Muista kuilu: johtajien ajatusten ja tekojen välisen haukottelun sulkeminen
Sisällysluettelo:
Ihminen ei aina sano mitä tarkoittaa. Ja vaikka he tekisivätkin, heidän tekonsa eivät aina vastaa heidän sanojaan. Tämä on erityisen ongelmallinen kyberturvallisuuspolitiikan ylimmille johdolle. Kuten uusi tutkimus paljastaa, monien organisaatioiden huipulla on "käyttäytymisvaje", joka uhkaa heikentää tietoturvakulttuuria ja altistaa yrityksen liialliselle kyberriskille.
Organisaatioiden on rakennettava kulttuuri, joka ei suvaitse "johtajien poikkeuksellisuutta". Mutta se vaatii muutosta käyttäytymisessä C-Suitelta ja mahdollisesti myös IT-turvallisuuden johtajuudesta.
Kuinka paha se on?
- Ivantin raportti on koottu haastatteluista yli 6500 johtajan, kyberturvallisuuden ammattilaisen ja toimistotyöntekijän kanssa globaaleissa organisaatioissa. Se paljastaa silmiinpistävän eron sen välillä, mitä yritysjohtajat sanovat ja mitä he tekevät. Toisaalta useimmat sanovat, että:
• He tukevat vähintään kohtalaisesti yritysten kyberturvallisuutta tai ovat investoineet siihen (96 %)
• He tarjoavat pakollisen turvallisuuskoulutuksen (78 %)
• He ovat valmiita tunnistamaan ja raportoimaan uhista, kuten haittaohjelmista ja tietojenkalastelusta (88 %)
Kuitenkin toisaalta monet vastaajat harjoittavat liian riskialtista käyttäytymistä, kuten:
• Yhden tai useamman turvatoimenpiteen kiertämisen pyyntö viimeisen vuoden aikana (49 %)
• Helposti muistettavien salasanojen käyttö (77 %)
• Tietojenkalastelulinkkien napsauttaminen (35 %)
• Oletussalasanojen käyttö työsovelluksissa (24 %)
Jotkut näistä havainnoista ovat vieläkin jyrkempiä, kun ne asetetaan tavallisten työntekijöiden käyttäytymiseen. Esimerkiksi vain 14 % sanoo käyttävänsä oletussalasanoita. Työntekijät jakavat myös kolme kertaa todennäköisemmin työlaitteita luvattomien käyttäjien kanssa, raportin mukaan.
Vanhemmilla johtajilla näyttää olevan myös huolestuttava suhde kyberturvallisuuteen. Kun he kohtaavat turvallisuusongelmia, jotka vaikuttavat heihin henkilökohtaisesti, he ovat:
• Kaksi kertaa todennäköisemmin kuin tavalliset työntekijät sanoivat aiemman vuorovaikutuksensa turvallisuuden kanssa "hankaliksi".
• Neljä kertaa todennäköisemmin ulkopuolisen, hyväksymättömän teknisen tuen käyttö
• 33 % todennäköisemmin "ei tunne oloaan turvalliseksi" ilmoittaa tietoturvavirheistä, kuten tietojenkalastelulinkin napsauttaminen
”Yritysjohtajuuden ja tietoturvan välillä voi olla yhteys tai viestintäaukko. Tämä johtuu siitä, että niillä on erilaiset prioriteetit, joten CXO:t eivät todennäköisesti priorisoi ja ymmärrä turvallisuutta samalla tavalla kuin IT-tietoturvatiimit”, Ivanti EVP, Helen Masters, kertoo ISMS.onlinelle.
Miksi CXO:t käyttäytyvät niin huonosti?
On olemassa useita teorioita siitä, miksi tämä käyttäytymiskuilu on kasvanut niin suureksi viime vuosina. Johtajilla on yleensä äärimmäisiä aikapaineita, mikä saattaa saada heidät alttiimmaksi tekemään tietoturvavirheitä, etsimään ratkaisuja ja ohittamaan virallisia kanavia. Poikkeuksellisuuden tunne voi sytyttää tätä entisestään.
"Loppujen lopuksi tuottavuuden parantamiseksi CXO:t aliarvioivat toimiensa vaikutuksen ja kuinka pikakuvakkeet vaikuttavat tietoturvahaavoittuvuuksiin", Masters väittää.
Tietoturvapomot voivat myös olla osittain syyllisiä uupumusten, "vain tämän kerran-ilmiön" ja heikon turvallisuuskulttuurin yhdistelmästä, mikä tarkoittaa, että he tuntevat olonsa epämukavaksi työntyä takaisin, raportti väittää.
Mikä on vaikutus?
