- Az emberek
- i
- if
- Hatás
- végrehajtási
- fontos
- in
- incidens
- eseményre adott válasz
- tartalmaz
- tévesen
- egyéni
- információ
- Insight
- helyette
- kölcsönhatásba
- interjúk
- bele
- kérdések
- IT
- ITS
- Munka
- Állások
- Johnson
- jpg
- éppen
- Kulcs
- Kedves
- tudatosan
- tudás
- KPMG
- legnagyobb
- legkevésbé
- Led
- hitelezési
- fény
- mint
- korlátozások
- Hosszú
- Sok
- alacsonyabb
- csinál
- KÉSZÍT
- kezelése
- vezetés
- sok
- matthew
- Lehet..
- eszközök
- Megfelel
- esetleg
- Molnár
- Gondolkodásmód
- minimum
- keverje
- modell
- modern
- több
- a legtöbb
- motivációk
- sok
- kell
- név
- Szükség
- igények
- negatív
- soha
- Új
- Új Tech
- nem
- Most
- célok
- of
- kedvezmény
- gyakran
- Régi
- on
- ONE
- csak
- operatív
- Opciók
- or
- mi
- kívül
- saját
- fizetett
- Fájdalom
- Jelszó
- jelszavak
- ösvény
- utak
- Emberek (People)
- személyzet
- filozófia
- Hely
- terv
- tervezés
- Plató
- Platón adatintelligencia
- PlatoData
- bőséges
- pont
- Politikák
- politika
- pop-up
- pozitív
- lehetséges
- potenciálisan
- jósolt
- elnök
- Fő
- elvek
- valószínűleg
- Probléma
- folyamat
- Folyamatok
- termelékenység
- Termékek
- Program
- projektek
- kiemelkedés
- szabadalmazott
- védelme
- prototípus
- biztosít
- nyilvános
- nyilvánosan
- büntetés
- helyezi
- elhelyezés
- Kérdések
- verseny
- véletlen
- igazi
- nemrég
- csökkenteni
- finomítani
- engedje
- támaszkodnak
- jelentést
- raktár
- megköveteli,
- Ellenállás
- válasz
- Korlátozó
- Eredmények
- mutatják
- Kockázat
- kockázatkezelés
- Szerep
- szerepek
- rutinszerűen
- szabályok
- futás
- s
- biztonságos
- Mondott
- azonos
- Santander
- azt mondják
- azt mondja,
- Skála
- Képernyő
- biztonság
- biztosan
- biztonság
- biztonsági politikák
- Önkiszolgáló
- küld
- elküldés
- Szolgáltatások
- készlet
- Szettek
- számos
- egyszerűen
- weboldal
- Webhely (ek)
- készségek
- So
- megoldások
- Valaki
- valami
- Spanyolország
- különleges
- költött
- Személyzet
- Lépései
- Még mindig
- siker
- javasolja,
- nyár
- rendszer
- szabászat
- Vesz
- beszéd
- Feladat
- tanított
- csapat
- tech
- Tech cég
- Technologies
- Technológia
- mint
- hogy
- A
- azok
- Őket
- akkor
- Ott.
- Ezek
- ők
- dolog
- dolgok
- Szerintem
- Gondolkodás
- ezt
- azok
- bár?
- ezer
- három
- Keresztül
- idő
- nak nek
- szerszámok
- hagyományosan
- Képzések
- baj
- megpróbál
- Fordult
- típusok
- tipikus
- jellemzően
- megért
- megértés
- feltöltve
- használhatóság
- használ
- használt
- használó
- User Experience
- Felhasználók
- használ
- segítségével
- rendszerint
- Ve
- nagyon
- életképes
- vice
- Alelnök
- videó
- Látogat
- akar
- figyelmeztetés
- volt
- nem volt
- Út..
- módon
- we
- weboldal
- JÓL
- voltak
- Mit
- amikor
- vajon
- ami
- míg
- WHO
- egész
- miért
- lesz
- val vel
- nélkül
- szó
- Munka
- munkafolyamat
- dolgozó
- lenne
- Igen
- hozamok
- te
- A te
- zephyrnet