Salı günü yayınlanan yeni bir araştırmaya göre, Amerika Birleşik Devletleri ve Birleşik Krallık’taki birçok işçi ve yönetici, işyerinde güvene mali tazminattan daha yüksek bir değer veriyor.
Osterman Research tarafından siber güvenlik şirketi Cerby için ABD ve Birleşik Krallık’ta 500 çalışan ve yöneticiyle yapılan bir anket, katılımcıların yaklaşık yarısının (%47) 20 İşverenlerinin daha fazla güven duyması karşılığında % maaş kesintisi.
Araştırmacıların çalışanlar tarafından çok değer verdiği diğer özellikler arasında esneklik (%48), özerklik (%42) ve etkili bir şekilde çalışmak için ihtiyaç duydukları uygulamaları seçebilme (%39) yer alıyor.
Osterman ve Cerby tarafından hazırlanan Çalışan Güveninin Durumu Raporu, birçok şirketin çalışanlar ve yöneticiler tarafından “yönetilemez uygulamaların” kullanımından kaynaklanan siber güvenlik ihtiyaçlarına bir çözüm olarak hızla benimsediği sıfır güven ilkelerinin etkisini inceliyor. .
“Uygulamalar, çalışanların katılım ve yetkilendirme seviyelerine yakından bağlıdır. San Francisco merkezli, yönetilemeyen uygulamalar için sıfır güven mimarisi sağlayıcısı Cerby’nin baş güven sorumlusu Matt Chiodi, “Eğer işverenler, sıklıkla yaptıkları gibi, bu uygulamaları engellemeye çalışırlarsa, bu, güveni olumsuz yönde etkiler” dedi.
TechNewsWorld’e konuşan Chiodi, “Çalışanların yüzde altmışı, istedikleri bir uygulamanın engellenmesinin şirket hakkında hissettiklerini olumsuz etkilediğini söyledi.”
“Cevap, işverenlerin bu uygulamaları engellemesinde değil, bu yönetilemez uygulamaların yönetilmesine olanak tanıyan çözümler bulmasındadır” dedi.
Kontrol Konusunda Endişelenme
Güvenlik ekipleri, gölge BT olarak da bilinen, yönetilemeyen uygulamaların kullanımına pek çok nedenden dolayı sıcak bakmazlar. “Çalışanlar gelip gidiyor. Zürih’te e-posta şifreleme tabanlı bir güvenlik çözümleri şirketi olan Tresorit‘in kurucu ortağı ve CISO’dan Szilveszter Szebeni, “Bir kuruluş, kaynaklarına erişen binlerce kullanılmamış kimlik bilgisiyle sonuçlanabilir.”
TechNewsWorld’e konuşan Szebeni, “Bir yığın hareketsiz erişimle, bilgisayar korsanları fark edilmeden birkaç tanesine girip yanal hareketle kuruluşa sızmanın yolunu açıyor” dedi.
Otonom sıfır güven sağlayıcısı ColorTokens‘ta ürün stratejisinden sorumlu başkan yardımcısı John Yun, yönetilemeyen uygulamaların, programların geliştirilmesi ve yönetimine uygulanan güvenlik uygulamaları üzerinde hiçbir denetimi olmadığı için bir kuruluşu tehlikeye atabileceğini belirtti. San Jose, Kaliforniya’da siber güvenlik çözümleri.
Yun, TechNewsWorld’e “Ayrıca, kuruluşun uygulamaların güvenlik güncelleme gereksinimleri konusunda hiçbir denetimi yok” dedi.
Tel Aviv’de kurumsal siber risk iyileştirme için SaaS sağlayıcısı olan Vulcan Cyber‘de kıdemli bir teknik mühendis olan Mike Parkin, uygulama üzerinde herhangi bir kontrol olmaksızın, kuruluşların ortamlarına erişim konusunda ona güvenemeyeceğini belirtti. İsrail.
TechNewsWorld’e konuşan Parkin, “Çalışanların iş için en iyi aracı seçmelerine izin vermek, özellikle de kendi ekipmanlarıyla çalışırken hoş karşılanır,” dedi.
Bununla birlikte, “Kuruluşun seçilen uygulamaları incelemeye çaba sarf etmesi ve tercih ettikleri uygulama onaylananlar listesinde olmadığında çekimser kalmaya istekli çalışanlarla biraz taviz verilmesini gerektiriyor” dedi.
Clearwater, Fla.’da bir güvenlik farkındalığı eğitimi sağlayıcısı olan KnowBe4‘de veriye dayalı bir savunma vaizi olan Roger Grimes, bu konuda daha sert bir tavır aldı.
TechNewsWorld’e konuşan Grimes, “Bir kuruluşun siber güvenlik risk yöneticileri, maruz kalınan risklerin faydalara değip değmeyeceğini belirler” dedi. “Ortalama bir son kullanıcının, bir uçağı uçuran ortalama bir yolcudan daha fazla, kuruluş için neyin riskli olup olmadığına karar vermesini istemezsiniz.”
Riske Değer mi?
