امنیت در مقابل عملکرد: اجتناب از شورش کاربر نهایی

در دنیایی که زمان پول است و هیچ کسب‌وکاری نمی‌تواند از رقبا عقب بماند، CISO باید سخت‌تر تلاش کند تا امنیت را به یک توان‌بخش تبدیل کند، نه ناتوان‌کننده.

تبدیل شدن به یک فعال کننده کسب و کار

توسط وین اولسن، مدیریت امنیت سایبری اجرایی، BCX.

تصور می‌شود که Shadow IT بین 30 تا 50 درصد از هزینه‌های فناوری اطلاعات در شرکت‌های بزرگ را به خود اختصاص می‌دهد، و این نسبت افزایش می‌یابد مگر اینکه فناوری اطلاعات بتواند آنچه کاربران نیاز دارند را ارائه دهد. در حالی که SaaS و برنامه‌های کاربردی وب ذاتا مفید هستند، گسترش ابزارهای ابری و SaaS غیرمجاز در محیط به این معنی است که امنیت فناوری اطلاعات اطلاعاتی که ارسال می‌شوند و کجا نمی‌تواند سیاست‌ها را در کل محیط اعمال کند، از دست می‌دهد و حتی ممکن است از دست بدهد. دید چه داده هایی در سازمان وجود دارد.

این می تواند پیامدهای جدی برای کسب و کار داشته باشد. خطای انسانی یکی از بزرگترین نقاط ضعف سازمان است، بنابراین وقتی کاربران خودشان مسئولیت امنیت را در یک محیط IT سایه بر عهده می گیرند، هیچ چیز ایمن نیست. Mimecast وضعیت امنیت ایمیل 2022 گزارش نشان داد که 83 درصد از پاسخ دهندگان معتقدند که شرکت آنها به دلیل اطلاعات افشا شده توسط کارمندان بی دقت و گذشته در معرض خطر است. شاخص اطلاعات امنیت سایبری آی بی ام تخمین زده است که خطای انسانی عامل اصلی، تا 95 درصد از همه نقض‌ها بوده است. Statista بیان می کند که 58٪ از CISO های جهانی معتقدند خطای انسانی بزرگترین آسیب پذیری سایبری سازمان آنها است.

برای اطلاعات بیشتر، با BCX، وین اولسن تماس بگیرید، +27 11 266 1000، [email protected]، www.bcx.co.za/solutions/security

وام)

هنگامی که یک واحد تجاری می خواهد با عجله یک برنامه یا سرویس جدید را توسعه دهد زیرا برای دستیابی به اهداف درآمد تحت فشار است، بدون در نظر گرفتن عواقب آن، فرآیندهای CISO و امنیتی را دور می زند، زیرا ابتدا نگران درآمد و عواقب آن هستند.

نسخه چاپگر پسند

شماره 1 2023 خدمات امنیتی و مدیریت ریسک

زمانی که کسب و کار مکانیزم هایی را برای ایمن سازی زیرساخت های خود در نظر می گیرد اما این مکانیسم ها مانع بهره وری کاربران می شود، کاربران همیشه راهی برای دور زدن آنها پیدا می کنند. به عنوان مثال، اگر برای اهداف تجاری نتوانند شماره تلفن خود را از ایمیل خود در واتس اپ کپی کنند، به سادگی نامه را به ایمیل خصوصی خود یا یک برنامه وب ارسال می کنند و برای انجام کار از آنجا کپی می کنند. به طور معمول، آنها این کار را با نیت مخرب انجام نمی دهند، بلکه برای آسان کردن زندگی هستند.

