Fii sincer: dacă te-ai lupta cu un termen limită important, ai ocoli cu bună știință regulile de securitate ale companiei tale pentru a duce treaba la bun sfârșit? Dacă ai răspuns „da”, ai multă companie. Potrivit lui Gartner Drivers of Secure Behavior studiu, 93% dintre angajații care se comportă nesigur o fac cu bună știință.
Cu atât de multă cunoștință publică despre consecințele ocolirii politicilor de securitate, de ce fac angajații? De obicei, pentru că este calea cu cea mai mică rezistență.
„În majoritatea companiilor, probabil că trebuie să vă autentificați nu numai cu o parolă, ci și cu autentificare multifactor. Deși este mult mai sigur decât parolele, este un alt lucru pe care trebuie să-l facă angajații”, explică Chris Mixter, analist vicepreședinte la Gartner. „În general, securitatea cibernetică pune în aplicare controlul pe care îl pot livra la scară, dar angajații se confruntă cu o mulțime de frecări în a se conforma, așa că găsesc modalități de a o evita.”
Impactul fricțiunii dă proeminență unui nou mod de a ataca problema securității cibernetice: punând oamenii în centrul amestecului.
Multe căi către securitatea centrată pe om
Securitatea centrată pe om ia în considerare comportamentele, nevoile și limitările oamenilor în toate punctele - nu numai în planul de răspuns la incident, ci de zi cu zi pe măsură ce apar probleme. Aceasta înseamnă politici lizibile care reduc frecarea în cât mai multe puncte posibil, o complexitate mai scăzută a proceselor legate de securitate, o consolidare pozitivă în loc de pedeapsă și să îi ajute pe angajați atunci când au nevoie de ea fără judecată.
Până în 2027, Gartner a prezis că jumătate dintre CISO o vor face adopta securitate centrată pe om pentru a reduce frecarea operațională a securității cibernetice. Și până în 2030, a prezis Gartner, 80% dintre întreprinderi vor avea un program de management al riscului uman definit oficial și dotat cu personal, față de 20% în 2022.
Centrarea oamenilor este abordarea Random Timer, o companie care produce o aplicație de productivitate cu același nume, pe care o folosește împreună cu angajații săi. În mod tradițional, securitatea a fost foarte condusă de tehnologie și politică, fără a se lua în considerare suficient elementul uman. Acest lucru îl poate face să se simtă restrictiv și frustrant pentru utilizatorii finali, explică fondatorul companiei Matthew Anderson.
„Așa că încercăm să adoptăm o abordare centrată pe om. De exemplu, când implementam un nou sistem de autentificare cu doi factori, am petrecut mult timp vorbind cu angajații despre ceea ce le-a plăcut și ce nu le-a plăcut la vechiul nostru sistem. Am folosit acest feedback pentru a alege o soluție care să le abordeze cele mai mari probleme legate de confort și utilizare”, spune el.
De departe, frecarea este cel mai mare dușman al angajaților siguri. Și este răspândit: un raport Gartner a constatat recent că mai mult de unul din trei angajați spun că consideră că controalele și politicile de securitate cibernetică sunt greu de respectat, nerezonabile pentru rolul lor și în conflict cu obiectivele lor de muncă.
Utilizarea abordărilor centrate pe tehnologie ajută la reducerea frecării, dar asta nu poate face toată treaba. De exemplu, implementarea securității browserului și fără parolă accesul sunt pași buni, deoarece utilizatorul nici nu trebuie să se gândească la ei. Dar multe companii încă nu adoptă aceste tehnologii și, chiar dacă o fac, nu funcționează întotdeauna bine cu tehnologia veche de decenii pe care se bazează încă angajații pentru a-și face treaba.
Aceste tehnologii încă provoacă frecări, în felul lor. De exemplu, browserul securizat poate bloca o mulțime de lucruri rele, dar echipa de securitate trebuie să „permite” totul. Aceasta înseamnă că, dacă un utilizator dorește să viziteze un site web nou, trebuie să contacteze securitatea pentru a-l „permite lista”.
