Angajații dvs. își asumă mai multe riscuri cu privire la datele companiei pentru că au devenit nepăsători față de îndrumările legate de securitatea cibernetică? Identificați simptomele înainte de a fi prea târziu.

Într-o lume în care riscurile cibernetice cresc, suprafețele de atac se extind și economia criminalității cibernetice are o evoluție rapidă, echipele de securitate sunt, în mod normal, dornice să limiteze daunele pe care angajații proprii le-ar putea provoca. La urma urmei, este suficient un singur click greșit pentru a compromite dispozitivul și pentru a declanșa un potențial atac de tip ransomware cu efecte devastatoare. Dar atunci când povara asupra angajaților devine prea mare, aceștia pot reacționa în moduri neașteptate, ceea ce, de fapt, crește riscul cibernetic în organizație.

Acest lucru este cunoscut sub numele de “security fatigue” (desensibilizare cu privire la riscurile de securitate) și, în cel mai rău caz, poate duce la un comportament imprudent și impulsiv - exact opusul a ceea ce își doresc echipele de securitate IT. Pentru a aborda această problemă, securitatea trebuie să funcționeze mai ușor, limitând numărul de decizii pe care trebuie să le ia utilizatorii și restabilind echilibrul dintre protecție și productivitate pentru noul sistem de muncă hibrid.

Ce este desensibilizarea privind securitatea cibernetică și cât de grav poate fi acest fenomen?

Oamenii sunt adesea considerați ca fiind cea mai slabă verigă din lanțul de securitate al companiilor. Acesta este motivul pentru care departamentele de securitate IT sunt atât de implicate să atenueze riscul reprezentat de persoanele din interior neglijente sau chiar rău intenționate. Se estimează că, numai în 2021, 67% dintre companii au avut cel puțin 21 și uneori au ajuns la peste 40 de incidente de securitate provocate de proprii angajați, în creștere de la 60% în 2020. Incidentele au avut, în medie, un cost de peste 15 milioane de dolari pentru remediere.

Cu toate acestea, atunci când personalul se simte asaltat de avertismente de securitate, de reguli, proceduri și politici la locul de muncă precum și de știrile din mass-media despre breșe și amenințări cibernetice în timpul liber, se poate instala o stare de epuizare. În materie de securitate, acest lucru se caracterizează printr-un sentiment de neputință și de pierdere a controlului. Indivizii pot găsi totul atât de copleșitor încât încep să ignore politica corporativă și își urmează propriul drum. Poate exista, de asemenea, și un sentiment de resemnare indus de faptul că breșele de securitate se vor întâmpla indiferent de deciziile pe care aceștia le iau sau de procedurile pe care le respectă. Astfel, ei pot aborda o atitudine nepăsătoare și pot la fel de bine să ignore toate acele alerte de securitate stresante.

Aceasta este o situație mai frecventă decât ați putea crede. Un studiu din 2018 a arătat că peste jumătate (55%) dintre angajații din zona EMEA nu se gândesc în mod regulat la securitatea cibernetică, iar aproape o cincime (17%) nu sunt deloc preocupați de acest aspect. Dovezile sugerează că angajații mai tineri sunt chiar mai predispuși să devină agasați și indiferenți la cerințele excesive de securitate.

Care sunt principalele simptome?

Din păcate, acest lucru ar putea avea impact serios asupra securității companiei. Semnele revelatoare ale indiferenței cu privire la sfaturile de securitate digitală se pot observa la angajații care:

• Își asumă mai multe riscuri în cazul e-mailurilor de phishing: dau click pe linkuri sau deschid fișierele atașate deoarece acestea le trezesc interesul.
• Practică o gestionare deficitară a parolelor, cum ar fi reutilizarea unor parole slabe pentru accesarea mai multor conturi. Potrivit unui studiu recent, 43% dintre angajați recunosc că împart detaliile de conectare și chiar evită complet să rezolve anumite taskuri pentru a reduce stresul legat de pașii de conectare.
• Se conectează la rețelele companiei fără folosirea unui VPN, deși acest lucru poate fi restricționat în unele companii.
• Utilizează hotspoturi Wi-Fi publice și nesecurizate atunci când se află în deplasare pentru a se conecta la conturile companiei ce conțin date sensibile.
• Nu își actualizează periodic dispozitivele. Un nou studiu EY susține că angajații din Generația Z și Generația Y sunt mult mai predispuși decât colegii mai în vârstă să ignore cât mai mult timp posibil instalarea patch-urilor obligatorii.
• Nu raportează imediat incidentele superiorilor sau departamentului IT. Același studiu EY relevă că aproape o cincime (16%) dintre angajați încearcă să se ocupe singuri de o presupusă încălcare a securității, în loc să anunțe personalul autorizat.
• Utilizează dispozitivele de la locul de muncă pentru uz personal, inclusiv pentru activități riscante, cum ar fi descărcările de materiale de pe internet, jocuri și cumpărături online. Un alt studiu susține că jumătate dintre angajați consideră în prezent dispozitivul de lucru ca fiind proprietatea lor personală.
• Încearcă să ocolească securitatea în alte moduri. Un alt raport arată că 31% dintre angajații unei companii, cu vârste cuprinse între 18 și 24 de ani, au încercat să ocolească politicile de securitate.

Cum să abordați indiferența privind securitatea IT

În 2020, trecerea rapidă și în masă la sistemul de lucru de acasă a declanșat un răspuns impulsiv în multe organizații, echipele IT încercând să limiteze expunerea la riscuri prin impunerea unor reguli noi și împovărătoare angajaților. Acum, când locul de muncă hibrid începe să prindă altă formă după perioadă pandemică, există oportunitatea de a revizui aceste restricții, cu scopul de a reduce riscul unei atitudini nepăsătoare a personalului. 

Luați în considerare următoarele:

• Ascultați-vă angajații pentru a înțelege mai bine modul în care securitatea are impact asupra fluxurilor de lucru și felul în care aceasta perturbă productivitatea. Încercați să concepeți politici care să echilibreze mai bine nevoile angajaților cu necesitatea de a minimiza riscurile cibernetice. 
• Limitați numărul de decizii de securitate pe care trebuie să le ia utilizatorii. Aceasta ar putea însemna aplicarea automată a patch-urilor de software, instalarea și gestionarea de la distanță a software-ului de securitate, a laptopurilor și a altor dispozitive. Rularea serviciilor de detectare și răspuns în fundal pentru a depista și a limita amenințările atunci când acestea încalcă apărarea rețelei este o altă modalitate de a îmbunătăți productivitatea angajaților.
• Sprijiniți o securitate sporită a conectării la conturile necesare, reducând în același timp efortul la minimum, cu ajutorul softurilor de management al parolelor, al autentificării biometrice cu doi factori și al autentificării unice (SSO).
• Utilizați principiul “less is more” și limitați numărul de mesaje legate de securitate astfel încât utilizatorii să nu fie asaltați de notificări.
• Realizați sesiuni mai distractive de instruire pentru conștientizarea securității, prin intermediul unor reprize de training mai scurte (10-15 minute) unde să utilizați simulări din lumea reală și gamificare.

Pentru ca securitatea să funcționeze în mod eficient, trebuie să creați o cultură în care fiecare angajat înțelege rolul crucial pe care îl joacă în menținerea securității organizației și dorește în mod proactiv să sprijine acest demers. Pentru a avea baze solide, acest tip de cultură organizațională se clădește în timp. Dar totul începe cu înțelegerea și abordarea cauzelor desensibilizării în materie de securitate.