A biztonsági kimerültség valódi: a következőképpen győzheti le

Az informatikai biztonságot gyakran „nem osztálynak” tekintik, és néha könnyű megérteni, miért. A növekvő kiberkockázatok világában, táguló támadási felületek és a gyorsan növekvő kiberbűnözés gazdasága miatt a biztonsági csapatok érthető módon igyekeznek korlátozni az alkalmazottaik által okozott károkat. Végtére is, mindössze egy rossz helyen végzett kattintás szükséges ahhoz, hogy felszabadítsunk egy potenciálisat pusztító ransomware kompromisszum. Ám amikor az alkalmazottakra nehezedő teher túl nagyra nő, akkor váratlan módon reagálhatnak, ami valójában növeli a kiberkockázatot a szervezetben.

Ezt úgy ismerjük, mint „biztonsági fáradtság” és a legrosszabb esetben meggondolatlan és impulzív viselkedéshez vezethet – éppen ellenkezőleg, mint amit az IT csapatok akarnak. A probléma megoldásához a biztonságnak zökkenőmentesebben kell működnie, korlátozva a felhasználók által meghozandó döntések számát, és újra egyensúlyba kell hoznia a védelmet és a termelékenységet. hibrid munka világa.

Mi a biztonsági fáradtság, és mennyire rossz?

Az embereket gyakran a vállalati biztonsági lánc leggyengébb láncszemének tekintik. Ez az oka annak, hogy az IT-biztonsági osztályok annyira igyekeznek csökkenteni a (nem csak) hanyag bennfentesek kockázatát. Egyrészt igazuk van. A becslések szerint A vállalatok 67%-a 21-ben 40 és több mint 2021 közötti bennfentes incidenst tapasztalt, szemben a 60-as 2020%-kal, és átlagosan több mint 15 millió USD-ba került a elhárításuk.

Ha azonban az alkalmazottak úgy érzik, hogy a biztonsági figyelmeztetések, a munkahelyi szabályok és eljárások, valamint a médiában a szabadidejükben elhangzott jogsértésekről és fenyegetésekről szóló hírek bombázzák, kimerültség léphet fel. Ezt a biztonsági fáradtságot a tehetetlenség és a munka elvesztése jellemzi. ellenőrzés. Az egyének mindezt annyira elsöprőnek találhatják, hogy visszavonulnak a vállalati politikától, és a saját útjukat járják. Lemondás érzése is lehet: bármit is tesznek, a jogsértések megtörténhetnek, így akár figyelmen kívül hagyhatják ezeket a stresszes biztonsági figyelmeztetéseket.

Gyakoribb, mint gondolnád. Egy 2018 vizsgálat Felfedte, hogy az EMEA-alkalmazottak több mint fele (55%) nem gondol rendszeresen a kiberbiztonságra, és közel ötöde (17%) egyáltalán nem aggódik emiatt. A bizonyítékok arra utalnak, hogy a fiatalabb alkalmazottak még hajlamosabbak arra, hogy kimerüljenek a túlzott biztonsági követelmények miatt.

Melyek a biztonsági fáradtság legfőbb tünetei?

Sajnos ez súlyosan destabilizáló hatással lehet a vállalati biztonságra. A biztonsági fáradtság árulkodó jelei közé tartoznak azok az alkalmazottak, akik:

• Vegyél többet az adathalász e-mailekkel kapcsolatos kockázatokat, esetleg úgy dönt, hogy érdeklődésből átkattint a linkekre vagy megnyitja a mellékleteket.
• Gyakorolja a rossz jelszavak kezelését, például használja fel több fiókban a gyenge hitelesítő adatokat. Alapján Egy nemrégiben készült tanulmány, az alkalmazottak 43%-a bevallotta, hogy megosztja a bejelentkezési adatokat, sőt, teljesen elkerüli a munkáját, hogy csökkentse a bejelentkezés okozta stresszt.
• Jelentkezzen be a vállalati hálózatokba VPN nélkül, bár ez egyes szervezetekben korlátozott lehet.
• Használjon nem biztonságos nyilvános Wi-Fi-hotspotokat, ha kint van, és hamarosan bejelentkezik érzékeny vállalati fiókjaiba.
• Nem frissítik rendszeresen eszközeiket és gépeiket. A új EY tanulmány azt állítja, hogy a Z és Y generációs alkalmazottak sokkal nagyobb valószínűséggel hagyják figyelmen kívül a kötelező javításokat, ameddig csak lehetséges, mint az idősebb kollégák.
• Az incidensek azonnali bejelentésének elmulasztása a feletteseknek vagy az informatikai osztálynak. Ugyanez az EY-tanulmány feltárja, hogy a munkavállalók közel ötöde (16%) saját maga próbálná meg kezelni a feltételezett jogsértést, ahelyett, hogy értesítene valakit.
• Használjon munkahelyi eszközöket személyes használatra, beleértve a kockázatos tevékenységeket, például az internetes letöltéseket, játékokat és online vásárlást. Egy tanulmány azt állítja hogy az alkalmazottak fele ma már személyes tulajdonának tekinti a munkaeszközét.
• A biztonság megkerülése más módon: Újabb jelentés feltárja, hogy a 31-18 éves irodai dolgozók 24%-a próbálta megkerülni a politikát.

Hogyan kezeljük a biztonsági fáradtságot

A tömeges otthoni munkavégzésre való 2020-ban bekövetkezett gyors átállás sok szervezetben térdreméltó reakciót váltott ki, mivel az IT-csapatok megpróbálták korlátozni kockázati kitettségüket azáltal, hogy megterhelő új szabályokat vezettek be alkalmazottaikra. Most a hibrid munkahelyek kezdenek kiemelkedni a járvány hamvaiból, lehetőség nyílik arra, hogy felülvizsgáljuk ezeket a korlátozásokat, szem előtt tartva a biztonsági kimerültség kockázatát.

Tekintsük a következő:

• Hallgassa meg végfelhasználóit, hogy jobban megértse, hogyan befolyásolja a biztonság a munkafolyamatokat és megzavarja a termelékenységet. Próbáljon meg olyan irányelveket kialakítani, amelyek jobban egyensúlyba hozzák az alkalmazottak igényeit a kiberkockázatok minimalizálásának igényével.
• Korlátozza a felhasználók által meghozandó biztonsági döntések számát. Ez jelentheti az automatikus szoftverfoltozást, a távoli biztonsági szoftverek telepítését és a laptopok és eszközök kezelését. És az észlelési és válaszadási szolgáltatások futtatása a háttérben, hogy elkapják és megfékezzék a hálózati védelmet megsértő fenyegetéseket.
• Támogatja a fokozott bejelentkezési biztonságot, miközben minimalizálja az erőfeszítést jelszókezelők, biometrikus alapú kétfaktoros hitelesítés és egyszeri bejelentkezés (SSO).
• Korlátozza a biztonsággal kapcsolatos üzenetek számát, amelyekkel bombázza a felhasználókat. A kevesebb több.
• Az elért eredményeknél hangsúlyozd: biztonságtudatossági tréning szórakoztatóbb, rövidebb (10-15 perces) üléseken keresztül, amelyek a valós világot használják szimulációk és gamification, viselkedés megváltoztatásához.

Ahhoz, hogy a biztonság hatékonyan működjön, olyan kultúrát kell kialakítani, amelyben minden alkalmazott megérti, milyen döntő szerepet játszik a szervezet biztonságának megőrzésében, és proaktívan ki akarja venni a részét. Az ilyen kultúra kialakítása időbe telhet. De ez a biztonsági fáradtság okainak megértésével és kezelésével kezdődik.