您的员工是否因为对安全指南变得不敏感而冒着使用有价值数据的更多风险? 在为时已晚之前发现症状。
IT 安全通常被视为“否的部门”,有时很容易看出原因。 在网络风险不断升级的世界中, 扩大攻击面 和快速增长的网络犯罪经济,安全团队热衷于限制其员工可能造成的损害是可以理解的。 毕竟,只需一次错位的点击即可释放潜在的 毁灭性的勒索软件妥协. 但当员工负担过重时,他们可能会做出意想不到的反应,这实际上会增加组织的网络风险。
这被称为 “安全疲劳” 在最坏的情况下,它可能会导致鲁莽和冲动的行为——这与 IT 团队想要的完全相反。 为了解决这个问题,安全需要更加无缝地工作,限制用户需要做出的决策数量,并重新平衡保护和生产力 混合工作的世界.
什么是安全疲劳,它有多严重?
人通常被认为是企业安全链中最薄弱的环节。 这就是为什么 IT 安全部门如此热衷于减轻(不仅仅是)疏忽的内部人员带来的风险。 一方面,他们是对的。 据估计, 67% 的公司在 21 年经历了 40 到 2021 多起内部事件,高于 60 年的 2020%,平均花费超过 15 万美元进行补救。
然而,当工作人员在业余时间感到受到安全警告、工作中的政策规则和程序以及媒体关于违规和威胁的报道的轰炸时,可能会出现精疲力尽的状态。这种安全疲劳的特点是无助感和失去感控制。 个人可能会发现这一切如此难以抗拒,以至于他们退出公司政策并走自己的路。 也可能有一种听天由命的感觉:无论他们做什么,漏洞都会发生,所以他们不妨忽略所有那些压力很大的安全警报。
它比你想象的更常见。 一项2018研究 透露,超过一半 (55%) 的 EMEA 员工并不经常考虑网络安全,近五分之一 (17%) 的员工根本不关心它。 有证据表明,年轻的员工更容易因过度的安全需求而感到疲倦。
安全疲劳的主要症状是什么?
不幸的是,这可能会对公司安全产生严重的不稳定影响。 安全疲劳的明显迹象包括以下员工:
- 多拿一些 网络钓鱼电子邮件的风险,也许出于兴趣决定点击链接或打开附件。
- 实行糟糕的密码管理,例如在多个帐户中重复使用弱凭据。 根据 最近的一项研究, 43% 的员工承认共享登录信息,甚至完全避免工作以减轻登录压力。
- 在没有 VPN 的情况下登录公司网络,尽管这在某些组织中可能会受到限制。
- 在外出和即将登录敏感的公司帐户时使用不安全的公共 Wi-Fi 热点。
- 未能定期更新他们的设备和机器。 一个 新安永研究 声称 Z 世代和 Y 世代的员工比年长的同事更有可能尽可能长时间地无视强制性补丁。
- 未能立即向上级或 IT 部门报告事件。 同一项安永研究表明,将近五分之一 (16%) 的员工会尝试自行处理疑似违规行为,而不是通知其他人。
- 将工作设备用于个人用途,包括互联网下载、游戏和网上购物等危险活动。 一项研究声称 现在,一半的员工将他们的工作设备视为个人财产。
- 以其他方式规避安全: 另一份报告 显示,31% 的 18-24 岁上班族曾试图绕过政策。
如何应对安全疲劳
2020 年迅速转向大规模在家办公引发了许多组织的下意识反应,因为 IT 团队试图通过对员工制定繁重的新规则来限制他们的风险敞口。 现在混合工作场所开始从大流行的废墟中走出来,有机会重新审视这些限制,着眼于降低安全疲劳的风险。
考虑以下几点:
- 倾听您的最终用户的意见,以更好地了解安全性如何影响工作流程和破坏生产力。 尝试设计能够更好地平衡员工需求与最小化网络风险需求的政策。
- 限制用户需要做出的安全决策的数量。 这可能意味着自动软件补丁、远程安全软件安装以及笔记本电脑和设备的管理。 并在后台运行检测和响应服务,以在威胁突破网络防御时捕获并遏制威胁。
- 支持增强的登录安全性,同时最大限度地减少工作量, 密码管理员, 基于生物特征 双因素认证 和单点登录 (SSO)。
- 限制您用来轰炸用户的安全相关消息的数量。 少即是多。
- 他们成为 安全意识培训 更有趣,通过使用真实世界的更短的会话(10-15 分钟) 模拟和游戏化, 改变行为。
为了使安全有效地发挥作用,您需要营造一种文化,让每位员工都了解他们在确保组织安全方面发挥的关键作用,并积极主动地发挥自己的作用。 这种文化需要时间来建立。 但它始于了解和解决安全疲劳的原因。
