udøvende tanker og gerninger blog

Mind the Gap: Lukning af den gabende kløft mellem udøvende tanker og handlinger

Mennesker siger ikke altid, hvad de mener. Og selvom de gør det, stemmer deres handlinger ikke altid overens med det, de siger. Dette er især et problem for ledende medarbejdere i forbindelse med cybersikkerhedspolitik. Som ny forskning afslører, er der et "adfærdsgab" i toppen af ​​mange organisationer, som truer med at underminere security-by-design kultur og udsætte virksomheden for overdreven cyberrisiko.

Organisationer er nødt til at opbygge en kultur, der ikke vil tolerere "eksekutiv exceptionalisme". Men det vil kræve en adfærdsændring fra C-suiten og potentielt også IT-sikkerhedsledelsen.

Hvor dårligt er det?

Ivanti rapport blev samlet ud fra interviews med over 6500 ledende ledere, cybersikkerhedsprofessionelle og kontormedarbejdere i globale organisationer. Det afslører en slående forskel mellem, hvad virksomhedsledere siger, og hvad de gør. På den ene side siger de fleste, at:

• De støtter i det mindste moderat eller har investeret i virksomhedernes cybersikkerhed (96 %)
• De tilbyder obligatorisk sikkerhedstræning (78 %)
• De er parate til at genkende og rapportere trusler som malware og phishing (88 %)

Men på den anden side engagerer mange respondenter sig i alt for risikabel adfærd, såsom:

• Anmodning om at omgå en eller flere sikkerhedsforanstaltninger inden for det seneste år (49 %)
• Brug af adgangskoder, der er nemme at huske (77 %)
• Klik på phishing-links (35 %)
• Brug af standardadgangskoder til arbejdsapplikationer (24 %)

Nogle af disse resultater er endnu mere skarpe, når de stilles op mod almindelige medarbejderes adfærd. For eksempel siger kun 14 %, at de bruger standardadgangskoder. Execs er også tre gange mere tilbøjelige til at dele arbejdsenheder med uautoriserede brugere, hævder rapporten.

Seniorledere ser også ud til at have et bekymrende forhold til cybersikkerhed. Når de støder på sikkerhedsproblemer, der påvirker dem personligt, er de:

• Dobbelt så stor sandsynlighed end almindelige arbejdere til at sige, at deres tidligere interaktioner med sikkerhed var "akavede"
• Fire gange større sandsynlighed for at bruge ekstern, ikke-godkendt teknisk support
• 33 % større sandsynlighed for at "ikke føle sig sikker" rapporterer sikkerhedsfejl som at klikke på et phishing-link

"Der kan være en afbrydelse eller et kommunikationsgab mellem virksomhedens ledelse og it-sikkerhed. Det skyldes, at de har forskellige prioriteter, og derfor vil CXO'er sandsynligvis ikke prioritere og forstå sikkerhed på samme måde som it-sikkerhedsteams,” siger Ivanti EVP, Helen Masters, til ISMS.online.

Hvorfor opfører CXO'er sig så dårligt?

Der er flere teorier om, hvorfor denne adfærdskløft er vokset så stor i de senere år. Ledere er normalt under ekstremt tidspres, hvilket kan gøre dem mere tilbøjelige til at begå sikkerhedsfejl, søge løsninger og omgå officielle kanaler. En følelse af exceptionalisme kan yderligere opildne dette.

"I sidste ende, i et forsøg på produktivitet, undervurderer CXO'er virkningen af ​​deres handlinger, og hvordan genveje bidrager til sikkerhedssårbarheder," hævder Masters.

Sikkerhedschefer kan også være en del af skylden på grund af en kombination af udbrændthed, "bare-denne-gang-isme" og en svag sikkerhedskultur, som betyder, at de føler sig utilpas med at skubbe tilbage, hævder rapporten.

Hvad er virkningen?

