تحقیقات جدید نشان می دهد که بسیاری از کارگران اعتماد را به پول ارزش می دهند
تحقیقات جدید نشان می دهد که بسیاری از کارگران اعتماد را به پول ارزش می دهند
تحقیقات جدید منتشر شده در روز سهشنبه نشان میدهد که بسیاری از کارگران و مدیران در ایالات متحده و بریتانیا به اعتماد به محل کار بیش از غرامت مالی اهمیت میدهند.
یک نظرسنجی از 500 کارگر و مدیر در ایالات متحده و بریتانیا که توسط شرکت امنیت سایبری Osterman Research انجام شد، نشان داد که تقریباً نیمی (47٪) از پاسخ دهندگان گفتند که در ازای اعتماد بیشتر کارفرمای خود، 20٪ کاهش حقوق دریافت می کنند.
ویژگیهای دیگری که محققان دریافتند برای کارمندان بسیار ارزشمند است، انعطافپذیری (48%)، استقلال (42%) و توانایی انتخاب برنامههای مورد نیاز برای کار موثر (39%) بود.
گزارش Osterman and Serby’s State of Employee Trust تأثیر اصول اعتماد صفر را بررسی می کند که بسیاری از شرکت ها به سرعت به عنوان راه حلی برای نیازهای امنیت سایبری ناشی از استفاده از “برنامه های غیرقابل مدیریت” توسط کارگران و مدیران اتخاذ می کنند.
اپلیکیشنها ارتباط نزدیکی با سطح مشارکت و توانمندسازی کارکنان دارند. مت Chiudi، مدیر ارشد اعتماد در Serpi، ارائهدهنده معماری بدون اعتماد مستقر در سانفرانسیسکو برای برنامههای غیرقابل مدیریت، خاطرنشان کرد: اگر کارفرمایان سعی کنند این برنامهها را مسدود کنند، کاری که اغلب انجام میدهند، بر اعتماد تأثیر منفی میگذارد.
چیودی به TechNewsWorld گفت: «۶۰ درصد از کارمندان گفتند که اگر اپلیکیشنی که میخواهند مسدود شود، بر احساس آنها نسبت به شرکت تأثیر منفی میگذارد.
او گفت: “پاسخ این نیست که کارفرمایان این برنامه ها را ممنوع کنند، بلکه باید راه حل هایی بیابند که امکان مدیریت این برنامه های غیرقابل مدیریت را فراهم کند.”
نگرانی در مورد کنترل
تیمهای امنیتی به دلایل زیادی روی برنامههای غیرقابل مدیریت، که به عنوان IT سایه نیز شناخته میشوند، اخم میکنند. Szilveszter Szebeni، CISO و یکی از بنیانگذاران Tresorit، یک شرکت راه حل های امنیتی مبتنی بر رمزگذاری ایمیل در زوریخ، توضیح داد: “کارکنان می آیند و می روند. یک سازمان ممکن است با هزاران اعتبار استفاده نشده به منابع آن دسترسی پیدا کند.”
زبینی به TechNewsWorld گفت: «با کوهی از دسترسیهای غیرفعال، هکرها مجبورند به تعدادی دسترسی پیدا کنند که مورد توجه قرار نمیگیرند و راه را برای نفوذ به سازمان از طریق حرکت جانبی باز میکنند.
جان یون، معاون استراتژی محصول در ColorTokens، ارائهدهنده راهحلهای امنیت سایبری مستقل و بدون اعتماد در سن خوزه، کالیفرنیا، خاطرنشان کرد: برنامههای غیرقابل مدیریت میتوانند سازمان را در معرض خطر قرار دهند زیرا هیچ کنترلی بر رویههای امنیتی تحمیلشده بر توسعه و مدیریت نرمافزار ندارد. .
یون به TechNewsWorld گفت: «سازمان هیچ نظارتی بر الزامات بهروزرسانی امنیتی برنامهها ندارد.
مایک بارکین، مهندس فنی ارشد در Vulcan Cyber، ارائهدهنده SaaS برای اصلاح خطرات سایبری سازمانی در تلآویو، اسرائیل، گفت بدون هیچ کنترلی بر برنامه، سازمانها نمیتوانند به آن برای دسترسی به محیطهایشان اعتماد کنند.
پارکین به TechNewsWorld گفت: «اجازه دادن به کارمندان برای انتخاب بهترین ابزار برای کار، به ویژه زمانی که روی تجهیزات خود کار می کنید، خوش آمدید.
با این حال، او تاکید کرد، “این مستلزم برخی مصالحه ها با سازمان است که تلاش می کند برنامه های منتخب را بررسی کند و کارکنانی که مایل به امتناع هستند زمانی که درخواست مورد نظر آنها در لیست تایید شده نیست.”
راجر گریمز، مبشر دفاعی مبتنی بر داده در KnowBe4، ارائهدهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، موضع بسیار سختتری در مورد این موضوع اتخاذ کرده است.
گریمز به TechNewsWorld گفت: «این به مدیران ریسک امنیت سایبری یک سازمان بستگی دارد که تعیین کنند آیا خطرات متحمل شده ارزش منافع را دارند یا خیر. “شما نمی خواهید که کاربر نهایی معمولی تصمیم بگیرد که چه چیزی برای سازمان خطر دارد یا نه، بیش از اینکه برای مسافر متوسطی که در هواپیما سفر می کند تصمیم بگیرد.”