Există totuși opțiuni bazate pe tehnologie care pot ajuta. Unul este ecranul pop-up, bazat pe indicii comportamentale.
„Dacă trimit un e-mail unei persoane pe care nu i-am mai trimis niciodată e-mailuri înainte, sistemul ar putea fi configurat, astfel încât să primesc o alertă care este un fel ca o lumină modernă a motorului de verificare, unde este folosită ca un avertisment pentru a putea schimba comportamentul, ” spune Matthew Miller, director în domeniul serviciilor de securitate cibernetică la KPMG. „Încorporează tehnologia dintr-o lentilă comportamentală în loc de o lentilă de conformitate și nu admonestează utilizatorul.”
Înțelegeți-vă utilizatorii
De asemenea, este esențial să vă înțelegeți utilizatorii, adaugă Anderson. Asta înseamnă să vorbești direct cu utilizatorii prin interviuri, observații și sondaje. Cu acest feedback, puteți apoi să prototipați și să lansați produse minime viabile pentru a aduna și mai mult feedback pentru a îmbunătăți experiența utilizatorului. El sugerează chiar să existe experți în utilizare pentru a susține angajații.
Înțelegerea comportamentelor și motivațiilor utilizatorilor este esențială, este de acord Miller. El dă un exemplu că, atunci când lucra la o bancă – cu destul de mult timp în urmă, încât cloud-ul era încă un concept nou – câteva mii de stagiari lucrau acolo în fiecare vară. Mulți dintre ei au primit proiecte care foloseau date, analize de date și nori de cuvinte, așa că compania a blocat o mulțime de site-uri care le-ar fi permis să-și încarce public rezultatele, pentru a proteja datele companiei.
Echipa sa a constatat că unul dintre stagiari a încărcat fișiere în cloud. „Când a fost întrebat de ce și cum a făcut asta și că nu a avut probleme, a spus că, după ce a dat peste site blocat după site blocat, a găsit în sfârșit unul care nu era blocat, așa că și-a gândit că trebuie să fie site-ul aprobat pentru a încărca date”, explică Miller.
Unele companii duc înțelegerea experienței utilizatorului la extrem, dar dă rezultate. De exemplu, Santander, cea mai mare bancă din Spania, și-a învățat personalul de securitate cibernetică principiile experienței utilizatorului, care este de obicei domeniul dezvoltatorilor și al angajaților care se adresează clienților. Acum, când un angajat spune „Nu pot” sau încalcă politica, personalul de securitate cibernetică poate pune întrebări despre experiența utilizatorului. În loc să întrebe de ce au făcut ceva, ar putea întreba cât de des trebuie să o facă, dacă este greu de făcut și dacă sarcina este esențială pentru fluxul lor de lucru. Cu aceste informații, echipa de securitate cibernetică poate fi capabilă să schimbe procesul - sau să-l elimine din fluxul de lucru dacă nu este esențial.
Desigur, există întotdeauna o pregătire componentă, dar gândirea diferită la antrenament este cheia pentru centrat pe om mod de gândire. Aceasta înseamnă adaptarea pregătirii la rolurile individuale.
„Diferitele tipuri de angajați interacționează în moduri diferite cu tehnologia, clienții și datele, așa că trebuie să fiți foarte specifici în a ajuta oamenii să dezvolte abilitățile de care au nevoie și pentru a stabili comportamentele care vor gestiona riscul”, spune Miller.
Construiește o cultură a „Da”
Dacă vă așteptați ca angajații să acționeze mai sigur, este important să nu spuneți niciodată „nu”. Dacă o faci, pur și simplu vor găsi o modalitate de a ocoli sistemul, spune Mixter.
