Хакеры — не единственные, кто уклоняется от мер безопасности многих организаций. Их удаленные работники тоже.
В отчете о безопасности удаленного персонала, опубликованном в понедельник, 52 процента опрошенных американских ИТ-специалистов и специалистов по кибербезопасности показали, что у них были опытные удаленные сотрудники, которые находили обходные пути к политикам безопасности своих организаций.
Отчет, подготовленный Cybersecurity Insiders и спонсируемый Axiad, доверенным поставщиком решений для идентификации в Санта-Кларе, Калифорния, также обнаружил, что три основных политики безопасности и протоколов, которым удаленные сотрудники больше всего сопротивлялись, были многофакторной аутентификацией (35 процентов), менеджеры мобильных устройств (33 процента) и менеджеры паролей (26 процентов).
«Это означает, что даже если компания инвестировала в технологию надежной аутентификации, такую как MFA, она все еще подвергается риску, если не сможет побудить сотрудников соблюдать их политику», — отмечается в отчете. «Это еще более сложно с удаленной или гибридной рабочей силой, поскольку сотрудники не находятся в офисе, чтобы работать со своей ИТ-командой над развертыванием и использованием новых технологий», — добавил он.
Содержание статьи
Проблема простоты использования
Сотрудники, обходящие политики безопасности, обычно не делают этого со злым умыслом, — объяснил главный операционный директор Axiad Джером Бекварт.
«Они хотят выполнять свою работу максимально эффективно, и считают, что безопасность мешает им», — сказал он TechNewsWorld.
Большинство сотрудников не хотят намеренно обходить политики безопасности, — добавила Джен Кракснер, директор по стратегическому консультированию SecZetta, сторонней компании по управлению рисками в Ньюпорте, Р. И.
«Иногда это происходит потому, что они не знают, как что-то делать правильно», — сказала она TechNewsWorld. «В других случаях они знают, как это сделать, но это слишком сложно».
«Политики безопасности не всегда облегчают задачу для конечных пользователей, — продолжила она. «Когда им становится слишком сложно сделать это правильно, они делают это, как могут».
В качестве примера она привела способ реализации двухфакторной аутентификации. Один из способов — отправить уведомление, позволяющее пройти аутентификацию одним щелчком мыши. Другой способ — потребовать ввести код. Подход с одним щелчком мыши имеет большее значение для пользователя, чем ввод кода.
Оливер Таваколи, технический директор Vectra AI, поставщика решений для автоматического управления угрозами в Сан-Хосе, Калифорния, объяснил, что в организациях серьезно относящиеся к безопасности, меньше сотрудников думают об обходе политик безопасности.
«Но при плохом взаимодействии с пользователем — например, при необходимости вводить второй фактор для аутентификации каждый раз, когда ваш ноутбук выходит из режима гибернации; процент несоблюдения. таких как запуск программного обеспечения, гарантирующего, что ваш ноутбук никогда не перейдет в режим гибернации, даже когда вас нет, имеет тенденцию расти », — сказал он TechNewsWorld.
Добрые намерения
Некоторые сотрудники могут думать, что им необходимо преодолеть безопасность своей организации, чтобы работать более продуктивно.
«Сотрудник может иметь доступ к файлам и приложениям, которые недоступны удаленно», — сказал Сарью Найяр, генеральный директор Gurucul, компании по разведке угроз в Эль-Сегундо, Калифорния.
«В таких случаях работник может попытаться обойти сетевые ограничения, чтобы получить доступ, к которому они привыкли в офисе», — сказала она TechNewsWorld.
Эрих Крон, защитник осведомленности о безопасности в KnowBe4, обучающем центре по вопросам безопасности в Клируотере, штат Флорида, объяснил, что, если сотрудник не понимает причины политики безопасности или если в организации слабая культура безопасности, сотрудники будут часто стараются обойти политику.
