Riscopri la fiducia nella sicurezza informatica

Fornito da Codice42

Il mondo è cambiato radicalmente in un breve lasso di tempo, cambiando il mondo del lavoro insieme ad esso. Il nuovo mondo ibrido del lavoro in remoto e in ufficio ha ramificazioni per la tecnologia, in particolare la sicurezza informatica, e segnala che è tempo di riconoscere quanto siano realmente intrecciati gli esseri umani e la tecnologia.

Abilitare una cultura di collaborazione frenetica e basata sul cloud è fondamentale per le aziende in rapida crescita, posizionandole per superare l'innovazione, superare le prestazioni e superare in astuzia i loro concorrenti. Il raggiungimento di questo livello di velocità digitale, tuttavia, comporta una sfida alla sicurezza informatica in rapida crescita che spesso viene trascurata o priva di priorità: rischio interno , quando un membro del team condivide accidentalmente o meno dati o file al di fuori di parti fidate. Ignorare il legame intrinseco tra produttività dei dipendenti e rischio interno può influire sia sulla posizione competitiva di un'organizzazione che sui suoi profitti.

Non puoi trattare i dipendenti nello stesso modo in cui tratti gli hacker di uno stato nazionale

Il rischio insider include qualsiasi evento di esposizione dei dati guidato dall'utente, di natura di sicurezza, conformità o competitivo, che mette a rischio il benessere finanziario, reputazionale o operativo di un'azienda e dei suoi dipendenti, clienti e partner. Migliaia di eventi di esposizione ed esfiltrazione dei dati guidati dall'utente si verificano ogni giorno, derivanti da errori accidentali dell'utente, negligenza dei dipendenti o utenti malintenzionati che intendono danneggiare l'organizzazione. Molti utenti creano accidentalmente rischi interni, semplicemente prendendo decisioni basate su tempo e ricompensa, condividendo e collaborando con l'obiettivo di aumentare la propria produttività. Altri utenti creano rischi a causa della negligenza e alcuni hanno intenzioni dannose, come un dipendente che ruba i dati dell'azienda portare a un concorrente.

Dal punto di vista della sicurezza informatica, le organizzazioni devono trattare il rischio interno in modo diverso rispetto alle minacce esterne. Con minacce come hacker, malware e attori di minacce di stato nazionale, l'intento è chiaro: è dannoso. Ma l'intento dei dipendenti di creare rischi interni non è sempre chiaro, anche se l'impatto è lo stesso. I dipendenti possono trapelare dati per caso o per negligenza. Accettare pienamente questa verità richiede un cambio di mentalità per le squadre di sicurezza che storicamente hanno operato con una mentalità da bunker: sotto assedio dall'esterno, tenendo le carte vicino al giubbotto in modo che il nemico non ottenga informazioni sulle proprie difese da usare contro di loro. I dipendenti non sono gli avversari di un team di sicurezza o di un'azienda, anzi, dovrebbero essere visti come alleati nella lotta al rischio interno.

La trasparenza alimenta la fiducia: costruire una base per la formazione

Tutte le aziende vogliono evitare che i loro gioielli della corona (codice sorgente, design dei prodotti, elenchi di clienti) finiscano nelle mani sbagliate. Immagina il rischio finanziario, reputazionale e operativo che potrebbe derivare dalla divulgazione di dati materiali prima di un'IPO, di un'acquisizione o di una richiesta di guadagno. I dipendenti svolgono un ruolo fondamentale nella prevenzione delle fughe di dati e ci sono due elementi cruciali per farlo trasformare i dipendenti in alleati del rischio privilegiato : trasparenza e formazione.

La trasparenza può essere in contrasto con la sicurezza informatica. Per i team di sicurezza informatica che operano con una mentalità contraddittoria appropriata per le minacce esterne, può essere difficile affrontare le minacce interne in modo diverso. La trasparenza consiste nel creare fiducia da entrambe le parti. I dipendenti vogliono sentire che la loro organizzazione si fida di loro per utilizzare i dati con saggezza. I team di sicurezza dovrebbero sempre partire da un luogo di fiducia, presupponendo che la maggior parte delle azioni dei dipendenti abbia un intento positivo. Ma, come si suol dire nella sicurezza informatica, è importante fidarsi, ma verificare.

