جهان در مدت زمان کوتاهی به طرز چشمگیری تغییر کرده است – دنیای کار را نیز در کنار آن تغییر داده است. دنیای ترکیبی جدید از راه دور و محیط کار دارای پیامدهایی برای فناوری-به ویژه امنیت سایبری-است و نشان می دهد که زمان آن رسیده است که بفهمیم انسانها و فناوری چقدر در هم تنیده شده اند.
فعال کردن فرهنگ همکاری سریع و مبتنی بر ابر برای شرکت هایی که به سرعت در حال رشد هستند بسیار مهم است و آنها را در زمینه نوآوری ، عملکرد بهتر و پیشی گرفتن از رقبای خود قرار می دهد. دستیابی به این سطح از سرعت دیجیتالی ، با یک چالش سریع سایبری در حال افزایش است که اغلب نادیده گرفته یا محروم می شود: ریسک خودی ، هنگامی که یکی از اعضای تیم به طور تصادفی یا غیرقابل اعتماد داده ها یا فایل ها را در خارج از احزاب مورد اعتماد به اشتراک بگذارد. نادیده گرفتن ارتباط ذاتی بین بهره وری کارکنان و ریسک خودی می تواند بر موقعیت رقابتی سازمانها و نتیجه نهایی آن تأثیر بگذارد.
شما نمی توانید همانطور که با هکرهای دولت ملی رفتار می کنید ، با کارکنان رفتار کنید
ریسک خودی شامل هرگونه رویداد مواجهه با اطلاعات کاربر-امنیت ، رعایت یا ماهیت رقابتی-است که رفاه مالی ، اعتبار یا عملکرد یک شرکت و کارکنان ، مشتریان و شرکای آن را به خطر می اندازد. روزانه هزاران رویداد قرار گرفتن در معرض اطلاعات کاربر و تصفیه رخ می دهد که ناشی از خطای تصادفی کاربر ، سهل انگاری کارکنان یا کاربران مخربی است که قصد آسیب رساندن به سازمان را دارند. بسیاری از کاربران به طور تصادفی با تصمیم گیری بر اساس زمان و پاداش ، به اشتراک گذاشتن و همکاری با هدف افزایش بهره وری خود ، ریسک داخلی ایجاد می کنند. سایر کاربران به دلیل سهل انگاری ریسک ایجاد می کنند ، و برخی از آنها نیت های مخرب دارند ، مانند یک کارمند که اطلاعات شرکت را برای رقیب خود می دزدد.
از منظر امنیت سایبری ، سازمانها باید با خطرهای داخلی متفاوت از تهدیدهای خارجی رفتار کنند. با تهدیدهایی مانند هکرها ، بدافزارها و بازیگران تهدید دولت-ملت ، هدف روشن است-این مخرب است. اما هدف کارکنان از ایجاد ریسک داخلی همیشه روشن نیست – حتی اگر تأثیر یکسان باشد. کارکنان می توانند اطلاعات را به طور تصادفی یا به دلیل سهل انگاری نشت کنند. پذیرش کامل این حقیقت مستلزم تغییر ذهنیت برای تیم های امنیتی است که در طول تاریخ با ذهنیت پناهگاه عمل کرده اند – از خارج محاصره شده و کارت های خود را در نزدیکی جلیقه نگه داشته اند تا دشمن در مورد دفاع خود در مورد استفاده از آنها بصیرت پیدا نکند. کارکنان دشمنان یک تیم امنیتی یا یک شرکت نیستند – در واقع ، آنها باید به عنوان متحدان در مبارزه با ریسک خودی دیده شوند.
شفافیت اعتماد را تغذیه می کند: ایجاد پایه برای آموزش
همه شرکت ها می خواهند جواهرات تاج خود – کد منبع ، طرح محصول ، لیست مشتریان – را در دستان اشتباه قرار ندهند. ریسک مالی ، اعتبار و عملیاتی را که ممکن است ناشی از نشت داده های مهم قبل از IPO ، خرید یا درآمد باشد ، تصور کنید. کارکنان نقش محوری در جلوگیری از نشت داده ها ایفا می کنند و دو عنصر اساسی برای تبدیل کارکنان به متحدان خطر داخلی وجود دارد: شفافیت و آموزش.
