“安靜退出”帶來網絡安全風險,需要轉變工作場所文化


查看低代碼/無代碼峰會的點播會議,了解如何通過提高公民開發人員的技能和規模來成功創新和實現效率。 立即觀看.


您的員工是否從他們的職位上進行了心理檢查? 根據 蓋洛普,“安靜的戒菸者”,作為他們角色的一部分,超然並做最低限度要求的工人,至少占美國勞動力的 50%。

不敬業的員工會給企業帶來新的安全風險,因為它只會犯一些小錯誤,例如點擊網絡釣魚電子郵件中的附件或重複使用登錄憑據以使威脅行為者能夠訪問網絡。

考慮到 82% 的 數據洩露 去年涉及人為因素或人為錯誤,安全領導者不能忽視悄悄辭職帶來的風險,尤其是在大辭職期間,員工期望更好地平衡工作與生活。

悄悄退出和內部威脅

雖然悄悄辭職和敬業度低的員工構成內部風險,但他們不一定是威脅。 高德納 通過論證“並非所有內部風險都會成為內部威脅”來區分兩者; 然而,每一個內部威脅都是從內部風險開始的。”

事件

智能安防峰會

12 月 8 日了解 AI 和 ML 在網絡安全和行業特定案例研究中的關鍵作用. 今天註冊您的免費通行證.

現在註冊

根據 Gartner 的定義,如果每個員工、承包商或第三方合作夥伴擁有訪問公司係統和資源的憑據,他們都可以被視為內部風險,因為他們有能力洩露敏感信息和知識產權。

因此,組織需要做好準備,以防止內部風險發展成為洩露受監管數據的威脅。 其中一部分歸結為識別那些已經退房的員工。

“意識到安靜戒菸很重要,這樣一個安靜的戒菸者就不會變成一個大聲的洩密者。 安靜戒菸的主要指標包括一個人變得更加內向,對他們的工作變得冷漠,” 福雷斯特 副總裁首席分析師傑夫波拉德。

“如果這些情緒持續時間足夠長,它們就會變成憤怒和怨恨,而這些情緒是數據洩露和/或破壞等內部風險活動的危險領先指標,”波拉德說。

不幸的是,員工協助的數據洩露非常普遍。 最近 報告 Cyber​​haven 發布的一項調查發現,近十分之一的員工會在六個月內洩露數據。 它還發現,員工在辭職前的兩週內洩露敏感信息的可能性要大得多。

由於內部事件造成的長期損害,CISO 和安全團隊也不能忽視這種威脅,這 波耐蒙研究所 據估計,平均需要 85 天的時間來遏制並使組織每年損失 1540 萬美元。

考慮工作與生活的平衡

當然,在解決安靜辭職問題時,重要的是要記住,通常很難在追求工作與生活平衡的員工與已經退房但行為疏忽的員工之間劃清界限。

“雖然這個詞 [quiet quitting] 很方便的頭韻和成熟的流行度,在它的背後是有問題的,需要進一步的定義。 滿足於當前職位並保持合理的工作與生活界限的員工會辭職嗎?” 泰西安 CISO,喬什·亞沃爾。

“很大一部分“安靜的戒菸者”實際上可能是我們最安全、最可靠的員工,所以讓我們將“安靜的戒菸者”重新定義為那些故意脫離和冷漠但剛好超過可能導致他們被解僱的門檻的人, ”亞沃爾說。

在尋求減輕由少數不敬業和冷漠的員工造成的威脅時,重要的是不要指責,而是要考慮到他們的工作環境本身可能是有毒的,有不合理的期望和最後期限,甚至是工作場所的欺凌和騷擾。

從這個意義上說,安靜退出不僅僅是安全團隊要應對的挑戰,還需要全公司的努力來支持員工的健康和工作與生活的平衡。 問題在於,這可能會給遠程工作環境帶來巨大挑戰,因為員工的家庭生活和職業生活之間缺乏明確的區分。

減輕遠程工作環境中的內部風險

在遠程和混合工作環境中,CISO 和其他企業領導者需要積極主動地支持員工,以確保他們不會面臨壓力和倦怠的風險。

“雖然悄悄退出是一個相對較新的術語,但它描述了一個古老的問題——勞動力脫離,”CISO 說。 (國際學習中心)2喬恩法蘭西。

“這次的不同之處在於,在遠程工作環境中,這些跡象可能更難發現。 為了防止員工悄悄辭職,CISO 和安全領導者必須確保並促進聯繫和團隊文化,”France 說。

為了幫助維持一個充實的工作環境,France 建議領導者應定期與他們的團隊進行檢查,以保持強大的工作文化,提供參加定期社交活動的機會。 這可以幫助員工更加投入工作。

與此同時,重要的是要確保員工不會因為可能導致倦怠的工作而負擔過重。 與員工的積極溝通對於團隊確保員工參與並輕鬆處理他們期望完成的任務至關重要。

應對人類風險

除了提高員工敬業度外,安全領導者還應著眼於降低整個組織的人為風險,以降低數據洩露的可能性。

最簡單的解決方案之一是實施最小特權原則,確保員工只能訪問執行其職能所需的數據和資源。 這意味著,如果未經授權的用戶確實獲得了對帳戶的訪問權限,或者他們試圖自己洩露信息,則對組織的暴露是有限的。

另一種方法是組織提供安全意識培訓,教導員工安全意識行為,例如選擇強密碼並教育他們如何識別網絡釣魚詐騙。 這有助於減少憑據盜竊和帳戶接管嘗試的可能性。

在實施安全意識培訓時, SANS研究所 建議該計劃應由全職專職人員管理,例如安全團隊中的人類風險官或安全意識和教育經理,並直接向 CISO 報告。

此人可以負責幫助組織識別、管理和衡量各種形式的人為風險,並啟動文化變革。

VentureBeat的使命 是成為技術決策者獲取有關變革性企業技術和交易知識的數字城鎮廣場。 發現我們的簡報。

發佈留言