La fatica della sicurezza è reale: ecco come superarla

La sicurezza IT è spesso considerata il "Dipartimento del No" ea volte è facile capire perché. In un mondo di crescente rischio informatico, espandere le superfici di attacco e un'economia del crimine informatico in rapida crescita, i team di sicurezza sono comprensibilmente desiderosi di limitare i danni che i loro dipendenti potrebbero causare. Dopotutto, basta un solo clic fuori luogo per scatenare un potenziale compromissione devastante del ransomware. Ma quando l'onere per i dipendenti diventa troppo elevato, possono reagire in modi inaspettati, il che aumenta effettivamente il rischio informatico nell'organizzazione.

Questo è noto come "affaticamento della sicurezza" e nella peggiore delle ipotesi può portare a comportamenti sconsiderati e impulsivi, esattamente l'opposto di ciò che vogliono i team IT. Per affrontarlo, la sicurezza deve funzionare in modo più fluido, limitando il numero di decisioni che gli utenti devono prendere e riequilibrando protezione e produttività per un mondo del lavoro ibrido.

Che cos'è l'affaticamento della sicurezza e quanto è grave?

Gli esseri umani sono spesso considerati l'anello più debole della catena di sicurezza aziendale. Ecco perché i dipartimenti di sicurezza IT sono così desiderosi di mitigare il rischio da (non solo) addetti ai lavori negligenti. Da un lato, hanno ragione. Si stima Il 67% delle aziende ha subito tra i 21 e gli oltre 40 incidenti interni nel 2021, rispetto al 60% nel 2020, con un costo medio di oltre 15 milioni di dollari per rimediare.

Tuttavia, quando il personale si sente bombardato da avvisi di sicurezza, regole e procedure politiche sul lavoro e storie dei media di violazioni e minacce nel tempo libero, può insorgere uno stato di esaurimento. Questa stanchezza della sicurezza è caratterizzata da una sensazione di impotenza e perdita di controllo. Gli individui possono trovare tutto così opprimente da ritirarsi dalla politica aziendale e andare per la propria strada. Potrebbe anche esserci un senso di rassegnazione: che le violazioni accadranno qualunque cosa facciano, quindi tanto vale ignorare tutti quegli stressanti avvisi di sicurezza.

È più comune di quanto si possa pensare. Uno studio 2018 ha rivelato che oltre la metà (55%) dei dipendenti EMEA non pensa regolarmente alla sicurezza informatica e quasi un quinto (17%) non se ne preoccupa affatto. L'evidenza suggerisce che il personale più giovane è ancora più incline ad affaticarsi a causa di eccessive richieste di sicurezza.

Quali sono i sintomi principali dell'affaticamento della sicurezza?

Sfortunatamente, ciò potrebbe avere un impatto seriamente destabilizzante sulla sicurezza aziendale. Tra i segni rivelatori di affaticamento della sicurezza vi sono i dipendenti che:

• Prendi di più rischi con le e-mail di phishing, magari decidendo di fare clic sui collegamenti o aprire gli allegati per interesse.
• Pratica una cattiva gestione delle password, come il riutilizzo di credenziali deboli su più account. Secondo uno studio recente, il 43% dei dipendenti ammette di condividere gli accessi e persino di evitare del tutto il proprio lavoro per ridurre lo stress dell'accesso.
• Accedi alle reti aziendali senza una VPN, sebbene ciò possa essere limitato in alcune organizzazioni.
• Usa hotspot Wi-Fi pubblici non protetti quando sei in giro per accedere ad account aziendali sensibili.
• Non riescono ad aggiornare regolarmente i loro dispositivi e macchine. UN nuovo studio EY afferma che i dipendenti della Gen Z e della Gen Y sono molto più propensi rispetto ai colleghi più anziani a ignorare le patch obbligatorie il più a lungo possibile.
• Non segnalare immediatamente gli incidenti ai superiori o al reparto IT. Lo stesso studio EY rivela che quasi un quinto (16%) dei dipendenti proverebbe a gestire una sospetta violazione da solo, piuttosto che avvisare qualcun altro.
• Utilizzare i dispositivi di lavoro per uso personale, incluse attività rischiose come download da Internet, giochi e acquisti online. Uno studio sostiene che metà dei dipendenti ora vede il proprio dispositivo di lavoro come una proprietà personale.
• Aggirare la sicurezza in altri modi: Un altro rapporto rivela che il 31% degli impiegati di età compresa tra 18 e 24 anni ha cercato di aggirare la politica.

Come affrontare l'affaticamento della sicurezza

Il rapido passaggio al lavoro da casa di massa nel 2020 ha innescato una risposta istintiva in molte organizzazioni mentre i team IT cercavano di limitare la loro esposizione al rischio imponendo nuove regole onerose ai propri dipendenti. Ora che il posto di lavoro ibrido sta iniziando a emergere dalle ceneri della pandemia, c'è un'opportunità per rivisitare queste restrizioni, con un occhio alla riduzione del rischio di affaticamento della sicurezza.

Si consideri il seguente:

• Ascolta i tuoi utenti finali per capire meglio in che modo la sicurezza influisce sui flussi di lavoro e interrompe la produttività. Prova a progettare politiche che bilanciano meglio le esigenze dei dipendenti con la necessità di ridurre al minimo il rischio informatico.
• Limita il numero di decisioni sulla sicurezza che gli utenti devono prendere. Ciò potrebbe significare l'applicazione automatica di patch al software, l'installazione remota del software di sicurezza e la gestione di laptop e dispositivi. E l'esecuzione di servizi di rilevamento e risposta in background per rilevare e contenere le minacce quando violano le difese della rete.
• Supporta una maggiore sicurezza di accesso riducendo al minimo lo sforzo, con gestori di password, basato su dati biometrici autenticazione a due fattori e single sign-on (SSO).
• Limita il numero di messaggi relativi alla sicurezza con cui bombardi gli utenti. Meno è di più.
• Make formazione alla consapevolezza della sicurezza più divertente, tramite sessioni più brevi (10-15 minuti) che utilizzano il mondo reale simulazioni e ludicizzazione, per modificare il comportamento.

Affinché la sicurezza funzioni in modo efficace, è necessario creare una cultura in cui ogni dipendente comprenda il ruolo cruciale che svolge nel mantenere l'organizzazione al sicuro e voglia fare la propria parte in modo proattivo. Questo tipo di cultura può richiedere tempo per essere costruito. Ma inizia con la comprensione e l'affrontare le cause dell'affaticamento della sicurezza.