従業員は、セキュリティ ガイダンスに対して鈍感になっているため、貴重なデータに対してより多くのリスクを冒していますか? 手遅れになる前に症状を見つけてください。
多くの場合、IT セキュリティは「No 部門」とみなされますが、その理由は簡単にわかります。 サイバーリスクがエスカレートする世界で、 攻撃面の拡大 急速に成長するサイバー犯罪経済に対応するため、セキュリティ チームは当然のことながら、従業員が引き起こす可能性のある損害を最小限に抑えたいと考えています。 結局のところ、クリックを XNUMX 回間違えただけで、 壊滅的なランサムウェア侵害. しかし、従業員の負担が大きくなりすぎると、従業員は予期しない方法で反応する可能性があり、実際には組織のサイバー リスクが増加します。
これはとして知られています 「セキュリティ疲れ」 最悪のシナリオでは、無謀で衝動的な行動につながる可能性があります。これは、IT チームが望んでいることとは正反対です。 これに取り組むには、セキュリティがよりシームレスに機能し、ユーザーが行う必要がある決定の数を制限し、保護と生産性のバランスを取り直す必要があります。 ハイブリッドワーキングの世界.
セキュリティ疲労とは何ですか? また、その深刻度は?
人間は、企業のセキュリティ チェーンの中で最も弱いリンクと見なされることがよくあります。 そのため、IT セキュリティ部門は (だけでなく) 過失のある内部関係者によるリスクを軽減することに非常に熱心です。 一方では、彼らは正しいです。 推定 企業の 67% が、21 年の 40% から 2021 年に 60 件から 2020 件を超える内部関係者によるインシデントを経験し、修復に平均 15 万米ドル以上の費用がかかっています。
しかし、スタッフがセキュリティ警告、職場でのポリシー ルールと手順、および空き時間に侵害や脅威に関するメディアの記事に圧倒されていると感じると、極度の疲労状態に陥る可能性があります。コントロール。 個人は、すべてに圧倒されて、会社の方針から離れて自分の道を歩むかもしれません。 あきらめの感覚もあるかもしれません。侵害は何をしようとも発生するので、ストレスの多いセキュリティ アラートをすべて無視する可能性があるからです。
それはあなたが思っているよりも一般的です。 2018研究 EMEA の従業員の半数以上 (55%) は定期的にサイバーセキュリティについて考えておらず、17 分の XNUMX 近く (XNUMX%) はまったく気にしていません。 証拠によると、若いスタッフは過度のセキュリティ要求によって疲労する傾向がさらに強いことが示唆されています。
セキュリティ疲れの主な症状は何ですか?
残念ながら、これは企業のセキュリティに深刻な不安定化をもたらす可能性があります。 セキュリティ疲れの明らかな兆候には、次のような従業員がいます。
- もっと取って フィッシングメールのリスク、おそらくリンクをクリックするか、関心から添付ファイルを開くことにします。
- 複数のアカウントで脆弱な認証情報を再利用するなど、不適切なパスワード管理を実践します。 によると 1最近の研究では、従業員の 43% が、ログインのストレスを軽減するために、ログイン情報を共有したり、仕事を完全に避けたりしていることを認めています。
- 一部の組織では制限されている場合がありますが、VPN を使用せずに企業ネットワークにログインします。
- 機密性の高い企業アカウントにログインしようとしているときは、セキュリティで保護されていない公共の Wi-Fi ホットスポットを使用してください。
- デバイスとマシンを定期的に更新していません。 あ 新しいEYの研究 Z 世代と Y 世代の従業員は、年配の従業員よりも、必須のパッチを可能な限り無視する可能性がはるかに高いと主張しています。
- インシデントを上司または IT 部門にすぐに報告しない。 同じ EY の調査によると、従業員の 16 分の XNUMX 近く (XNUMX%) が、侵害の疑いがある場合、他の人に通知するのではなく、自分で処理しようとすることが明らかになりました。
- インターネット ダウンロード、ゲーム、オンライン ショッピングなどの危険な活動を含む、個人的な使用のために仕事用デバイスを使用します。 ある研究によると 半分の従業員が仕事用のデバイスを個人の所有物と見なすようになりました。
- 他の方法でセキュリティを回避します。 別のレポート 31 ~ 18 歳のオフィス ワーカーの 24% がポリシーを回避しようとしたことがあることが明らかになりました。
セキュリティ疲労に対処する方法
2020 年の大量在宅勤務への急速な移行は、IT チームが従業員に厄介な新しい規則を課すことでリスクへの露出を制限しようとしたため、多くの組織で反射的な対応を引き起こしました。 ハイブリッド ワークプレイスがパンデミックの灰の中から姿を現し始めた今、セキュリティ疲れのリスクを軽減することを視野に入れて、これらの制限を再検討する機会があります。
次の点を考慮してください
- エンド ユーザーの声に耳を傾け、セキュリティがワークフローにどのように影響し、生産性を低下させるかをよりよく理解します。 従業員のニーズとサイバー リスクを最小限に抑える必要性とのバランスを改善するポリシーを設計するようにしてください。
- ユーザーが行う必要があるセキュリティ上の決定の数を制限します。 これは、自動ソフトウェア パッチ適用、リモート セキュリティ ソフトウェア インストール、およびラップトップとデバイスの管理を意味する可能性があります。 また、検出および対応サービスをバックグラウンドで実行して、脅威がネットワーク防御に違反したときにそれを捕捉して封じ込めます。
- 労力を最小限に抑えながら強化されたログイン セキュリティをサポートします。 パスワードマネージャ、生体認証ベース 2要素認証 およびシングル サインオン (SSO)。
- ユーザーを攻撃するセキュリティ関連のメッセージの数を制限します。 少ないほうがいいですね。
- アカウントを作成し セキュリティ意識向上トレーニング 現実世界を使用する短いセッション (10 ~ 15 分) で、より楽しく シミュレーションとゲーミフィケーション、動作を変更します。
セキュリティを効果的に機能させるには、すべての従業員が組織の安全を維持する上で果たす重要な役割を理解し、積極的に自分の役割を果たしたいと思う文化を作成する必要があります。 その種の文化は、構築するのに時間がかかる場合があります。 しかしそれは、セキュリティ疲れの原因を理解し、それに取り組むことから始まります。
