Bayangkan anda seorang jurujual dan apabila anda cuba melawati tapak web pelanggan, anda mendapat mesej yang mengatakan bahawa ia telah disekat kerana ia tiada dalam senarai putih syarikat anda. Atau mungkin anda seorang pengaturcara, dan apabila anda pergi untuk memasang versi terkini perisian pembangunan Eclipse yang anda gunakan untuk menulis kod, komputer anda (dan jabatan IT anda) tidak akan membenarkannya. Setiap syarikat bimbang tentang keselamatan siber, tetapi terdapat perkara seperti terlalu terkunci.
Sebagai contoh, satu cara jabatan IT melihat untuk mengekang tingkah laku pekerja yang melulu adalah melalui menyekat tapak web dan apl yang tidak berkaitan dengan kerja pada rangkaian korporat. Laporan Perisikan Aplikasi A10 Networks yang diterbitkan awal tahun ini mendapati hampir dua pertiga pekerja (61 peratus) mengatakan syarikat mereka menyekat tapak atau aplikasi tertentu.
Tetapi menghalang pekerja daripada mempunyai tahap kebebasan teknologi tertentu– sama ada memasang perisian, memuat turun aplikasi atau memilih penyemak imbas web lain–boleh memberi kesan negatif pada produktiviti mereka. Ada yang berpendapat bahawa dasar keselamatan yang ketat bertentangan dengan iklim semasa untuk gangguan digital dan boleh menghalang kapasiti perniagaan untuk inovasi dalam landskap yang semakin kompetitif.
Masalahnya bermula apabila pekerja, yang diberi kuasa oleh ketersediaan IT yang sentiasa aktif di hujung jari mereka, ingin menggunakan komputer riba mereka sendiri dan peranti peribadi lain di tempat kerja, serta memuat turun perisian yang mereka percaya akan memudahkan kerja mereka.
Terpulang kepada pasukan IT untuk memutuskan sejauh mana ia mahu menyekat pilihan pengguna. Menjaga organisasi adalah keutamaan, dan dengan serangan siber yang semakin meningkat dalam kekerapan dan kerumitan, adalah mudah untuk memahami desakan luar biasa jabatan IT untuk mengunci segala-galanya.
Sebagai contoh, serangan perisian tebusan berprofil tinggi telah menjadi tajuk utama sejak beberapa tahun lalu. Mereka kini diatasi oleh peningkatan dalam serangan tanpa fail apabila pembangun perisian hasad meningkatkan usaha mengelak mereka. Sementara itu, penganalisis Gartner meramalkan terdapat 25.1 bilion titik akhir Internet of Things (IoT) dipasang menjelang 2021, meningkatkan tekanan ke atas pasukan IT untuk mendapatkan sebarang peranti yang disambungkan ke rangkaian korporat.
Masalahnya, seperti yang dilihat oleh IT, ialah pekerja sering menjadi sebab bagi pelanggaran keselamatan sedemikian dalam organisasi. Malah, laporan State of the Industry 2018 Shred-it: Keselamatan Maklumat menunjukkan 84 peratus eksekutif peringkat C dan 51 peratus pemilik perniagaan kecil percaya kecuaian pekerja menjadi salah satu risiko keselamatan maklumat terbesar kepada perniagaan AS.
Oleh itu, salah satu punca konflik terbesar antara jabatan IT dan pekerja ialah memuat turun aplikasi yang tidak dibenarkan untuk digunakan di tempat kerja. Laporan A10 Networks menyatakan bahawa hampir satu pertiga (30 peratus) pekerja mengatakan mereka secara sedar menggunakan aplikasi yang tidak dibenarkan di tempat kerja atau pada peranti milik syarikat. Walau bagaimanapun, satu pertiga daripada mereka yang memuat turun aplikasi yang tidak diluluskan mendakwa tangan mereka dipaksa oleh jabatan IT mereka sendiri yang selalunya tidak akan memberi mereka akses kepada aplikasi yang mereka perlukan untuk melakukan tugas mereka.
“Jika anda menjadikan [teknologi] terlalu ketat sehingga anda tidak mempunyai risiko, tiada siapa yang akan menggunakannya,” kata David Mayer, yang mengetuai perniagaan Insight’s Connect Workforce, memberitahu Perkakasan Tom.
Mencapai Imbangan
Pakar keselamatan bersetuju bahawa keselamatan organisasi harus seimbang di samping produktiviti dan kebahagiaan pekerja.
“Membenarkan pekerja bekerja dengan cara yang mereka mahu dan menggunakan alatan yang mereka inginkan memperkenalkan sejumlah besar risiko ke dalam persekitaran yang selamat. Bagaimanapun, tidak membenarkan mereka berbuat demikian boleh membunuh produktiviti pekerja anda,” kata Joey Costa, Ketua Pegawai Eksekutif Raleigh, penyedia perkhidmatan keselamatan terurus (MSSP) The Tek yang berpangkalan di NC, memberitahu Perkakasan Tom.