راه حل شورش کاربران این است که در تجارت گسترده‌تر شرکت کنند و کاربران به مفهوم ایمن نگه داشتن کسب‌وکار بپردازند، زیرا بدانند که این امر مانع کار آنها نخواهد شد. CISOها باید به جای داشتن خط‌مشی‌های سازمانی، اجرای قوانین توسط بخش را در نظر بگیرند: به عنوان مثال، به تیم‌های بازاریابی اجازه می‌دهند داده‌ها را روی درایوهای خارجی بارگذاری کنند، زیرا نیاز به اشتراک‌گذاری اطلاعات با تامین‌کنندگان دارند، در حالی که روشن می‌کنند که امنیت ماهیت داده‌هایی را که آنها نظارت می‌کنند، نظارت خواهد کرد. در حال کپی کردن هستند برعکس، به مسئولین پذیرش اجازه نمی‌دهند که داده‌ها را روی درایوها کپی کنند زیرا هیچ دلیل تجاری برای انجام این کار وجود ندارد.

یکی از بزرگ‌ترین چالش‌هایی که امروزه هر CISO با آن مواجه است، اصطلاحی است که ما آن را شورش کاربر نهایی می‌نامیم، زمانی که کاربران تمام اقدامات و پروتکل‌های امنیتی را برای انجام وظایف خود دور می‌زنند.

وین اولسن

این را به وضوح در ناهماهنگی بین تیم های امنیتی و شبکه می بینید: به عنوان مثال، شبکه نگران سرعت و فید است، در حالی که تنها نگرانی امنیت امنیت است. تیم های فناوری عملیاتی نگران آپتایم هستند و تنها نگرانی امنیت امنیت است. وقتی اهداف به این شکل نادرست تراز شوند، شروع به شورش کاربر نهایی می کنید.

امنیت باید از بالا به پایین هدایت شود، با کارت های امتیازی مبتنی بر امنیت در مورد تأثیرات امنیتی هر پروژه جدید، و امنیت باید در هر رویه ای از ابتدا ایجاد شود.

CISO که فعالانه با تجارت درگیر می شود، استراتژی کسب و کار را درک می کند و راه هایی را برای امنیت شناسایی می کند تا بتواند یک عامل توانمند باشد، خود را در موقعیتی قرار می دهند تا بر شورش کاربران نهایی غلبه کنند. این نسل بعدی از CISO که گاهی اوقات به عنوان “مدیر ارشد امنیت اطلاعات و کسب و کار” نیز توصیف می شود، فردی است که وظیفه ایجاد تعادل بین امنیت و بهره وری را بر عهده دارد.

عدم ارائه آنچه کاربران نیاز دارند، یا به طور فعال مانع از توانایی آنها در کار می شود، ناگزیر به راه حل ها و “سایه IT” منجر می شود، که خطرات امنیتی، بودجه و انطباق را افزایش می دهد. در محیط کار ترکیبی مدرن، با گسترش برنامه‌های کاربردی وب و SaaS جدید، یافتن ابزارها و راه‌حل‌های مورد نظر برای کارکنان سریع‌تر و آسان‌تر از همیشه شده است.

منبع: https://www.securitysa.com/18686R

چگونه CISO ها به تعادل بین امنیت و عملکرد دست می یابند و چابکی و بهره وری را برای کسب و کار، بدون ریسک، ممکن می سازند؟

CISO ها دیگر نمی توانند تصمیمات مستقلی برای اجرای اقدامات امنیتی بدون در نظر گرفتن اینکه چگونه این اقدامات بر کاربران تأثیر می گذارد، اتخاذ کنند. هنگامی که اقدامات امنیتی بدون در نظر گرفتن میزان کاربردی بودن آنها اجرا می شوند، کاربران به سادگی درایوهای ابری خصوصی را باز می کنند (مانند Dropbox)، و اقدامات دیگری را انجام دهند که آنها را قادر می سازد کارآمدتر کار کنند.

CISO ها باید نقش خود را توسعه دهند و از ناتوانی در کسب و کار عبور کنند. رویکردهای سنتی و دیکتاتوری به امنیت را می توان به عنوان مانعی برای تجارت در نظر گرفت، زیرا آنها از چابکی کسب و کار جلوگیری می کنند.