Uanset årsagerne kan virkningen af ​​dårlige ledelsessikkerhedspraksis være betydelig. Trusselaktører ved, at chefer ofte praktiserer dårlig cyberhygiejne. De ved også, at C-suiten har adgang til meget følsomme og indtægtsgivende oplysninger, herunder forretningshemmeligheder og fortrolige detaljer om virksomhedens strategi. Hvorfor besvære at målrette medarbejdere længere nede i fødekæden og bruge tid og kræfter på at hæve privilegier, hvis du kan få alt fra et enkelt phishing-angreb?

Business-e-mail-kompromis er en anden kritisk trussel, der ofte er rettet mod C-suiten. I løbet af de seneste år er ledende medarbejdere igen og igen blevet narret til at give grønt lys for store pengeoverførsler til trusselsaktører, der udgiver sig for at være partnere og chefer.

Opbygning af bedre sikkerhed oppefra og ned

Det vil ikke være let at lukke adfærdskløften – det er aldrig noget, der kræver ændringer i virksomhedskulturen. Men det er opnåeligt, når det er bygget på solidt fundament. Dette kunne betyde implementering af et informationssikkerhedsstyringssystem (ISMS). Dette vil give politikker, procedurer og andre kontroller omkring mennesker, processer og teknologi for at holde informationsaktiver sikre. Det omfatter sikkerhedsbevidsthed og træning, som kunne tilpasses til ledere.

Et centralt aspekt af dette er at udvikle en kultur, hvor ledere ikke føler, at de kan bøje reglerne, så de passer til deres egne krav. Det vil til dels kræve, at sikkerhedsledere opbygger tillid til disse ledere baseret på støtte, uddannelse og rådgivning snarere end fordømmelse, straf og skam.

"Samarbejde med it- og sikkerhedsteams er nøglen, sammen med at fremme en kultur, hvor sikkerhed ikke ses som en hindring. Denne tilgang vil hjælpe organisationer opnå ISO 27001 eller SOC2 compliance mere effektivt,” argumenterer Masters.

IT-ledere kan hjælpe med at drive denne kulturelle forandring ved at vise, at de er villige til at lytte til deres slutbrugere.

"En tilgang involverer at reducere de almindelige kilder til frustration, der ofte er forbundet med robuste cybersikkerhedsforanstaltninger, såsom overdrevne og hyppige adgangskodeanmodninger," fortsætter Masters.

"Gennem risikobaseret intelligens kan organisationer koncentrere sig om de vigtigste trusler, mens automatiseret afhjælpning hurtigt løser problemer, før de påvirker brugernes produktivitet. Denne tilgang sikrer, at sikkerhedsforanstaltninger ikke forårsager unødvendige forstyrrelser, som ellers kunne få ledere og alle medarbejdere til at ty til usikker praksis."

Rapporten har en praktisk tjekliste til at hjælpe it- og sikkerhedsledere med at sætte gang i deres indsats:

• Udføre en intern revision af sikkerheds-/ledelsesinteraktioner for at forstå omfanget af adfærdskløften
• Løs de nemmeste risici først, måske opdatering og dokumentation af adgangspolitikker og acceptable brugspolitikker, samt implementering af kontroller, der kører lydløst i baggrunden. Nøglen er at undgå direkte konflikt med ledelse, hvor det er muligt
• Overvej gamified sikkerhedstræningssessioner og bordøvelser ved hjælp af casestudier fra den virkelige verden, så ledere kan forstå virkningen af ​​dårlig cyberhygiejne
• Implementer et "hvid handske"-sikkerhedsprogram for ledere designet til at opbygge tillid og sænke barrierer for rapportering af sikkerhedsproblemer

Tidsfattige ledere vil altid begå fejl. Men med et skarpere fokus på bevidstgørelse, kombineret med mindre påtrængende sikkerhed, er der masser, organisationer kan gøre for at minimere potentialet for forstyrrelser.

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!