Oboseala de securitate este reală: iată cum să o depășiți

Securitatea IT este adesea privită drept „Departamentul Nu” și uneori este ușor de înțeles de ce. Într-o lume a riscului cibernetic în creștere, extinderea suprafețelor de atac și o economie a criminalității cibernetice în creștere rapidă, echipele de securitate sunt de înțeles dornice să limiteze daunele pe care le-ar putea provoca angajații lor. La urma urmei, este nevoie de doar un clic greșit pentru a dezlănțui un potențial compromis devastator de ransomware. Dar atunci când sarcina asupra angajaților devine prea mare, aceștia pot reacționa în moduri neașteptate, ceea ce de fapt crește riscul cibernetic în organizație.

Aceasta este cunoscută sub numele de „oboseala de securitate” și, în cel mai rău caz, poate duce la un comportament nesăbuit și impulsiv - chiar opusul a ceea ce își doresc echipele IT. Pentru a o aborda, securitatea trebuie să funcționeze mai perfect, limitând numărul de decizii pe care utilizatorii trebuie să le ia și reechilibrând protecția și productivitatea pentru un lumea muncii hibride.

Ce este oboseala de securitate și cât de gravă este?

Oamenii sunt adesea considerați ca fiind cea mai slabă verigă a lanțului de securitate corporativă. De aceea, departamentele de securitate IT sunt atât de dornice să atenueze riscul din partea (nu doar) persoanelor din interior neglijente. Pe de o parte, au dreptate. Un estimat 67% dintre companii au experimentat între 21 și peste 40 de incidente din interior în 2021, în creștere față de 60% în 2020 și le-a costat în medie peste 15 milioane USD pentru remediere.

Cu toate acestea, atunci când personalul se simte bombardat de avertismente de securitate, reguli și proceduri de politică la locul de muncă și poveștile media despre încălcări și amenințări în timpul lor liber, se poate instala o stare de epuizare. Această oboseală de securitate este caracterizată printr-un sentiment de neputință și pierderea Control. Persoanele fizice pot considera totul atât de copleșitor încât se retrag de la politica corporativă și merg pe drumul lor. Poate exista și un sentiment de resemnare: că încălcările se vor întâmpla orice ar face, așa că ar putea la fel de bine să ignore toate acele alerte de securitate stresante.

Este mai comun decât ai putea crede. Un studiu 2018 a dezvăluit că peste jumătate (55%) dintre angajații EMEA nu se gândesc în mod regulat la securitatea cibernetică și aproape o cincime (17%) nu sunt deloc îngrijorați de aceasta. Dovezile sugerează că personalul mai tânăr este și mai predispus să devină obosit de cerințele excesive de securitate.

Care sunt principalele simptome ale oboselii de securitate?

Din păcate, acest lucru ar putea avea un impact serios destabilizator asupra securității corporative. Printre semnele indispensabile ale oboselii securității se numără angajații care:

• Ia mai mult riscuri legate de e-mailurile de phishing, poate hotărând să dați clic pe linkuri sau să deschideți atașamente din interes.
• Practicați gestionarea slabă a parolelor, cum ar fi reutilizarea acreditărilor slabe în mai multe conturi. Conform un studiu recent, 43% dintre angajați recunosc că împărtășesc datele de conectare și chiar și-au evit cu totul munca pentru a reduce stresul conectării.
• Conectați-vă la rețelele corporative fără un VPN, deși acest lucru poate fi restricționat în unele organizații.
• Folosiți hotspot-uri Wi-Fi publice nesecurizate atunci când sunteți și pe punctul de a vă conecta la conturi corporative sensibile.
• Nu reușesc să-și actualizeze dispozitivele și mașinile în mod regulat. A nou studiu EY susține că angajații Gen Z și Gen Y au mult mai multe șanse decât colegii mai în vârstă să ignore patch-urile obligatorii cât mai mult timp posibil.
• Nu raportați imediat incidentele superiorilor sau departamentului IT. Același studiu EY dezvăluie că aproape o cincime (16%) dintre angajați ar încerca să gestioneze singuri o suspectă încălcare, în loc să notifice pe altcineva.
• Utilizați dispozitive de lucru pentru uz personal, inclusiv activități riscante, cum ar fi descărcări de pe internet, jocuri și cumpărături online. Un studiu susține că jumătate dintre angajați își văd acum dispozitivul de lucru drept proprietate personală.
• Eludați securitatea în alte moduri: Un alt raport arată că 31% dintre lucrătorii de birou cu vârsta cuprinsă între 18 și 24 de ani au încercat să ocolească politica.

Cum să abordezi oboseala securității

Trecerea rapidă la munca la domiciliu în masă în 2020 a declanșat o reacție neclintită în multe organizații, deoarece echipele IT au căutat să-și limiteze expunerea la riscuri punând noi reguli oneroase asupra angajaților lor. Acum, locul de muncă hibrid începe să iasă din cenușa pandemiei, există o oportunitate de a revizui aceste restricții, cu ochii pe reducerea riscului de oboseală a securității.

Luați în considerare următoarele:

• Ascultați utilizatorii finali pentru a înțelege mai bine modul în care securitatea influențează fluxurile de lucru și perturbă productivitatea. Încercați să proiectați politici care să echilibreze mai bine nevoile angajaților cu nevoia de a minimiza riscul cibernetic.
• Limitați numărul de decizii de securitate pe care utilizatorii trebuie să le ia. Aceasta ar putea însemna corecția automată a software-ului, instalarea software-ului de securitate la distanță și gestionarea laptopurilor și dispozitivelor. Și rulează servicii de detectare și răspuns în fundal pentru a prinde și a limita amenințările atunci când acestea încalcă apărarea rețelei.
• Sprijiniți securitatea îmbunătățită de conectare minimizând efortul, cu managerii de parole, bazat pe biometric autentificare cu două factori și Single Sign-on (SSO).
• Limitați numărul de mesaje legate de securitate cu care bombardați utilizatorii. Mai puțin înseamnă mai mult.
• Faceți suporterii vedetele spectacolului, evidențiați contribuțiile noilor veniți și distrați-vă! Nu vă fie teamă să colaborați și să acordați credit altor grupuri care se ocupă de probleme similare. Prezentați-vă la cauzele lor, karma este reală! instruire de conștientizare a securității mai distractiv, prin sesiuni mai scurte (10-15 minute) care folosesc lumea reală simulări și gamification, pentru a schimba comportamentul.

Pentru ca securitatea să funcționeze eficient, trebuie să creați o cultură în care fiecare angajat să înțeleagă rolul crucial pe care îl joacă în menținerea în siguranță a organizației și să dorească în mod proactiv să-și joace rolul. Acest tip de cultură poate dura timp pentru a construi. Dar începe cu înțelegerea și abordarea cauzelor oboselii securității.