Cara mengatasinya, kata Costa, adalah untuk perniagaan memfokuskan program keselamatannya pada pengalaman pengguna. Beliau menasihatkan “bekerja dengan pengguna anda untuk memahami cara mereka mahu bekerja, jenis aplikasi dan sistem pengendalian yang mereka mahu gunakan dan mereka bentuk program keselamatan anda untuk pembolehan dan pemanjangan yang akan membolehkan anda meningkatkan produktiviti dan kepuasan pekerja sambil mengekalkan keseluruhan anda. tahap risiko rendah.”
Jake Madders, pengarah di Hyve Managed Hosting, yang mempunyai pusat data di Los Angeles, Boston dan Miami, bersetuju bahawa ketua IT harus cuba mencapai keseimbangan.
“Perniagaan harus berusaha untuk memperkasakan pekerja dalam semua aspek, termasuk dalam hal teknologi. Menghalang pengguna daripada membuat perubahan yang meluas pada perisian mereka adalah satu perkara, tetapi meletakkan sekatan ke atas pekerja yang membuat perubahan mudah, seperti memilih pelayar web yang berbeza, berisiko menggurui dan akhirnya melemahkan motivasi mereka,” katanya kepada Tom’s Hardware. “Internet boleh menjadi alat yang hebat untuk menemui cara baharu dan kreatif untuk menjimatkan masa dan meningkatkan kecekapan melalui aplikasi baharu, jadi membenarkan pekerja mempunyai kebebasan untuk berbuat demikian adalah kunci untuk membangunkan perniagaan secara dalaman.”
Madders percaya bahawa latihan adalah kunci untuk memastikan pekerja tidak secara tidak sengaja melemahkan pertahanan syarikat mereka.
“Kunci di sini ialah pendidikan–mengajar ahli pasukan cara untuk kekal selamat, serta perkara dan cara dasar keselamatan syarikat dilaksanakan,” katanya. “Lagipun, keselamatan yang mencukupi dibina dari bawah – bermula dengan kelemahan teras, yang selalunya, boleh dikatakan, pengguna itu sendiri.”
Penganalisis industri bebas Rob Bamforth bersetuju dengan jabatan IT bahawa pautan yang lemah dalam kebanyakan rantaian keselamatan ialah pekerja itu sendiri, tetapi mendapatkan tenaga kerja dengan amalan keselamatan yang baik bermakna bermula dari atas.
“Membuat mereka memahami, membeli dan menyokong keseluruhan program dan prosedur keselamatan adalah penting. Bagaimanapun, perintah yang datang daripada pembuat keputusan keselamatan yang kelihatan bertentangan dengan keperluan perniagaan juga tidak baik,” katanya kepada Tom’s Hardware.
“CISO yang baik dapatkan ini. Keselamatan mesti terlibat dengan dan dekat dengan perniagaan dan pengguna. Risiko dan kelemahan keselamatan perlu difahami oleh semua dalam konteks perniagaan–apakah kesannya kepada perniagaan? Pemahaman yang luas membantu pembelian masuk dan membantu organisasi mengamalkan postur keselamatan praktikal yang sesuai untuk perniagaan, tidak terlalu menyakitkan untuk pengguna dan memberikan perlindungan yang mencukupi.”
Menariknya, laporan Shred-it menyatakan bahawa kebanyakan perniagaan Amerika Utara mengatakan mereka yakin dengan usaha pekerja mereka untuk melindungi data syarikat, namun kebanyakannya tidak menyediakan kakitangan latihan tetap mengenai prosedur keselamatan maklumat.
“Ironisnya, banyak perniagaan masih meletakkan tanggungjawab untuk keselamatan data pada pekerja mereka,” katanya.
Mengehadkan Risiko
Mayer dari Insight berkata tidak ada sebab hari ini bagi sesebuah organisasi untuk mengenakan dasar keselamatan yang terlalu ketat, walaupun dia mengakui kadangkala “itulah jalan keluar yang mudah.”
Akhirnya, postur keselamatan yang terbaik untuk diguna pakai oleh perniagaan ialah bukan tentang menyekat pengguna, tetapi menyekat risiko.
“Terdapat teknologi pengurusan yang memastikan aplikasi [tanpa sanksi] tidak sampai ke rangkaian korporat; mereka hanya hidup pada mesin pengguna. Penyelesaian Broker Keselamatan Akses Awan [CASB] di luar sana boleh menghalang anda mengakses tapak tertentu di tempat kerja, contohnya,” katanya, sambil menambah ia kembali kepada keseimbangan.
“Anda mengimbangi profil risiko. Apakah risiko yang anda selesa ambil? Tidak ada cara untuk membuat sistem fleksibel yang 100 peratus selamat. Tetapi jika anda boleh menjadikannya 97 peratus selamat, dan kemudian anda boleh mengurus dan menjejaki tiga peratus terakhir itu, mungkin itu profil risiko yang anda sanggup ambil.”
Jawapannya terletak pada mencari keseimbangan di mana IT tidak merasakan ia perlu mengekang aktiviti atau tingkah laku pengguna terlalu banyak, yang akhirnya boleh membawa kepada kekecewaan dan ketidakupayaan untuk berkembang sebagai sebuah organisasi. Pakar keselamatan harus menimbang risiko kepada organisasi sambil kekal fleksibel kepada keperluan dan jangkaan pekerja terhadap tempat kerja moden.
