211service.com
Återupptäck förtroendet för cybersäkerhet
Tillhandahålls av Kod42
Världen har förändrats dramatiskt på kort tid – och samtidigt förändrat arbetsvärlden. Den nya hybrida fjärr- och arbetsvärlden på kontoret har konsekvenser för tekniken – särskilt cybersäkerhet – och signalerar att det är dags att erkänna hur sammanflätade människor och teknik verkligen är.
Att möjliggöra en fartfylld, molndriven samarbetskultur är avgörande för snabbt växande företag och positionera dem för att förnya, överträffa och överlista sina konkurrenter. Att uppnå denna nivå av digital hastighet kommer dock med en snabbt växande cybersäkerhetsutmaning som ofta förbises eller nedprioriteras: insiderrisk , när en gruppmedlem av misstag – eller inte – delar data eller filer utanför betrodda parter. Att ignorera den inneboende kopplingen mellan anställdas produktivitet och insiderrisk kan påverka både en organisations konkurrensposition och dess resultat.
Du kan inte behandla anställda på samma sätt som du behandlar nationalstatshackare
Insiderrisk inkluderar alla användardrivna dataexponeringshändelser – säkerhet, efterlevnad eller konkurrenskraftig karaktär – som äventyrar ett företags och dess anställdas, kunders och partners ekonomiska, rykte eller operativa välbefinnande. Tusentals användardrivna dataexponerings- och exfiltreringshändelser inträffar dagligen, som härrör från oavsiktliga användarfel, anställdas försumlighet eller illvilliga användare som har för avsikt att skada organisationen. Många användare skapar insiderrisk av misstag, helt enkelt genom att fatta beslut baserade på tid och belöning, dela och samarbeta med målet att öka sin produktivitet. Andra användare skapar risker på grund av vårdslöshet, och vissa har illvilliga avsikter, som en anställd stjäl företagsdata att ta med till en konkurrent.
Ur ett cybersäkerhetsperspektiv måste organisationer behandla insiderrisker annorlunda än externa hot. Med hot som hackare, skadlig programvara och nationalstatliga hotaktörer är avsikten tydlig – den är skadlig. Men avsikten med anställda att skapa insiderrisk är inte alltid tydlig – även om effekten är densamma. Anställda kan läcka data av misstag eller på grund av vårdslöshet. Att fullt ut acceptera denna sanning kräver ett tankesätt för säkerhetsteam som historiskt har opererat med en bunkermentalitet – under belägring från utsidan och håller sina kort nära västen så att fienden inte får insikt i deras försvar att använda mot dem. Anställda är inte motståndare till ett säkerhetsteam eller ett företag – i själva verket bör de ses som allierade i kampen mot insiderrisker.
Transparens ger förtroende: Bygga en grund för utbildning
Alla företag vill hålla sina kronjuveler – källkod, produktdesigner, kundlistor – från att hamna i fel händer. Föreställ dig den finansiella, anseende och operativa risken som kan komma från att materialdata läcker ut före en börsnotering, ett förvärv eller ett vinstsamtal. Anställda spelar en avgörande roll för att förhindra dataläckor, och det finns två avgörande faktorer förvandla anställda till allierade med insiderrisk : transparens och utbildning.
Transparens kan kännas i strid med cybersäkerhet. För cybersäkerhetsteam som arbetar med ett kontradiktoriskt tänkesätt som är lämpligt för externa hot, kan det vara utmanande att närma sig interna hot på olika sätt. Transparens handlar om att bygga förtroende på båda sidor. Anställda vill känna att deras organisation litar på att de använder data på ett klokt sätt. Säkerhetsteam bör alltid utgå från en plats av förtroende, förutsatt att majoriteten av anställdas handlingar har positiva avsikter. Men, som ordspråket säger inom cybersäkerhet, är det viktigt att lita på, men verifiera.
Övervakning är en kritisk del av hanteringen av insiderrisker, och organisationer bör vara transparenta om detta. CCTV-kameror är inte gömda i offentliga utrymmen. Faktum är att de ofta åtföljs av skyltar som aviserar övervakning i området. Ledarskap bör göra det klart för anställda att deras datarörelser övervakas – men att deras integritet fortfarande respekteras. Det är stor skillnad på att övervaka data rörelse och läsa alla anställdas e-postmeddelanden.
Transparens bygger förtroende – och med den grunden kan en organisation fokusera på att minska risker genom att ändra användarbeteende genom utbildning. För närvarande är säkerhetsutbildning och medvetenhetsprogram nischade. Nätfisketräning är sannolikt det första som kommer att tänka på på grund av den framgång den har haft med att flytta nålen och få anställda att tänka efter innan de klickar. Utanför nätfiske finns det inte mycket träning för användare att förstå vad de egentligen borde och inte borde göra.
Till att börja med vet många anställda inte ens var deras organisationer står. Vilka applikationer får de använda? Vilka är reglerna för engagemang för dessa appar om de vill använda dem för att dela filer? Vilken data kan de använda? Har de rätt till den informationen? Bryr sig organisationen ens? Cybersäkerhetsteam hanterar mycket buller från anställda som gör saker de inte borde. Tänk om du kunde minska det ljudet bara genom att svara på dessa frågor?
Utbildningsanställda bör vara både proaktiva och lyhörda . Proaktivt, för att förändra anställdas beteende, bör organisationer tillhandahålla både långa och korta utbildningsmoduler för att instruera och påminna användarna om bästa beteende. Dessutom bör organisationer svara med en mikroinlärningsmetod med hjälp av småskaliga videor utformade för att hantera mycket specifika situationer. Säkerhetsteamet måste ta en sida från marknadsföringen, med fokus på repetitiva meddelanden som levereras till rätt personer vid rätt tidpunkt.
En gång företagsledare förstå den insiderrisken är inte bara en cybersäkerhetsfråga, utan en som är intimt sammanflätad med en organisations kultur och har en betydande inverkan på verksamheten, kommer de att vara i en bättre position att utöver-innovera, överträffa och överlista sina konkurrenter. I dagens hybrid fjärr- och arbetsvärld på kontoret , det mänskliga elementet som finns inom tekniken har aldrig varit mer betydelsefullt. Det är därför transparens och utbildning är avgörande för att förhindra att data läcker utanför organisationen.
Detta innehåll producerades av Code42. Den skrevs inte av MIT Technology Reviews redaktion.