Syistä riippumatta huonojen johdon tietoturvakäytäntöjen vaikutus voi olla merkittävä. Uhkatoimijat tietävät, että johtajat harjoittavat usein huonoa kyberhygieniaa. He tietävät myös, että C-sarjassa on pääsy erittäin arkaluontoisiin ja rahaksi kelpaaviin tietoihin, mukaan lukien liikesalaisuudet ja luottamukselliset tiedot yrityksen strategiasta. Miksi vaivautua kohdistumaan ravintoketjun alempana olevien työntekijöiden kohteeksi ja käyttää aikaa ja vaivaa oikeuksien parantamiseen, jos saat kaiken yhdestä tietojenkalasteluhyökkäyksestä?
Yrityssähköpostin kompromissi on toinen kriittinen uhka, joka usein kohdistuu C-sarjaan. Viime vuosina johtajia on huijattu kerta toisensa jälkeen sytyttämään suuria rahansiirtoja kumppaneina ja pomoina esiintyville uhkatoimijoille.
Paremman turvallisuuden rakentaminen ylhäältä alas
Toimintavajeen kurominen ei tule olemaan helppoa – mikään, mikä vaatii muutoksia yrityskulttuuriin, ei koskaan ole. Mutta se on saavutettavissa, kun se on rakennettu vankalle perustalle. Tämä voisi tarkoittaa tietoturvan hallintajärjestelmän käyttöönottoa (ISMS). Tämä tarjoaa ihmisiin, prosesseihin ja teknologiaan liittyvät käytännöt, menettelyt ja muut hallintakeinot tietovarallisuuden turvaamiseksi. Se sisältää turvallisuustietoisuutta ja koulutusta, jota voidaan mukauttaa johtajille.
Keskeinen näkökohta tässä on sellaisen kulttuurin kehittäminen, jossa johtajat eivät tunne voivansa muuttaa sääntöjä omien vaatimustensa mukaisiksi. Tämä edellyttää osittain turvallisuusjohtajien rakentavan luottamusta näihin johtajiin, jotka perustuvat tukeen, koulutukseen ja neuvoihin tuomitsemisen, rangaistuksen ja häpeämisen sijaan.
”Yhteistyö IT- ja tietoturvatiimien kanssa on avainasemassa ja sellaisen kulttuurin edistäminen, jossa turvallisuutta ei pidetä esteenä. Tämä lähestymistapa auttaa organisaatioita saavuttaa ISO 27001 tai SOC2-yhteensopivuus tehokkaammin”, Masters väittää.
IT-johtajat voivat auttaa ajamaan tätä kulttuurista muutosta osoittamalla, että he ovat halukkaita kuuntelemaan loppukäyttäjiään.
"Yksi lähestymistapa sisältää yleisten turhautumisen lähteiden vähentämisen, jotka usein liittyvät vankoihin kyberturvallisuustoimenpiteisiin, kuten liiallisiin ja toistuviin salasanapyyntöihin", Masters jatkaa.
”Riskipohjaisen älykkyyden avulla organisaatiot voivat keskittyä merkittävimpiin uhkiin, kun taas automaattinen korjaus ratkaisee ongelmat nopeasti ennen kuin ne vaikuttavat käyttäjien tuottavuuteen. Tämä lähestymistapa varmistaa, että turvatoimenpiteet eivät aiheuta tarpeettomia häiriöitä, jotka muutoin saattaisivat johtajat ja kaikki työntekijät turvautua vaarallisiin käytäntöihin.
Raportissa on kätevä tarkistuslista, joka auttaa IT- ja tietoturvajohtajia käynnistämään ponnistelunsa:
• Suorita an sisäinen tarkastus turvallisuuden ja johdon vuorovaikutuksesta ymmärtääksesi käyttäytymisvajeen laajuuden
• Korjaa ensin helpoimmat riskit, ehkä päivittämällä ja dokumentoimalla käyttöoikeuskäytännöt ja hyväksyttävän käytön käytännöt sekä ottamalla käyttöön taustalla äänettömästi toimivia ohjausobjekteja. Tärkeintä on välttää suoraa ristiriitaa johdon kanssa mahdollisuuksien mukaan
• Harkitse pelillisiä turvallisuuskoulutuksia ja pöytäharjoituksia todellisten tapaustutkimusten avulla, jotta johtajat ymmärtävät huonon kyberhygienian vaikutukset
• Ota käyttöön "valkoinen hansikas" -turvaohjelma johtajille, jotka on suunniteltu rakentamaan luottamusta ja alentamaan esteitä tietoturvaongelmien ilmoittamiselle
Aikaköyhät johtajat tekevät aina virheitä. Mutta keskittymällä entistä enemmän tietoisuuden lisäämiseen ja vähemmän häiritsevään tietoturvaan, monet organisaatiot voivat tehdä häiriömahdollisuuksien minimoimiseksi.