«Они могут думать, что это просто дополнительные шаги, которые они должны предпринять для выполнения своей работы, или ненужные препятствия, мешающие производству», — сказал он TechNewsWorld.
«Если дополнительная работа будет достаточно значительной, они могут даже начать возмущаться политикой или организацией», — добавил он.
«Сотрудники часто не понимают, насколько важен современный ландшафт угроз, — сказал он, — или могут полагать, что они или их организация слишком малы для того, чтобы стать мишенью киберпреступников, — распространенное заблуждение, которое часто приводит к большие проблемы ».
Lemons Into Lemonade
Неудивительно, что сотрудники находят обходные пути для политик безопасности, — заметил Сунил Ю, директор по информационной безопасности JupiterOne, поставщика кибернетической информации в Моррисвилле, Северная Каролина. решения для управления активами и корпоративного управления.
«Мы хотим, чтобы наши сотрудники были умными и творческими, поэтому неудивительно, что сотрудники находят способы обойти меры безопасности», — сказал он TechNewsWorld.
Он рекомендовал организациям использовать творческий потенциал, обходя меры безопасности.
«Важно, чтобы сотрудники делились этими методами обхода с командой безопасности, а не чтобы группа безопасности полностью блокировала эти методы , но чтобы группа безопасности могла найти или построить более безопасные, мощеные дорожки, которые позволят сотрудникам работать еще более продуктивно », — сказал он.
«Чтобы укрепить доверие в компании, чтобы сотрудники чувствовали себя готовыми и в безопасности рассказывать о том, как они обошли меры безопасности, команда безопасности должна сохранять простоту, открытость и совместимость, позволяющую и вознаграждающую за счет соблюдения одного из основных заявленных принципов. в Манифесте современной кибербезопасности, который ставит прозрачность перед неясностью, практичность перед процессом и удобство использования перед сложностью », — добавил он.
Инсайдерские угрозы растут
Однако не все сотрудники учитывают интересы своего работодателя, когда завершают выполнение политик и протоколов безопасности.
«Удаленная работа значительно увеличила внутренние угрозы со стороны сотрудников, которые рискуют активами компании, например, крадут конфиденциальные данные для личного использования или получения выгоды, поскольку работодатели имеют меньше информации о том, к чему имеют доступ сотрудники», — заметил Джозеф Карсон, главный научный сотрудник службы безопасности в компании. Thycotic, поставщик решений для управления привилегированными учетными записями в Вашингтоне, округ Колумбия.
«У сотрудников есть устройства компании, которые зависят от сетевой безопасности, такие как шлюзы электронной почты, веб-шлюзы, системы обнаружения вторжений или брандмауэры — для защиты этих устройств», — сказал он TechNewsWorld
«Сейчас большинство из них защита практически бесполезна, потому что устройства были перенесены в общедоступный Интернет », — сказал он.
Противодействие плохому поведению
Как организации могут отговорить сотрудников от уклонения от политики безопасности?
«Использование политик безопасности с минимальным трением — лучший способ достичь цели», — сказал Дэвид Стюарт , Генеральный директор компании Approov, Эдинбург, Великобритания, которая выполняет динамический анализ программного обеспечения на двоичном уровне.
«Если безопасность невидима, то у сотрудника нет стимула обходить ее», — сказал он TechNewsWorld.
Крис Клемент, вице-президент по архитектуре решений Cerberus Sentinel, консалтинговой компании по кибербезопасности и тестирования на проникновение в Скоттсдейле, штат Аризона, рекомендовал использовать стимулы.
«Найдите способы сделать безопасность простой или даже прозрачной для ваших пользователей, и соблюдение ваших политик будет высоким», — сказал он TechNewsWorld.
«Тем не менее, всегда есть люди со злым умыслом, от которых нужно остерегаться», — добавил он. «Регулярный мониторинг и аудит действий пользователей необходимы, чтобы иметь возможность быстро выявлять злонамеренные действия и реагировать на них».
