uitvoerende gedagtes en dade blog

Let op die gaping: Sluit die gapende kloof tussen uitvoerende gedagtes en dade

Mense sê nie altyd wat hulle bedoel nie. En selfs as hulle dit doen, stem hul optrede nie altyd ooreen met wat hulle sê nie. Dit is veral 'n probleem vir senior bestuurders in die konteks van kuberveiligheidsbeleid. Soos nuwe navorsing aan die lig bring, is daar 'n "gedraggaping" aan die bopunt van baie organisasies, wat dreig om sekuriteit-deur-ontwerp-kultuur te ondermyn en die maatskappy aan buitensporige kuberrisiko bloot te stel.

Organisasies moet 'n kultuur bou wat nie "uitvoerende uitsondering" sal duld nie. Maar dit sal 'n verandering in gedrag van die C-suite en moontlik ook IT-sekuriteitsleierskap verg.

Hoe sleg is dit?

Die Ivanti verslag is saamgestel uit onderhoude met meer as 6500 uitvoerende leiers, kuberveiligheidspersoneel en kantoorwerkers in globale organisasies. Dit openbaar 'n opvallende verskil tussen wat sakeleiers sê en wat hulle doen. Aan die een kant sê die meeste dat:

• Hulle is ten minste matig ondersteunend van, of het belê in, korporatiewe kuberveiligheid (96%)
• Hulle verskaf verpligte sekuriteitsopleiding (78%)
• Hulle is bereid om bedreigings soos wanware en uitvissing te herken en aan te meld (88%)

Aan die ander kant is baie respondente egter betrokke by buitensporige riskante gedrag, soos:

• Versoek om een ​​of meer sekuriteitsmaatreëls in die afgelope jaar te omseil (49%)
• Gebruik wagwoorde wat maklik is om te onthou (77%)
• Klik op uitvissingskakels (35%)
• Gebruik verstekwagwoorde vir werktoepassings (24%)

Sommige van hierdie bevindings is selfs skerper as dit in lyn gebring word met die gedrag van gereelde werknemers. Byvoorbeeld, net 14% sê hulle gebruik verstekwagwoorde. Bestuurders is ook drie keer meer geneig om werktoestelle met ongemagtigde gebruikers te deel, beweer die verslag.

Senior leiers blyk ook 'n kommerwekkende verhouding met kuberveiligheid te hê. Wanneer hulle sekuriteitskwessies teëkom wat hulle persoonlik raak, is hulle:

• Twee keer so geneig as gewone werkers om te sê hul vorige interaksies met sekuriteit was "ongemaklik"
• Vier keer meer geneig om eksterne, nie-goedgekeurde tegniese ondersteuning te gebruik
• 33% meer geneig om "nie veilig te voel nie" om sekuriteitsfoute aan te meld, soos om op 'n uitvissingskakel te klik

“Daar kan 'n ontkoppeling of kommunikasiegaping tussen maatskappyleierskap en IT-sekuriteit wees. Dit is omdat hulle verskillende prioriteite het, en daarom sal CXO's waarskynlik nie sekuriteit op dieselfde manier as IT-sekuriteitspanne prioritiseer en verstaan ​​nie,” sê Ivanti EVP, Helen Masters, aan ISMS.online.

Waarom tree CXO's so sleg op?

Daar is verskeie teorieë oor hoekom hierdie gedragsgaping die afgelope jare so wyd gegroei het. Bestuurders is gewoonlik onder uiterste tydsdruk, wat hulle meer geneig kan maak om sekuriteitsfoute te maak, oplossings te soek en amptelike kanale te omseil. 'n Gevoel van uitsonderlikheid kan dit verder aanblaas.

"Uiteindelik, in 'n poging om produktiwiteit, onderskat CXO's die impak van hul optrede en hoe kortpaaie bydra tot sekuriteitskwesbaarhede," voer Masters aan.

Sekuriteitsbase kan ook deels te blameer wees as gevolg van 'n kombinasie van uitbranding, "net-hierdie-eens-isme" en 'n swak sekuriteitskultuur wat beteken dat hulle ongemaklik voel om terug te stoot, beweer die verslag.

Wat is die impak?