ارزش ریسک رو داره؟
چیودی توضیح داد که برنامهها غیرقابل مدیریت در نظر گرفته میشوند، زیرا اغلب از اقدامات امنیتی رایج مانند ورود به سیستم و افزودن یا حذف خودکار کاربران پشتیبانی نمیکنند.
او گفت: “این یک خطر برای مشاغل است، اما کاربران تجاری هنوز به آن برنامه ها نیاز دارند.” شرکتها باید راههایی بیابند تا این برنامهها را به نقطهای برسانند که بتوان آنها را مدیریت کرد تا این خطرات کاهش یابد.»
مارکوس اسمایلی، مدیر عامل Epoch Concepts، ارائهدهنده راهحلهای فناوری اطلاعات در لیتلتون، کلرادو، خاطرنشان میکند که برچسبگذاری برنامههایی که قابل مدیریت نیستند گمراهکننده است.
اسمایلی به TechNewsWorld گفت: “این برنامه بدون پشتیبانی از استانداردهای امنیتی صنعت مدرن طراحی شده است که نظارت و ایمن سازی آن را دشوار می کند، اما اگرچه این بدان معناست که نمی توان آن را مانند سایر برنامه ها مدیریت کرد، اما می توان آن را به روش های مختلف مدیریت کرد.”
او گفت: «هنگام استفاده از برنامه های غیرقابل مدیریت، همیشه دلیلی وجود دارد. بسیاری از سازمانها به ارتباط بهتر بین IT و کارکنان نیاز دارند تا سیاستهای شرکت و دلایل آن را روشن کنند.»
وی افزود: «IT همچنین باید کانالهایی را برای سفارش برنامهها فراهم کند و در ارائه جایگزینهای ایمنتر برای برنامههای مشکلساز فعال باشد».
اسمایلی تأیید کرد که در برخی موارد، اجازه دادن به برنامههای غیرقابل مدیریت با نظارت برای اطمینان از اجرای بهترین شیوههای مدیریت هویت و پیکربندیهای ایمنتر به جای موارد کمتر امن مناسب است.
وی خاطرنشان کرد: در نهایت چیزی به نام استراتژی امنیت سایبری بدون ریسک وجود ندارد. هر برنامه امنیتی – حتی آنهایی که در محدوده اطمینان صفر قرار دارند – شامل معاوضه هایی بین عملکردهای تجاری حیاتی، بهره وری و ریسک است.
تعادل مورد نیاز
ایمنترین راه این است که هر برنامهای را قبل از تأیید آن توسط شخص یا تیمی با تخصص در امنیت سایبری بررسی کنید تا هرگونه مشکلی را که ممکن است در اثر استفاده از نرمافزار یا سرویس ایجاد شود شناسایی کنید، اطمینان حاصل کنید که شرایط قانونی پذیرفته شده است، و همچنین برنامهریزی برای نگهداری مداوم، توسط کریس کلمنتز، معاون راه حل های مهندسی در Cerberus Sentinel، یک شرکت مشاوره امنیت سایبری و تست نفوذ در اسکاتسدیل، آریزونا توصیه شده است.
کلمنتز گفت: «متاسفانه بسیاری از سازمانها تخصص یا منابع لازم برای ارزیابی صحیح این خطرات را ندارند، که منجر به این میشود که فرآیند اصلاً اتفاق نیفتد، یا به همان اندازه بد، هفتهها یا ماهها طول بکشد و به روحیه و بهرهوری کارکنان آسیب برساند». TechNewsWorld. .
او گفت: «تعادل بین ریسکهای امنیت سایبری با نیازهای کارکنان تمرینی است که سازمانها باید آن را جدیتر بگیرند. “اجازه دادن به رویکرد غرب وحشی به ناچار منجر به خطرات امنیت سایبری می شود. اما از سوی دیگر، سخت گیری بیش از حد می تواند منجر به انتخاب راه حل های محصول یا خدماتی شود که به طور قابل توجهی از نظر قابلیت استفاده و راحتی کاربر به خطر افتاده یا به سادگی رضایت را به طور کلی انکار می کنند.”
او ادامه داد: «این میتواند باعث ناامیدی شود و منجر به خروج افراد از سازمان یا بهطور مؤثر کنترلهای امنیتی شود».
استفاده نادرست از اصول بی اعتمادی نیز می تواند این ناامیدی را افزایش دهد. چیودی گفت: اعتماد صفر در مورد داده ها، دسترسی ها، برنامه ها و خدمات است. اما وقتی صحبت از ایجاد اعتماد در سمت انسانی میشود، شرکتها باید اعتماد بالایی داشته باشند. این دو متقابل نیستند. این امکان وجود دارد، اما نیاز به تغییر در نحوه استفاده کارفرمایان از کنترلهای امنیتی دارد.
کارن والش، مدیر شرکت Allegro Solutions، یک شرکت مشاوره امنیت سایبری در وست هارتفورد، کانکتیکات، اضافه کرد: شرکتها با دادن گزینههای فناوری به کارمندان میتوانند نشان دهند که به کارمندان خود برای تصمیمگیریهای فناوری اعتماد دارند که به آنها کمک میکند وظایف خود را بهتر انجام دهند.
والش به TechNewsWorld گفت، با تقویت این موضوع با آموزش در مورد ذهنیت “مصالحه با فرض”، “آنها رابطه قوی تری با اعضای نیروی کار خود ایجاد می کنند.”