想象一下,您是一名销售人员,当您尝试访问客户的网站时,您会收到一条消息,说它已被阻止,因为它不在您公司的白名单上。或者,也许您是一名程序员,当您要安装用于编写代码的最新版本的 Eclipse 开发软件时,您的计算机(和您的 IT 部门)将不允许这样做。每家公司都担心网络安全,但有一种情况就是过于封闭。
例如,IT 部门希望遏制员工鲁莽行为的一种方法是阻止公司网络上的网站和与工作无关的应用程序。A10 Networks 今年早些时候发布的应用智能报告发现,近三分之二 (61%) 的员工表示他们的公司屏蔽了特定网站或应用程序。
但是,阻止员工拥有一定程度的技术自由——无论是安装软件、下载应用程序还是选择不同的网络浏览器——都会对他们的生产力产生负面影响。一些人认为,严格的安全政策与当前的数字中断环境不符,可能会阻碍企业在竞争日益激烈的环境中的创新能力。
当员工因为随时可用的 IT 触手可及而希望在工作场所使用自己的笔记本电脑和其他个人设备并下载他们认为可以让他们的工作生活更轻松的软件时,问题就开始了。
由 IT 团队决定在多大程度上限制用户的选择。确保组织安全是当务之急,随着网络攻击的频率和复杂性不断升级,很容易理解 IT 部门锁定一切的压倒性冲动。
例如,备受瞩目的勒索软件攻击在过去几年中占据了头条新闻。随着恶意软件开发人员加大规避力度,无文件攻击的增加正在超越它们。与此同时,分析师 Gartner 预测,到 2021 年将安装 251 亿个物联网 (IoT) 端点,这将加大 IT 团队保护连接到企业网络的任何设备的压力。
在 IT 部门看来,问题在于员工通常是组织内此类安全漏洞的原因。事实上,Shred-it 的 2018 年行业状况:信息安全报告显示,84% 的 C 级高管和 51% 的小企业主认为员工疏忽是美国企业面临的最大信息安全风险之一。
因此,IT 部门与员工之间发生冲突的最大原因之一是下载未经授权的应用程序以供在工作场所使用。A10 Networks 报告指出,近三分之一 (30%) 的员工表示,他们在工作中或公司拥有的设备上故意使用未经批准的应用程序。然而,三分之一下载未经批准的应用程序的人声称他们的手是由他们自己的 IT 部门强迫的,这通常不会让他们访问完成工作所需的应用程序。
“如果你让[技术] 如此严格以至于你的风险为零,那么没有人会使用它,”Insight 的 Connect Workforce 业务负责人 David Mayer 告诉 Tom’s Hardware。
取得平衡
安全专家一致认为,组织的安全状况应该与员工的生产力和幸福感保持平衡。
“允许员工以他们想要的方式工作并使用他们想要的工具会给原本安全的环境带来巨大的风险。但是,不允许他们这样做会降低员工的工作效率,”位于北卡罗来纳州罗利的托管安全服务提供商 (MSSP) The Tek 的首席执行官 Joey Costa 告诉 Tom’s Hardware。
Costa 说,解决这个问题的方法是让企业将其安全计划集中在用户体验上。他建风险水平低。”
在洛杉矶、波士顿和迈阿密设有数据中心的 Hyve Managed Hosting 的主管 Jake Madders 同意 IT 主管应该努力取得平衡。
“企业应该寻求在各个方面赋予员工权力,包括在技术方面。阻止用户对他们的软件进行大范围的更改是一回事,但限制员工进行简单的更改,例如选择不同的网络浏览器,有可能使他们光顾并最终使他们失去动力,”他告诉 Tom’s Hardware。“互联网可以成为一个伟大的工具,通过新的应用程序发现新的和创造性的方法来节省时间和提高效率,因此允许员工自由地这样做是内部发展业务的关键。”
Madders 认为,培训是确保员工不会无意中削弱公司防御能力的关键。
“这里的关键是教育——教导团队成员如何保持安全,以及公司安全政策的实施内容和方式,”他说。“毕竟,足够的安全性是从一开始就建立起来的——从核心漏洞开始,可以说,这通常是用户本身。”
独立行业分析师 Rob Bamforth 同意 IT 部门的观点,即大多数安全链中的薄弱环节是员工本身,但让员工参与良好的安全实践意味着从高层开始。
“让他们理解、接受并全面支持安全计划和程序是至关重要的。话虽如此,来自安全决策者的法令似乎与业务需求不一致,这也不好,”他告诉 Tom’s Hardware。
“优秀的 CISO 会明白这一点。安全性必须与业务和用户密切相关。业务环境中的所有人都需要了解安全风险和漏洞——对业务有什么影响?广泛的理解有助于接受并帮助组织采用适合业务的实用安全态势,对用户来说不会太痛苦并提供足够的保护。”
有趣的是,Shred-it 报告指出,大多数北美企业表示他们对员工保护公司数据的努力充满信心,但大多数企业并未定期为员工提供信息安全程序培训。
“具有讽刺意味的是,许多企业仍然将数据安全责任放在员工身上,”它说。
限制风险
Insight 的 Mayer 表示,当今组织没有理由强制实施过于严格的安全策略,尽管他承认有时“这是最简单的出路”。
最终,企业采用的最佳安全态势不是限制用户,而是限制风险。
“有一种管理技术可以确保 [未经批准的] 应用程序甚至不会进入公司网络;它们只存在于用户的机器上。例如,云访问安全代理 [CASB] 解决方案可以阻止您访问工作中的某些站点,”他说,并补充说它可以恢复平衡。
“你正在平衡风险状况。你愿意承担的风险是什么?没有办法制造一个 100% 安全的灵活系统。但是,如果您可以确保 97% 的安全,然后您可以管理和跟踪最后 3%,那么您可能愿意承担这样的风险。”
答案在于找到一种平衡,IT 不会觉得它必须过多地限制用户的活动或行为,这可能最终导致挫折和无法作为一个组织发展。安全专家应权衡组织面临的风险,同时对员工的需求和对现代工作场所的期望保持灵活。