Il monitoraggio è una parte fondamentale della gestione del rischio interno e le organizzazioni dovrebbero essere trasparenti al riguardo. Le telecamere a circuito chiuso non sono nascoste negli spazi pubblici. Spesso, infatti, sono accompagnate da cartelli che annunciano la sorveglianza del territorio. La leadership dovrebbe chiarire ai dipendenti che i loro movimenti di dati sono monitorati, ma che la loro privacy è comunque rispettata. C'è una grande differenza tra il monitoraggio dei dati movimento e leggere tutte le email dei dipendenti.

La trasparenza crea fiducia e, su queste basi, un'organizzazione può concentrarsi sulla mitigazione del rischio modificando il comportamento degli utenti attraverso la formazione. Al momento, i programmi di educazione e sensibilizzazione alla sicurezza sono di nicchia. La formazione sul phishing è probabilmente la prima cosa che viene in mente a causa del successo che ha avuto nel muovere l'ago e convincere i dipendenti a pensare prima di fare clic. Al di fuori del phishing, non c'è molta formazione per gli utenti per capire cosa, esattamente, dovrebbero e non dovrebbero fare.

Tanto per cominciare, molti dipendenti non sanno nemmeno dove si trovino le loro organizzazioni. Quali applicazioni possono utilizzare? Quali sono le regole di ingaggio per quelle app se vogliono usarle per condividere file? Quali dati possono utilizzare? Hanno diritto a quei dati? All'organizzazione interessa? I team di sicurezza informatica si occupano di molto rumore prodotto dai dipendenti facendo cose che non dovrebbero. E se potessi ridurre quel rumore semplicemente rispondendo a queste domande?

I dipendenti della formazione dovrebbero essere sia proattivi che reattivi . In modo proattivo, al fine di modificare il comportamento dei dipendenti, le organizzazioni dovrebbero fornire moduli di formazione sia in forma lunga che breve per istruire e ricordare agli utenti i comportamenti migliori. Inoltre, le organizzazioni dovrebbero rispondere con un approccio di micro-apprendimento utilizzando brevi video progettati per affrontare situazioni altamente specifiche. Il team di sicurezza deve prendere una pagina dal marketing, concentrandosi sui messaggi ripetitivi consegnati alle persone giuste al momento giusto.

Una volta dirigenti d'azienda capire quel rischio interno non è solo un problema di sicurezza informatica, ma è intimamente intrecciato con la cultura di un'organizzazione e ha un impatto significativo sul business, saranno in una posizione migliore per innovare, superare e superare in astuzia i loro concorrenti. In quello di oggi mondo del lavoro ibrido a distanza e in ufficio , l'elemento umano che esiste all'interno della tecnologia non è mai stato così significativo. Ecco perché la trasparenza e la formazione sono essenziali per evitare che i dati si diffondano all'esterno dell'organizzazione.

Questo contenuto è stato prodotto da Code42. Non è stato scritto dalla redazione del MIT Technology Review.

nascondere

211service.com

Riscopri la fiducia nella sicurezza informatica

Non puoi trattare i dipendenti nello stesso modo in cui tratti gli hacker di uno stato nazionale

La trasparenza alimenta la fiducia: costruire una base per la formazione

Il Migliore

I media statali cinesi stanno pagando Twitter per promuovere annunci contro i manifestanti di Hong Kong

Tesla afferma di avere un piano per migliorare le condizioni dei suoi lavoratori

L'appello di Trump per un giro di vite sulle botnet è un tiro lungo

Aiutaci a catturare gli assassini è ora il nuovo punto di vista pubblicitario per le aziende DNA

È stato scoperto un ecosistema criminale di criptovalute multimilionario

Categorie

Articoli Popolari