211service.com
Herontdek het vertrouwen in cyberbeveiliging
Geleverd door Code42
De wereld is in korte tijd ingrijpend veranderd en daarmee ook de wereld van het werk. De nieuwe hybride wereld van werken op afstand en op kantoor heeft gevolgen voor technologie, met name cyberbeveiliging, en geeft aan dat het tijd is om te erkennen hoe verweven mens en technologie werkelijk zijn.
Het mogelijk maken van een snelle, door de cloud aangedreven samenwerkingscultuur is van cruciaal belang voor snelgroeiende bedrijven, en positioneert hen om te innoveren, beter te presteren en hun concurrenten te slim af te zijn. Het bereiken van dit niveau van digitale snelheid gaat echter gepaard met een snel groeiende cyberbeveiligingsuitdaging die vaak over het hoofd wordt gezien of prioriteit krijgt: insider risico , wanneer een teamlid per ongeluk - of niet - gegevens of bestanden deelt buiten vertrouwde partijen. Het negeren van het intrinsieke verband tussen de productiviteit van werknemers en het risico van binnenuit kan zowel de concurrentiepositie als de bedrijfsresultaten van een organisatie beïnvloeden.
Je kunt werknemers niet op dezelfde manier behandelen als hackers van nationale staten
Insider-risico's omvatten alle door gebruikers aangestuurde gegevensblootstellingsgebeurtenissen - beveiliging, compliance of concurrentie van aard - die het financiële, reputatie- of operationele welzijn van een bedrijf en zijn werknemers, klanten en partners in gevaar brengen. Duizenden gebruikersgestuurde gegevensblootstelling en exfiltratiegebeurtenissen vinden dagelijks plaats, als gevolg van onopzettelijke gebruikersfouten, nalatigheid van werknemers of kwaadwillende gebruikers die de organisatie schade willen berokkenen. Veel gebruikers creëren per ongeluk een insider-risico, simpelweg door beslissingen te nemen op basis van tijd en beloning, te delen en samen te werken met als doel hun productiviteit te verhogen. Andere gebruikers creëren risico's door nalatigheid, en sommige hebben kwaadaardige bedoelingen, zoals een werknemer steelt bedrijfsgegevens naar een concurrent brengen.
Vanuit het oogpunt van cyberbeveiliging moeten organisaties interne risico's anders behandelen dan externe bedreigingen. Met bedreigingen zoals hackers, malware en nationale dreigingsactoren is de bedoeling duidelijk: het is kwaadaardig. Maar de bedoeling van werknemers die risico's van binnenuit creëren, is niet altijd duidelijk, zelfs als de impact hetzelfde is. Werknemers kunnen per ongeluk of door nalatigheid gegevens lekken. Het volledig accepteren van deze waarheid vereist een mentaliteitsverandering voor beveiligingsteams die in het verleden met een bunkermentaliteit hebben gewerkt - van buitenaf belegerd en hun kaarten dicht bij het vest houden zodat de vijand geen inzicht krijgt in hun verdediging om tegen hen te gebruiken. Werknemers zijn niet de tegenstanders van een beveiligingsteam of een bedrijf - sterker nog, ze moeten worden gezien als bondgenoten bij het bestrijden van risico's van binnenuit.
Transparantie voedt vertrouwen: een basis leggen voor training
Alle bedrijven willen voorkomen dat hun kroonjuwelen - broncode, productontwerpen, klantenlijsten - in verkeerde handen terechtkomen. Stelt u zich het financiële, reputatie- en operationele risico voor dat zou kunnen voortvloeien uit het lekken van materiële gegevens vóór een beursgang, acquisitie of winstoproep. Werknemers spelen een cruciale rol bij het voorkomen van datalekken, en er zijn twee cruciale elementen om: werknemers veranderen in insider risico-bondgenoten : transparantie en opleiding.
Transparantie kan op gespannen voet staan met cybersecurity. Voor cyberbeveiligingsteams die werken met een vijandige mentaliteit die geschikt is voor externe dreigingen, kan het een uitdaging zijn om interne dreigingen anders te benaderen. Transparantie heeft alles te maken met het opbouwen van vertrouwen aan beide kanten. Werknemers willen het gevoel hebben dat hun organisatie erop vertrouwt dat ze data verstandig gebruiken. Beveiligingsteams moeten altijd beginnen vanuit een plaats van vertrouwen, ervan uitgaande dat de meeste acties van werknemers een positieve intentie hebben. Maar, zoals het gezegde luidt in cybersecurity, het is belangrijk om te vertrouwen, maar te verifiëren.
Monitoring is een cruciaal onderdeel van het beheersen van insiderrisico's, en organisaties moeten hierover transparant zijn. CCTV-camera's zijn niet verborgen in openbare ruimtes. Sterker nog, ze gaan vaak vergezeld van borden die bewaking in het gebied aankondigen. Leiderschap moet werknemers duidelijk maken dat hun gegevensbewegingen worden gecontroleerd, maar dat hun privacy nog steeds wordt gerespecteerd. Er is een groot verschil tussen monitoringgegevens beweging en het lezen van alle e-mails van medewerkers.
Transparantie bouwt vertrouwen op - en met die basis kan een organisatie zich richten op het beperken van risico's door het gedrag van gebruikers te veranderen door middel van training. Op dit moment zijn veiligheidseducatie en bewustmakingsprogramma's een niche. Phishing-training is waarschijnlijk het eerste dat in u opkomt vanwege het succes dat het heeft gehad om de naald te verplaatsen en werknemers aan het denken te zetten voordat ze klikken. Buiten phishing is er niet veel training voor gebruikers om te begrijpen wat ze precies wel en niet moeten doen.
Om te beginnen weten veel medewerkers niet eens waar hun organisatie staat. Welke applicaties mogen ze gebruiken? Wat zijn de gedragsregels voor die apps als ze ze willen gebruiken om bestanden te delen? Welke gegevens kunnen ze gebruiken? Hebben zij recht op die gegevens? Heeft de organisatie er ook zin in? Cybersecurity-teams hebben te maken met veel lawaai van werknemers die dingen doen die ze niet zouden moeten doen. Wat als je dat geluid zou kunnen verminderen door alleen deze vragen te beantwoorden?
Het opleiden van werknemers moet zowel proactief als responsief zijn . Om het gedrag van werknemers te veranderen, moeten organisaties proactief zowel lange als korte trainingsmodules aanbieden om gebruikers te instrueren en te herinneren aan het beste gedrag. Bovendien moeten organisaties reageren met een micro-leerbenadering met behulp van hapklare video's die zijn ontworpen om zeer specifieke situaties aan te pakken. Het beveiligingsteam moet een pagina uit de marketing halen en zich concentreren op herhaalde berichten die op het juiste moment aan de juiste mensen worden bezorgd.
Eens bedrijfsleiders begrijp dat insider risico niet alleen een cyberbeveiligingsprobleem is, maar nauw verweven is met de cultuur van een organisatie en een aanzienlijke impact heeft op het bedrijf, zullen ze beter in staat zijn om te innoveren, beter te presteren en hun concurrenten te slim af te zijn. In ... van vandaag hybride externe en in-office werkwereld , het menselijke element dat binnen technologie bestaat, is nog nooit zo belangrijk geweest. Daarom zijn transparantie en training essentieel om te voorkomen dat gegevens buiten de organisatie lekken.
Deze inhoud is geproduceerd door Code42. Het is niet geschreven door de redactie van MIT Technology Review.
