ความเมื่อยล้าด้านความปลอดภัยเป็นเรื่องจริง: นี่คือวิธีการเอาชนะ

ความปลอดภัยด้านไอทีมักถูกมองว่าเป็น “แผนกที่ไม่มี” และบางครั้งก็เข้าใจได้ง่ายว่าทำไม ในโลกของความเสี่ยงทางไซเบอร์ที่ทวีความรุนแรงขึ้น ขยายพื้นผิวการโจมตี และเศรษฐกิจอาชญากรรมทางไซเบอร์ที่เติบโตอย่างรวดเร็ว เข้าใจได้ว่าทีมรักษาความปลอดภัยมีความกระตือรือร้นที่จะจำกัดความเสียหายที่พนักงานของพวกเขาอาจก่อขึ้น ท้ายที่สุด มันใช้เวลาเพียงคลิกเดียวที่หายไปเพื่อปลดปล่อยศักยภาพ การประนีประนอม ransomware ที่ทำลายล้าง. แต่เมื่อภาระของพนักงานสูงเกินไป พวกเขาอาจตอบสนองในลักษณะที่คาดไม่ถึง ซึ่งเป็นการเพิ่มความเสี่ยงทางไซเบอร์ในองค์กร

สิ่งนี้เรียกได้ว่า “ความเมื่อยล้าด้านความปลอดภัย” และในกรณีที่เลวร้ายที่สุด อาจนำไปสู่พฤติกรรมที่ประมาทและหุนหันพลันแล่น ซึ่งค่อนข้างตรงกันข้ามกับที่ทีมไอทีต้องการ เพื่อจัดการกับปัญหาดังกล่าว การรักษาความปลอดภัยจำเป็นต้องทำงานได้อย่างราบรื่นมากขึ้น โดยจำกัดจำนวนการตัดสินใจที่ผู้ใช้ต้องทำ และสร้างสมดุลระหว่างการป้องกันและประสิทธิภาพการทำงานสำหรับ โลกของการทำงานแบบผสมผสาน.

ความเมื่อยล้าด้านความปลอดภัยคืออะไร และมันแย่แค่ไหน?

มนุษย์มักถูกมองว่าเป็นจุดอ่อนที่สุดในห่วงโซ่ความปลอดภัยขององค์กร นั่นเป็นเหตุผลที่แผนกรักษาความปลอดภัยด้านไอทีกระตือรือร้นที่จะลดความเสี่ยงจาก (ไม่ใช่แค่) คนวงในที่ประมาทเลินเล่อ ในแง่หนึ่ง พวกเขามีสิทธิ์ที่จะ ประมาณ 67% ของบริษัทประสบกับเหตุการณ์ภายในระหว่าง 21 ถึงมากกว่า 40 ครั้งในปี 2021 เพิ่มขึ้นจาก 60% ในปี 2020 และมีค่าใช้จ่ายเฉลี่ยกว่า 15 ล้านเหรียญสหรัฐในการแก้ไข

อย่างไรก็ตาม เมื่อพนักงานรู้สึกว่าถูกโจมตีด้วยคำเตือนด้านความปลอดภัย กฎนโยบายและขั้นตอนในการทำงาน และเรื่องราวเกี่ยวกับการละเมิดและการคุกคามจากสื่อในเวลาว่าง สถานะของความเหนื่อยล้าอาจเกิดขึ้น ความเหนื่อยล้าด้านความปลอดภัยนี้มีลักษณะเฉพาะคือความรู้สึกหมดหนทางและการสูญเสีย ควบคุม. แต่ละคนอาจพบว่าทุกอย่างท่วมท้นจนถอนตัวจากนโยบายองค์กรและไปตามทางของตัวเอง อาจมีความรู้สึกของการลาออก: การละเมิดจะเกิดขึ้นไม่ว่าพวกเขาจะทำอะไรก็ตาม ดังนั้นพวกเขาจึงอาจเพิกเฉยต่อการแจ้งเตือนด้านความปลอดภัยที่ตึงเครียดเหล่านั้น

เป็นเรื่องธรรมดามากกว่าที่คุณคิด การศึกษา 2018 เปิดเผยว่าพนักงานกว่าครึ่ง (55%) ของ EMEA ไม่ได้คิดถึงความปลอดภัยในโลกไซเบอร์เป็นประจำ และเกือบหนึ่งในห้า (17%) ไม่กังวลเกี่ยวกับเรื่องนี้เลย หลักฐานแสดงให้เห็นว่าพนักงานอายุน้อยมีแนวโน้มที่จะเหนื่อยล้าจากความต้องการด้านความปลอดภัยที่มากเกินไป

อะไรคืออาการสำคัญของความอ่อนล้าด้านความปลอดภัย?