Wat ook al die redes is, die impak van swak uitvoerende sekuriteitspraktyke kan beduidend wees. Bedreigingsakteurs weet dat uitvoerende hoofde dikwels swak kuberhigiëne beoefen. Hulle weet ook dat die C-suite toegang het tot hoogs sensitiewe en monetiseerbare inligting, insluitend handelsgeheime en vertroulike besonderhede oor korporatiewe strategie. Waarom die moeite doen om werknemers laer af in die voedselketting te teiken en tyd en moeite te spandeer om voorregte te verhoog as jy alles uit 'n enkele uitvissing-aanval kan kry?

Besigheid e-pos kompromie is nog 'n kritieke bedreiging wat dikwels gerig is op die C-suite. Oor onlangse jare is senior bestuurders keer op keer mislei om groot geldoorplasings aan die bedreiging te gee wat hulle as vennote en base voordoen.

Bou beter sekuriteit van bo af

Dit sal nie maklik wees om die gedragsgaping te sluit nie – niks wat veranderinge aan korporatiewe kultuur vereis is ooit nie. Maar dit is haalbaar as dit op soliede fondamente gebou word. Dit kon beteken die implementering van 'n inligtingsekuriteitbestuurstelsel (ISMS). Dit sal die beleide, prosedures en ander kontroles rondom mense, prosesse en tegnologie verskaf om inligtingsbates veilig te hou. Dit sluit sekuriteitsbewustheid en opleiding in, wat vir bestuurders aangepas kan word.

'n Belangrike aspek hiervan is om 'n kultuur te ontwikkel waar bestuurders nie voel dat hulle die reëls kan buig om aan hul eie vereistes te voldoen nie. Dit sal deels vereis dat veiligheidsleiers vertroue met daardie bestuurders bou op grond van ondersteuning, opvoeding en advies eerder as veroordeling, straf en skande.

“Samewerking met IT- en sekuriteitspanne is die sleutel, tesame met die bevordering van 'n kultuur waar sekuriteit nie as 'n struikelblok beskou word nie. Hierdie benadering sal organisasies help bereik ISO 27001 of SOC2-voldoening meer effektief,” voer Meesters aan.

IT-leiers kan help om hierdie kulturele verandering aan te dryf deur te wys dat hulle bereid is om na hul eindgebruikers te luister.

"Een benadering behels die vermindering van die algemene bronne van frustrasie wat dikwels gekoppel is aan robuuste kuberveiligheidsmaatreëls, soos oormatige en gereelde wagwoordversoeke," gaan Masters voort.

“Deur risiko-gebaseerde intelligensie kan organisasies op die belangrikste bedreigings konsentreer, terwyl outomatiese remediëring probleme vinnig oplos voordat dit gebruikersproduktiwiteit beïnvloed. Hierdie benadering verseker dat sekuriteitsmaatreëls nie onnodige ontwrigtings veroorsaak nie, wat andersins bestuurders en alle werknemers kan aanspoor om hulle tot onveilige praktyke te wend.”

Die verslag het 'n handige kontrolelys om IT- en sekuriteitsleiers te help om hul pogings te begin:

• Voer 'n interne Oudit van sekuriteit/uitvoerende interaksies om die omvang van die gedragsgaping te verstaan
• Maak eers die maklikste risiko's reg, opdatering en dokumentasie van toegangsbeleide en aanvaarbare gebruiksbeleide, asook die implementering van kontroles wat stilweg in die agtergrond loop. Die sleutel is om direkte konflik met leierskap te vermy waar moontlik
• Oorweeg gamified sekuriteit opleidingsessies en tafelblad oefeninge deur gebruik te maak van werklike gevallestudies, sodat bestuurders die impak van swak kuberhigiëne kan verstaan
• Implementeer 'n "wit handskoen"-sekuriteitsprogram vir amptenare wat ontwerp is om vertroue te bou en hindernisse te verminder om sekuriteitskwessies aan te meld

Tydsarm bestuurders sal altyd foute maak. Maar met 'n skerper fokus op bewusmaking, tesame met minder indringende sekuriteit, is daar baie organisasies wat kan doen om die potensiaal vir ontwrigting te verminder.

skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!