Johnson & Johnson, de exemplu, a transformat toate activitățile interzise din politica sa negativă de utilizare acceptabilă într-o evaluare pozitivă de autoservire. Pe baza răspunsurilor angajatului, sistemul automatizat îi va direcționa către o soluție sigură. Dacă sistemul stabilește că un angajat face ceva nou, ar putea trimite un videoclip de instruire ca răspuns. Dacă răspunsurile dezvăluie că un angajat intenționează să utilizeze incorect datele de proprietate, acesta poate trimite angajatului a date sintetice depozit, care se bazează pe seturi de date reale, dar nu include date proprietare reale.
Companiile care cer de fapt feedback deseori se descurcă mai bine, adaugă Mixter. SRI, o companie de tehnologie cu sediul în California, pune casete de comentarii în politicile sale. Acest lucru a dat roade cu înțelegerea că politicile cibernetice nu sunt atât de lizibile de cei din afara domeniului cibernetic, despre care compania a spus că a dus la schimbări pozitive.
Până la urmă, se rezumă la triunghiul tipic oameni/proces/tehnologie, cu oamenii în centru.
„Tehnologia oferă fundația, dar procesul și filozofia conduc succesul”, spune Anderson. „În principiu, necesită o cultură care să îmbrățișeze designul centrat pe utilizator, nu doar noi instrumente tehnologice.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cybersecurity-operations/human-centric-security-model-meets-people-where-they-are
- :are
- :este
- :nu
- :Unde
- $UP
- 2022
- 2030
- 7
- a
- Capabil
- Despre Noi
- acceptabil
- acces
- Conform
- act
- activităţi de
- curent
- de fapt
- adresa
- Adaugă
- adera
- Adoptarea
- avocat
- După
- împotriva
- în urmă
- Alerta
- TOATE
- permite
- permis
- singur
- de asemenea
- mereu
- an
- analist
- Google Analytics
- și
- Anderson
- O alta
- răspunsuri
- aplicaţia
- abordare
- abordari
- aprobat
- SUNT
- ZONĂ
- apărea
- în jurul
- AS
- cere
- solicitând
- evaluare
- At
- atacare
- autentifica
- Autentificare
- Automata
- Rău
- Bancă
- bazat
- BE
- deoarece
- fost
- înainte
- comportament
- comportamente
- Mai bine
- Cea mai mare
- Bloca
- blocat
- Dulapuri
- browser-ul
- dar
- by
- California
- CAN
- Provoca
- Centru
- Schimbare
- Modificări
- Alege
- Chris
- ocoli
- ocolind
- Cloud
- vine
- comentariu
- Companii
- companie
- complexitate
- conformitate
- component
- concept
- conflict
- Consecințele
- considerare
- consideră
- contactați-ne
- Control
- controale
- comoditate
- ar putea
- Curs
- critic
- Cultură
- clienţii care
- Cyber
- Securitate cibernetică
- de date
- Analiza datelor
- seturi de date
- zi
- Termenul limită
- definit
- livra
- Amenajări
- determină
- dezvolta
- Dezvoltatorii
- FĂCUT
- nu
- diferit
- diferit
- direcționa
- direct
- do
- nu
- face
- domeniu
- don
- făcut
- jos
- conduce
- drivere
- element
- elimina
- Încorporarea
- îmbrățișare
- Angajat
- de angajați
- capăt
- suficient de
- Companii
- esenţial
- stabilirea
- Chiar
- Fiecare
- tot
- exemplu
- aștepta
- experienţă
- experți
- explică
- extremă
- departe
- feedback-ul
- simţi
- imaginat
- Fişiere
- În cele din urmă
- Găsi
- Pentru
- Oficial
- găsit
- Fundație
- fondator
- frecare
- din
- frustrant
- fundamental
- Gartner
- aduna
- General
- obține
- dat
- oferă
- bine
- HAD
- Jumătate
- Greu
- Avea
- având în
- he
- ajutor
- ajutor
- ajută
- sincer
- Cum
- HTTPS
- uman
- Element uman
- Oamenii
- i
- if
- Impactul
- Punere în aplicare a
- important
- in
- incident
- răspuns la incident
- include
- în mod incorect
- individ
- informații
- înţelegere
- in schimb
- interacţiona
- interviuri
- în
- probleme de
- IT
- ESTE
- Loc de munca
- Locuri de munca
- Johnson
- jpg
- doar
- Cheie
- Copil
- cu bună ştiinţă
- cunoştinţe
- KPMG
- cea mai mare
- cel mai puțin
- Led
- împrumut
- ușoară
- ca
- limitări
- Lung
- Lot
- LOWER
- face
- FACE
- administra
- administrare
- multe
- Matthew
- Mai..