شفافیت ممکن است با امنیت سایبری در تضاد باشد. برای تیم های امنیت سایبری که با طرز فکر متخاصم مناسب تهدیدهای خارجی عمل می کنند ، برخورد متفاوت با تهدیدهای داخلی می تواند چالش برانگیز باشد. شفافیت همه چیز در مورد ایجاد اعتماد در هر دو طرف است. کارکنان می خواهند احساس کنند که سازمان آنها به آنها اعتماد دارد تا از داده ها عاقلانه استفاده کنند. تیم های امنیتی همیشه باید از محل اعتماد شروع کنند ، با این فرض که اکثریت اقدامات کارکنان نیت مثبتی دارند. اما ، همانطور که در امنیت سایبری گفته می شود ، “اعتماد ، اما تأیید” مهم است.
نظارت بخش مهمی از مدیریت ریسک خودی است و سازمان ها باید در این مورد شفاف سازی کنند. دوربین های مدار بسته در فضاهای عمومی پنهان نیستند. در حقیقت ، آنها اغلب با تابلوهایی اعلام می شوند که نظارت بر منطقه را اعلام می کنند. رهبری باید به کارکنان نشان دهد که حرکت داده های آنها تحت نظارت است – اما هنوز حریم خصوصی آنها محترم است. تفاوت زیادی بین داده های نظارت وجود دارد جنبش و خواندن تمام ایمیل های کارکنان
شفافیت باعث ایجاد اعتماد می شود – و با این اساس ، یک سازمان می تواند با تغییر رفتار کاربران از طریق آموزش بر کاهش خطر تمرکز کند. در حال حاضر ، برنامه های آموزش امنیت و آگاهی بخشی عالی هستند. آموزش فیشینگ به احتمال زیاد اولین چیزی است که به دلیل موفقیت در حرکت سوزن و فکر کردن کارکنان قبل از کلیک کردن به ذهن می آید. خارج از فیشینگ ، آموزش چندانی برای کاربران وجود ندارد تا بفهمند دقیقاً چه کارهایی را باید انجام دهند و نباید انجام دهند.
برای شروع ، بسیاری از کارکنان حتی نمی دانند که سازمان آنها در چه جایگاهی قرار دارد. آنها مجاز به استفاده از چه برنامه هایی هستند؟ اگر بخواهند از این برنامه ها برای به اشتراک گذاری فایل ها استفاده کنند ، قوانین مشارکت آنها چیست؟ از چه داده هایی می توانند استفاده کنند؟ آیا آنها از این اطلاعات برخوردارند؟ آیا سازمان حتی اهمیت می دهد؟ تیم های امنیت سایبری با سر و صدای زیادی که کارکنان در حال انجام کارهایی که نباید انجام دهند سروکار دارند. اگر فقط با پاسخ دادن به این سالات بتوانید این سر و صدا را کاهش دهید ، چطور؟
آموزش کارکنان باید هم فعال و هم پاسخگو باشد. به طور فعال ، به منظور تغییر رفتار کارکنان ، سازمان ها باید هر دو دوره آموزشی کوتاه مدت و کوتاه را برای آموزش و یادآوری بهترین رفتارها به کاربران ارائه دهند. علاوه بر این ، سازمانها باید با رویکرد یادگیری خرد با استفاده از ویدئوهای اندازه کوچک طراحی شده برای رسیدگی به شرایط بسیار خاص پاسخ دهند. تیم امنیتی باید صفحه ای را از بازاریابی گرفته و بر پیام های تکراری که در زمان مناسب به افراد مناسب ارسال می شود ، تمرکز کند.
وقتی رهبران کسب و کار بفهمند که ریسک داخلی فقط یک مسئله امنیت سایبری نیست ، بلکه موضوعی است که با فرهنگ سازمانی آمیخته شده و تأثیر بسزایی در تجارت دارد ، آنها در موقعیت بهتری برای نوآوری ، عملکرد بهتر و برتری خود خواهند بود. رقبا در امروز دور کار ترکیبی و دنیای کار در دفترعنصر انسانی موجود در فناوری هرگز از اهمیت بیشتری برخوردار نبوده است. به همین دلیل شفافیت و آموزش برای جلوگیری از نشت داده ها در خارج از سازمان ضروری است.
این محتوا توسط Code42 تولید شده است. این توسط تحریریه MIT Technology Review نوشته نشده است.