Chiodi, uygulamaların yönetilemez olarak kabul edildiğini, çünkü genellikle tek oturum açma ve otomatik olarak kullanıcı ekleme veya kaldırma gibi yaygın güvenlik önlemlerini desteklemediklerini açıkladı.
“Bu, bir işletme için bir risk teşkil ediyor, ancak işletme kullanıcılarının yine de bu uygulamalara ihtiyacı var” dedi. “İşletmelerin bu uygulamaları yönetilebilecekleri bir noktaya getirmenin yollarını bulmaları gerekiyor, böylece bu riskler azaltılıyor.”
Littleton, Colo’da BT çözümleri sağlayıcısı olan Epoch Concepts‘in CEO’su Marcus Smiley, uygulamaları yönetilemez olarak etiketlemenin yanıltıcı olduğunu gözlemledi.
TechNewsWorld’e konuşan Smiley, “Modern, endüstri güvenlik standartları için destek olmadan oluşturuldular, bu da onları izlemeyi ve güvenceye almayı zorlaştırıyor, ancak bu, diğer uygulamalar gibi yönetilemeyecekleri anlamına gelse de, farklı şekillerde yönetilebilirler. ”
“Yönetilemez uygulamalar kullanıldığında, bunun her zaman bir nedeni vardır” dedi. “Birçok kuruluş, şirket politikalarını ve bunların arkasındaki nedenleri açıklığa kavuşturmak için BT ile çalışanlar arasında daha iyi iletişime ihtiyaç duyuyor.”
“BT ayrıca başvuru talep etmek için kanallar sağlamalı ve sorunlu olanlara daha güvenli alternatifler sağlamada proaktif olmalıdır” diye ekledi.
Smiley, bazı durumlarda yönetilemeyen uygulamalara gözetim ile izin verilmesinin, daha az güvenli olanların yerine en iyi kimlik yönetimi uygulamalarının ve daha güvenli yapılandırmaların uygulanmasını sağlamak için uygun olduğunu savundu.
“Nihayetinde, risksiz bir siber güvenlik stratejisi diye bir şey yoktur” dedi. “Her güvenlik programı – sıfır güven kapsamına girenler bile – görev açısından kritik iş işlevselliği, üretkenlik ve risk arasında dengeler içerir.”
Dengeleme Yasası Gerekli
En güvenli yaklaşım, yazılım veya hizmetin kullanımından doğabilecek sorunları belirlemek, yasal şartların kabul edilebilir olduğundan emin olmak ve önerilen sürekli bakım planını sağlamak için herhangi bir uygulamayı benimsemeden önce siber güvenlik uzmanlığına sahip bir kişi veya ekip tarafından gözden geçirmektir. Arizona, Scottsdale’de bulunan bir siber güvenlik danışmanlığı ve sızma testi şirketi olan Cerberus Sentinel‘de çözüm mimarisinden sorumlu başkan yardımcısı Chris Clements.
Clements, TechNewsWorld’e “Maalesef birçok kuruluş bu riskleri doğru bir şekilde değerlendirecek uzmanlığa veya kaynaklara sahip değil, bu da sürecin hiç gerçekleşmemesine veya haftalarca veya aylarca devam etmesine neden oluyor, bu da çalışanların moraline ve üretkenliğine zarar veriyor” dedi. .
Siber güvenlik riskini çalışanların ihtiyaçları ile dengelemek, kuruluşların daha ciddiye alması gereken bir uygulamadır” dedi. “Vahşi Batı yaklaşımına izin vermek, kaçınılmaz olarak siber güvenlik risklerini beraberinde getirecektir. Ancak öte yandan, aşırı derecede katı olmak, kullanılabilirlik ve kullanıcı kolaylığından çok fazla ödün verilen ürün veya hizmet çözümlerinin seçilmesine veya basitçe onayın tamamen reddedilmesine yol açabilir.”
“Bunlar hayal kırıklığına neden olabilir ve personelin kuruluştan ayrılmasına veya aktif olarak güvenlik kontrollerini alt üst etmesine neden olabilir” diye devam etti.
Sıfır güven ilkelerinin kötüye kullanılması da bu hüsrana katkıda bulunabilir. Chiodi, “Sıfır güven veri, erişim, uygulamalar ve hizmetler içindir” dedi. “Ancak insan tarafında güven oluşturmaya gelince, şirketlerin yüksek güveni hedeflemesi gerekiyor. İkisi birbirini dışlamaz. Bu mümkün, ancak işverenlerin güvenlik kontrollerini kullanma biçiminde bir değişiklik olacak.”
West Hartford’da bir siber güvenlik danışmanlık şirketi olan Allegro Solutions‘ın müdürü Karen Walsh, “Şirketler, çalışanlarına teknoloji seçenekleri sunarak, işlerini daha iyi yapmalarına yardımcı olacak teknolojik kararlar alma konusunda çalışanlarına güvendiklerini gösterebilirler” diye ekledi. , Bağlantı
Walsh, TechNewsWorld’e şunları söyledi: “Bunu, ‘uzlaşmayı kabul et’ zihniyeti etrafında eğitimle pekiştirerek, iş gücü üyeleriyle daha güçlü bir ilişki kuruyorlar.”