‘Security fatigue’ is geen mythe
Advertorial verbindt organisaties met de lezers van en doet een beroep op de specialisten van Roularta Brand Studio voor tekst en illustraties. De inhoud wordt eventueel aangebracht door de partner en valt buiten de verantwoordelijkheid van de redactie.
“IT-security wordt vaak gezien als de ‘afdeling Neen’ en het is begrijpelijk,” zegt Jake Moore, ESET Global Security Adviser. “In een wereld gekenmerkt door escalerende cyberrisico’s, steeds grotere aanvalsoppervlakken en een snelgroeiende cybercrime-economie, willen beveiligingsteams de schade beperken die werknemers zouden kunnen veroorzaken.”
Security fatigue of “beveiligingsmoeheid” kan leiden tot roekeloos en impulsief gedrag – het tegenovergestelde van wat IT-teams willen. Om dit aan te pakken, moet beveiliging naadloos functioneren, het aantal beslissingen door gebruikers moet beperkt blijven en bescherming en productiviteit opnieuw in balans gebracht worden, en dit in een hybride werkwereld.
De mens wordt als de zwakste schakel in de beveiligingsketen beschouwd. Daarom maken IT-beveiligingsdiensten zich grote zorgen over het beperken van de risico’s bij nalatige mensen en ze hebben groot gelijk. 67% van de Amerikaanse bedrijven zou in 2021 tussen 21 en 40 interne incidenten hebben gehad, vergeleken met 60% in 2020, met een gemiddelde van meer dan $ 15 miljoen om ze te op te lossen.
Wordt het personeel gebombardeerd met veiligheidswaarschuwingen, werkregels en -procedures en, in zijn vrije tijd met berichten in de media over schendingen en bedreigingen, dan kan veiligheidsmoeheid optreden. Dit genereert een gevoel van hulpeloosheid, verlies van vertrouwen en controle. Het kan zo overweldigend zijn dat men het bedrijfsbeleid laat varen en zijn eigen weg gaat. Het komt zelfs tot berusting: er zullen steeds overtredingen zijn, men kan net zo goed al die stressvolle waarschuwingen negeren.
Uit een onderzoek uit 2018 blijkt dat 55% van de werknemers niet vaak aan cyberbeveiliging denkt en dat 17% er helemaal niet over nadenkt. Het lijkt erop dat jongere mensen nog sneller vermoeid raken door buitensporige beveiligingseisen.
Dit kan een ontwrichtend effect hebben op de veiligheid van het bedrijf. Bij de belangrijke signalen vindt men werknemers die, uit nieuwsgierigheid, meer risico’s nemen met phishing-mails en op links klikken of bijlagen openen. Anderen hebben een slecht wachtwoordbeheer. Volgens een recent onderzoek geeft 43% van de werknemers toe login gegevens te delen. Ze kunnen ook verbinding maken met bedrijfsnetwerken zonder VPN of onbeveiligde openbare Wi-Fi-hotspots gebruiken -wat in sommige organisaties verboden is- en zelfs hun toestellen niet updaten.
Een onderzoek van EY laat zien dat Generaties Y en Z minder aandacht besteden aan verplichte patches dan ouderen. Een ander gedragspatroon is de incidenten niet direct te melden bij de IT-afdeling. Uit dit onderzoek blijkt ook dat 16% zou proberen een inbreuk zelf op te lossen, in plaats van het met iemand te bespreken. Ze kunnen ook bedrijfstoestellen gebruiken voor persoonlijke doeleinden, waaronder risicovolle internetactiviteiten, online gamen en winkelen. Een studie beweert dat 50% van de werknemers hun bedrijfstoestel als hun eigendom beschouwt. Ze kunnen ook de beveiliging omzeilen: uit een rapport blijkt dat 31% van de werknemers tussen 18 en 24 jaar geprobeerd heeft dit te doen.
In 2020 leidde, in veel organisaties, het snel overstappen naar telewerken tot een spontane reactie omdat IT-teams probeerden de blootstelling aan risico’s te beperken door nieuwe regels aan de werknemers op te leggen. Met hybride werken is het mogelijk om deze beperkingen aan te passen, en zo de risico’s op security fatigue te verminderen.
“Voor een efficiënte beveiliging moet een cultuur gecreëerd worden waarin elke medewerker de cruciale rol begrijpt die hij in de beveiliging van de organisatie speelt en die rol ook proactief wil spelen. Het kan wat tijd vragen om zo’n cultuur uit te bouwen.
Meer info? Klik hier.