«Тихе звільнення» створює ризик для кібербезпеки, що вимагає зміни культури на робочому місці

Ознайомтеся із сесіями за запитом на саміті Low-Code/No-Code Summit, щоб дізнатися, як успішно впроваджувати інновації та досягати ефективності шляхом підвищення кваліфікації та масштабування громадянських розробників. Дивитися зараз.


Ваших співробітників психологічно перевіряють зі своїх посад? За даними Gallup, «тихі кинули», працівники, які відсторонені та виконують мінімально необхідну частину своєї ролі, складають принаймні 50% робочої сили США.

Незаангажовані співробітники створюють нові ризики для безпеки підприємств, оскільки для отримання доступу до мережі зловмисникам потрібні лише невеликі помилки, наприклад натискання вкладення у фішинговому електронному листі або повторне використання облікових даних для входу.

Враховуючи, що минулого року 82% порушень даних пов’язані з людським елементом або людською помилкою, керівники служби безпеки не можуть дозволити собі не помічати ризики, пов’язані з тихим звільненням, особливо в період Великої відставки, коли співробітники очікують більшого балансу між роботою та особистим життям.

Тихе звільнення та внутрішні загрози

Хоча тихі звільнення та недостатньо залучені працівники становлять внутрішній ризик, вони не обов’язково є загрозою. Gartner проводить різницю між ними, стверджуючи, що «не кожен внутрішній ризик стає внутрішньою загрозою; однак кожна внутрішня загроза починалася як внутрішня загроза».

Подія

Саміт інтелектуальної безпеки

8 грудня дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та конкретних галузевих прикладах. Зареєструйтеся, щоб отримати безкоштовний пропуск сьогодні.

Зареєструватися зараз

Згідно з визначенням Gartner, кожен співробітник, підрядник або сторонній партнер може вважатися ризиком внутрішньої дії, якщо він має облікові дані для доступу до корпоративних систем і ресурсів, оскільки вони мають можливість витоку конфіденційної інформації та інтелектуальної власності.

У результаті організації повинні бути готові запобігти переростанню внутрішніх ризиків у загрози, які призводять до витоку регламентованих даних. Частково це зводиться до ідентифікації тих працівників, які звільнилися.

«Важливо пам’ятати про тихе припинення, щоб той, хто тихо кинув палити, не став гучним витоком. Провідні показники тихого припинення роботи включають те, що людина стає більш замкнутою, стає апатичною до своєї роботи», – головний аналітик Forrester Джефф Поллард.

«Якщо ці почуття киплять досить довго, вони перетворюються на гнів і обурення, і ці емоції є небезпечними провідними індикаторами внутрішньої ризикової діяльності, як-от витік даних і/або саботаж», — сказав Поллард.

На жаль, витік даних за сприяння співробітників є надзвичайно поширеним явищем. Недавній звіт Cyberhaven показав, що майже кожен 10-й співробітник викрадає дані протягом шести місяців. Було також виявлено, що співробітники набагато частіше виточать конфіденційну інформацію за два тижні до звільнення.

CISO та групи безпеки також не можуть дозволити собі не помічати цю загрозу через тривалу шкоду, спричинену інсайдерськими інцидентами, для стримування яких, за оцінками Ponemon Institute, потрібно в середньому 85 днів і коштує організаціям 15,4 мільйона доларів на рік.

Враховуючи баланс роботи та особистого життя

Звичайно, вирішуючи тихо звільнитися, важливо пам’ятати, що часто буває важко провести межу між працівниками, які прагнуть досягти більшої збалансованості між роботою та особистим життям, і тими, хто вийшов із роботи та діє недбало.

«Поки термін [quiet quitting] є зручно алітеративним і дозрілим для гучності, але це проблематично та потребує подальшого визначення. Чи звільняються працівники, які задоволені своїм поточним становищем і дотримуються розумних меж між роботою та особистим життям?», – сказав Tessian CISO, Джош Явор.

