当员工对安全建议不敏感时, IT 团队必须能够做出反应并找到解决方案,以继续保护公司免受网络攻击. 伯努瓦·格鲁内瓦尔德, Eset France 网络安全专家, 回顾网络安全疲劳的迹象以及如何应对这种现象.
随着网络风险的增加, 攻击不断扩大,网络犯罪不断增加, 安全团队自然热衷于限制同事可能造成的损害. 的确, 只需一次无意的点击即可触发具有潜在破坏性的恶意软件的渗透. 当员工的负担变得过重时, 他们可能会以意想不到的方式做出反应, 这增加了公司的网络风险. 这种“安全疲劳”现象在最坏的情况下可能会导致鲁莽和冲动的行为. 来处理它, 安全必须更加透明, 通过限制用户必须做出的决策数量, 为混合工作的新世界重新平衡保护和生产力.
明显的迹象
• 网络钓鱼电子邮件的风险更大 : 例如,打开附件或单击看起来有趣的链接.
• 密码管理不善, 例如,通过在多个帐户中重复使用弱标识符 (根据最近的一项研究, 43% 的员工承认会分享他们的登录详细信息.
• 不使用 VPN 连接到公司网络, 尽管这在某些公司可能并不总是可行.
• 使用不安全的公共 WiFi 热点 在旅途中登录敏感的公司帐户.
• 设备定期更新不力 (安永公司的一项研究 [前恩斯特 & 年轻的] 表示 Z 世代和千禧一代员工比年长同事更有可能忽视修复的需要).
• 不立即报告事件 给他们的经理或 IT 部门 : 安永的同一项研究表明,近五分之一的人 (16%) 员工会尝试自行解决可疑的违规行为, 而不是警告别人.
•将专业设备用于个人目的, 包括危险活动,例如从互联网下载, 在线游戏和购物 (另一项研究称,一半的员工现在将其工作设备视为个人财产).
• 通过其他方式规避安全 : 另一份报告发现,18 至 24 岁的办公室职员中有 31% 曾试图规避安全政策.
如何对抗安全疲劳
2020年快速大规模转向远程办公引发了许多公司的下意识反应. IT 团队试图通过对员工实施新的限制性规则来限制风险敞口. 现在是审查这些限制的时候了, 降低安全疲劳的风险. 评论 ? 通过倾听最终用户的意见,更好地了解安全性如何影响工作流程并破坏生产力. 通过尝试设计更好地平衡员工需求和最大程度降低网络风险的需求的政策. 通过限制用户必须做出的安全决策的数量 : 这可能涉及自动修补, 笔记本电脑和设备的安全软件安装和远程管理, 加上使用后台检测和处理服务来遏制破坏网络防御的威胁. 还可以在减少工作量的同时加强身份识别机制的安全性, 使用密码管理器, 第二因素生物特征认证和单点登录 (单点登录).
创建企业安全文化
在所有情况下, 避免用太多与安全相关的消息轰炸用户. 最后, 我们可以让安全意识培训变得更有趣, 使用短 (十到十五分钟) 在真实条件下进行模拟以改变行为. 为了确保安全有效, 有必要创造一种文化,让每个员工都了解自己在保护公司方面发挥的关键作用,并积极发挥自己的作用. 这种文化需要时间来建立, 但总是从了解安全疲劳的原因并进行补救开始.