- mijloace
- se intalneste
- ar putea
- Morar
- Mod de gândire
- minim
- amesteca
- model
- Modern
- mai mult
- cele mai multe
- motivații
- mult
- trebuie sa
- nume
- Nevoie
- nevoilor
- negativ
- nu
- Nou
- Tehnologie nouă
- Nu.
- acum
- Obiectivele
- of
- de pe
- de multe ori
- Vechi
- on
- ONE
- afară
- operațional
- Opţiuni
- or
- al nostru
- exterior
- propriu
- plătit
- Durere
- Parolă
- Parolele
- cale
- căi
- oameni
- Personal
- filozofie
- Loc
- plan
- planificare
- Plato
- Informații despre date Platon
- PlatoData
- mulțime
- puncte
- Politicile
- Politica
- pop-up
- pozitiv
- posibil
- potenţial
- a prezis
- preşedinte
- Principal
- Principiile
- probabil
- Problemă
- proces
- procese
- productivitate
- Produse
- Program
- Proiecte
- proeminenţă
- proprietate
- proteja
- prototip
- furnizează
- public
- public
- pedeapsă
- puts
- Punând
- Întrebări
- curse
- aleator
- real
- recent
- reduce
- rafina
- eliberaţi
- se bazează
- raportează
- depozit
- Necesită
- Rezistență
- răspuns
- restrictiv
- REZULTATE
- dezvălui
- Risc
- de gestionare a riscurilor
- Rol
- rolurile
- în mod obișnuit
- norme
- funcţionare
- s
- sigur
- Said
- acelaşi
- Santander
- Spune
- spune
- Scară
- Ecran
- sigur
- în siguranță,
- securitate
- politicile de securitate
- Autoservire
- trimite
- trimitere
- Servicii
- set
- Seturi
- câteva
- pur şi simplu
- teren
- Centre de cercetare
- aptitudini
- So
- soluţie
- Cineva
- ceva
- Spania
- specific
- uzat
- Personal
- paşi
- Încă
- succes
- sugerează
- de vară
- sistem
- croitorie
- Lua
- vorbesc
- Sarcină
- învățat
- echipă
- tech
- Compania Tech
- Tehnologii
- Tehnologia
- decât
- acea
- lor
- Lor
- apoi
- Acolo.
- Acestea
- ei
- lucru
- lucruri
- crede
- Gândire
- acest
- aceste
- deşi?
- mie
- trei
- Prin
- timp
- la
- Unelte
- tradiţional
- Pregătire
- necaz
- încerca
- transformat
- Tipuri
- tipic
- tipic
- înţelege
- înţelegere
- încărcat
- uzabilitate
- utilizare
- utilizat
- Utilizator
- Experiența de utilizare
- utilizatorii
- utilizări
- folosind
- obișnuit
- Ve
- foarte
- viabil
- viciu
- Vicepreședinte
- Video
- Vizita
- vrea
- de avertizare
- a fost
- nu a fost
- Cale..
- modalități de
- we
- website
- BINE
- au fost
- Ce
- cand
- dacă
- care
- în timp ce
- OMS
- întreg
- de ce
- voi
- cu
- fără
- Cuvânt
- Apartamente
- flux de lucru
- de lucru
- ar
- da
- randamentele
- Tu
- Ta
- zephyrnet