«Значна частина «тихих тих, хто кидає палити» насправді може бути одними з наших найбезпечніших і найнадійніших співробітників, тому давайте перевизначимо «тихих тих, хто кидає палити» як тих, хто навмисне незаангажований і апатичний, але залишається трохи вище порогів, які потенційно можуть призвести до їх звільнення, – сказав Явор.

Прагнучи пом’якшити загрози, спричинені цією меншістю незаангажованих і апатичних працівників, важливо не звинувачувати, а враховувати, що саме їхнє робоче середовище може бути токсичним, із необґрунтованими очікуваннями та крайніми термінами або навіть знущаннями та переслідуваннями на робочому місці.

У цьому сенсі спокійне звільнення — це не просто проблема для команд безпеки, але вимагає зусиль усієї компанії для підтримки здоров’я співробітників і балансу між роботою та особистим життям. Проблема полягає в тому, що це може бути надзвичайно складним віддалене робоче середовище з відсутністю чіткого розмежування між домашнім і професійним життям працівника.

Зменшення внутрішніх ризиків у віддаленому робочому середовищі

У віддаленому та гібридному робочому середовищі CISO та інші керівники підприємств повинні бути проактивними щодо підтримки співробітників, щоб гарантувати, що вони не піддаються ризику стресу та виснаження.

«Хоча «тихе звільнення» є відносно новим терміном, він описує давню проблему — відторгнення робочої сили», — сказав Джон Франс, керівник CISO (ISC)2.

«Цього разу різниця полягає в тому, що у віддаленому робочому середовищі ознаки може бути трохи важче помітити. Щоб запобігти тихому звільненню співробітників, важливо, щоб CISO та керівники служби безпеки забезпечували та сприяли зв’язку та командній культурі», – сказав Франс.

Щоб підтримувати повноцінну робочу атмосферу, Франція рекомендує керівникам регулярно зустрічатися зі своїми командами, щоб підтримувати сильну робочу культуру, забезпечуючи доступ до регулярних соціальних заходів і заходів. Це може допомогти працівникам почуватися більш залученими до своєї роботи.

У той же час важливо переконатися, що співробітники не перевантажені роботою, яка може призвести до виснаження. Активне спілкування зі співробітниками має вирішальне значення для команд, щоб переконатися, що співробітники залучені та комфортно вирішують завдання, які вони повинні виконати.

Звернення до людського ризику

Окрім покращення залученості співробітників, керівники служби безпеки також повинні зменшити людський ризик у всій організації, щоб зменшити ймовірність витоку даних.

Одним із найпростіших рішень є реалізація принципу найменших привілеїв, гарантуючи, що працівники мають доступ лише до тих даних і ресурсів, які їм необхідні для виконання своїх функцій. Це означає, що якщо неавторизований користувач отримає доступ до облікового запису або він сам спробує злити інформацію, доступ до організації обмежений.

Інший підхід полягає в тому, щоб організації пропонували тренінги з питань безпеки, щоб навчити співробітників поводитися з увагою до безпеки, наприклад вибирати надійний пароль і навчати їх розпізнавати фішингові шахрайства. Це може допомогти зменшити ймовірність викрадення облікових даних і спроб захоплення облікового запису.

Інститут SANS рекомендує, щоб під час впровадження навчання з питань безпеки керував програмою спеціалізований працівник, який працює на повний робочий день, як-от спеціаліст із людських ризиків або менеджер з питань безпеки та навчання, який входить до групи безпеки та підпорядковується безпосередньо CISO.

Ця особа може взяти на себе відповідальність за допомогу організації у виявленні, управлінні та вимірюванні людського ризику в усіх його формах і започаткувати культурні зміни.

Місія VentureBeat має стати цифровою міською площею для тих, хто приймає технічні рішення, щоб отримати знання про трансформаційні корпоративні технології та транзакції. Відкрийте для себе наші брифінги.

Leave a Comment