น่าเสียดายที่สิ่งนี้อาจส่งผลกระทบอย่างมากต่อความปลอดภัยขององค์กร ในบรรดาสัญญาณบอกเล่าของความอ่อนล้าด้านความปลอดภัยคือพนักงานที่:

• เอาอีก ความเสี่ยงกับอีเมลฟิชชิ่งอาจตัดสินใจคลิกผ่านลิงก์หรือเปิดไฟล์แนบโดยไม่สนใจ
• ฝึกฝนการจัดการรหัสผ่านที่ไม่ดี เช่น การใช้ข้อมูลรับรองที่ไม่รัดกุมซ้ำในหลายบัญชี ตาม หนึ่งการศึกษาล่าสุดพนักงาน 43% ยอมรับว่าแชร์ข้อมูลเข้าสู่ระบบและแม้แต่หลีกเลี่ยงงานที่ทำร่วมกันเพื่อลดความเครียดในการเข้าสู่ระบบ
• เข้าสู่ระบบเครือข่ายองค์กรโดยไม่ใช้ VPN แม้ว่าสิ่งนี้อาจถูกจำกัดในบางองค์กร
• ใช้ฮอตสปอต Wi-Fi สาธารณะที่ไม่ปลอดภัยเมื่ออยู่ข้างนอกและกำลังจะเข้าสู่ระบบบัญชีองค์กรที่มีความละเอียดอ่อน
• ไม่สามารถอัปเดตอุปกรณ์และเครื่องของพวกเขาเป็นประจำ ก การศึกษา EY ใหม่ อ้างว่าพนักงาน Gen Z และ Gen Y มีแนวโน้มมากกว่าเพื่อนร่วมงานที่มีอายุมากกว่าที่จะเพิกเฉยต่อแพตช์บังคับตราบเท่าที่เป็นไปได้
• ไม่สามารถรายงานเหตุการณ์ต่อผู้บังคับบัญชาหรือแผนกไอทีได้ทันที จากการศึกษาของ EY เดียวกันพบว่าเกือบหนึ่งในห้า (16%) ของพนักงานจะพยายามจัดการกับการละเมิดที่ต้องสงสัยด้วยตนเอง แทนที่จะแจ้งให้คนอื่นทราบ
• ใช้อุปกรณ์ที่ทำงานเพื่อการใช้งานส่วนตัว รวมถึงกิจกรรมที่มีความเสี่ยง เช่น การดาวน์โหลดทางอินเทอร์เน็ต การเล่นเกม และการซื้อของออนไลน์ การศึกษาหนึ่งอ้างว่า พนักงานครึ่งหนึ่งมองว่าอุปกรณ์ทำงานเป็นสมบัติส่วนตัว
• หลีกเลี่ยงความปลอดภัยด้วยวิธีอื่น: รายงานอื่น เผยพนักงานออฟฟิศอายุ 31-18 ปี 24% พยายามเลี่ยงนโยบาย

วิธีจัดการกับความเมื่อยล้าด้านความปลอดภัย

การเปลี่ยนแปลงอย่างรวดเร็วไปสู่การทำงานที่บ้านจำนวนมากในปี 2020 ก่อให้เกิดการตอบสนองแบบกระตุกในหลายๆ องค์กร เนื่องจากทีมไอทีพยายามจำกัดความเสี่ยงด้วยการวางกฎใหม่ที่เข้มงวดกับพนักงานของตน ขณะนี้สถานที่ทำงานแบบผสมผสานกำลังเริ่มปรากฏขึ้นจากเถ้าธุลีของการแพร่ระบาด มีโอกาสทบทวนข้อจำกัดเหล่านี้อีกครั้ง โดยมุ่งเน้นที่การลดความเสี่ยงจากความเหนื่อยล้าด้านความปลอดภัย

พิจารณาด้านล่างนี้:

• ฟังผู้ใช้ปลายทางของคุณเพื่อทำความเข้าใจว่าการรักษาความปลอดภัยส่งผลกระทบต่อเวิร์กโฟลว์และขัดขวางประสิทธิภาพการทำงานอย่างไร พยายามออกแบบนโยบายที่สมดุลระหว่างความต้องการของพนักงานกับความต้องการลดความเสี่ยงทางไซเบอร์
• จำกัดจำนวนการตัดสินใจด้านความปลอดภัยที่ผู้ใช้ต้องทำ นั่นอาจหมายถึงการแพตช์ซอฟต์แวร์อัตโนมัติ การติดตั้งซอฟต์แวร์รักษาความปลอดภัยระยะไกล และการจัดการแล็ปท็อปและอุปกรณ์ต่างๆ และเรียกใช้บริการตรวจจับและตอบสนองในเบื้องหลังเพื่อตรวจจับและบรรจุภัยคุกคามเมื่อมีการละเมิดการป้องกันเครือข่าย
• สนับสนุนการรักษาความปลอดภัยในการเข้าสู่ระบบที่ได้รับการปรับปรุงในขณะที่ลดความพยายามด้วย ผู้จัดการรหัสผ่าน, อิงตามไบโอเมตริกซ์ การตรวจสอบสิทธิ์แบบสองปัจจัย และการลงชื่อเพียงครั้งเดียว (SSO)
• จำกัดจำนวนข้อความที่เกี่ยวข้องกับการรักษาความปลอดภัยที่คุณโจมตีผู้ใช้ด้วย น้อยมาก
• ทำ การฝึกอบรมความตระหนักด้านความปลอดภัย สนุกยิ่งขึ้นผ่านเซสชันที่สั้นกว่า (10-15 นาที) ที่ใช้โลกแห่งความเป็นจริง การจำลองและการเล่นเกมเพื่อปรับเปลี่ยนพฤติกรรม

เพื่อให้การรักษาความปลอดภัยทำงานได้อย่างมีประสิทธิภาพ คุณต้องสร้างวัฒนธรรมที่พนักงานทุกคนเข้าใจถึงบทบาทสำคัญที่พวกเขามีต่อการรักษาองค์กรให้ปลอดภัย และต้องการมีส่วนร่วมในเชิงรุก วัฒนธรรมแบบนั้นต้องใช้เวลาในการสร้าง แต่เริ่มต้นด้วยการทำความเข้าใจและจัดการกับสาเหตุของความเหนื่อยล้าด้านความปลอดภัย