Согласно новому исследованию, опубликованному во вторник, многие рабочие и менеджеры в Соединенных Штатах и Великобритании придают большее значение доверию на рабочем месте, чем финансовой компенсации.
Опрос 500 рабочих и менеджеров в США и Великобритании, проведенный Исследования Остермана для фирмы кибербезопасности Черби обнаружили, что почти половина участников (47%) заявили, что согласились бы на сокращение заработной платы на 20% в обмен на более высокое доверие со стороны своего работодателя.
Другими характеристиками, которые, по мнению исследователей, высоко ценятся сотрудниками, являются гибкость (48%), автономия (42%) и возможность выбирать приложения, необходимые для эффективной работы (39%).
Отчет о состоянии доверия сотрудников, подготовленный Остерманом и Черби исследует влияние принципов нулевого доверия, которые многие компании быстро внедряют в качестве решения своих потребностей в кибербезопасности в результате использования «неуправляемых приложений» работниками и менеджерами.
«Приложения тесно связаны с уровнем вовлеченности и полномочий сотрудников. Если работодатели попытаются заблокировать эти приложения, что они часто и делают, это негативно скажется на доверии», — заметил Мэтт Чиоди, директор по доверительным отношениям в Cerby, поставщике архитектуры с нулевым доверием для неуправляемых приложений, базирующейся в Сан-Франциско.
«Шестьдесят процентов сотрудников заявили, что если нужное им приложение блокируется, это негативно влияет на их отношение к компании», — сказал Чиоди TechNewsWorld.
«Ответ заключается не в том, чтобы работодатели блокировали эти приложения, а в том, чтобы найти решения, позволяющие управлять этими неуправляемыми приложениями», — сказал он.
Беспокойство о контроле
Специалисты по безопасности не одобряют использование неуправляемых приложений, также известных как теневые ИТ, по многим причинам. «Сотрудники приходят и уходят. Организация может столкнуться с тысячами неиспользуемых учетных данных для доступа к своим ресурсам», — пояснил Сильвесттер Себени, директор по информационной безопасности и соучредитель Трезориткомпания, специализирующаяся на решениях для обеспечения безопасности на основе шифрования электронной почты, из Цюриха.
«С горой неактивных доступов хакеры обязательно проникнут в несколько, которые останутся незамеченными, и проложат путь для проникновения в организацию через боковое перемещение», — сказал Себени TechNewsWorld.
Неуправляемые приложения могут поставить под угрозу организацию, поскольку она не может контролировать методы обеспечения безопасности, применяемые при разработке и управлении программами, отметил Джон Юн, вице-президент по продуктовой стратегии в ColorTokensпоставщик автономных решений кибербезопасности с нулевым доверием в Сан-Хосе, Калифорния.
«Кроме того, организация не контролирует требования к обновлениям безопасности для приложений», — сказал Юн TechNewsWorld.
Без какого-либо контроля над приложением организации не могут доверять ему доступ к своей среде, считает Майк Паркин, старший технический инженер в Вулкан Киберпоставщик SaaS для устранения корпоративных киберрисков в Тель-Авиве, Израиль.
«Мы приветствуем предоставление сотрудникам возможности выбирать лучший инструмент для работы, особенно когда он работает на их собственном оборудовании», — сказал Паркин TechNewsWorld.
Однако он заявил: «Это требует некоторого компромисса с организацией, прилагающей усилия для проверки выбранных приложений, и сотрудников, готовых воздержаться, когда предпочитаемое ими приложение отсутствует в одобренном списке».
Роджер Граймс, евангелист обороны, основанный на данных, в ЗнайБе4провайдер тренингов по вопросам безопасности в Клируотере, штат Флорида, занял более жесткую позицию в этом вопросе.
«Управляющие рисками кибербезопасности в организации должны определить, стоят ли понесенные риски выгоды», — сказал Граймс TechNewsWorld. «Вы не хотите, чтобы средний конечный пользователь решал, что является или не является рискованным для организации, больше, чем вы хотите, чтобы средний пассажир управлял самолетом».
Стоит риска?
Приложения считаются неуправляемыми, поскольку они часто не поддерживают стандартные меры безопасности, такие как единый вход и автоматическое добавление или удаление пользователей, пояснил Киоди.
«Это представляет риск для бизнеса, но бизнес-пользователям по-прежнему нужны эти приложения», — сказал он. «Компаниям необходимо найти способы довести эти приложения до такой степени, чтобы ими можно было управлять, чтобы снизить эти риски».
Обозначение приложений как неуправляемых вводит в заблуждение, отмечает Маркус Смайли, генеральный директор Концепции эпохипоставщик ИТ-решений в Литтлтоне, штат Колорадо.
«Они созданы без поддержки современных отраслевых стандартов безопасности, что затрудняет их мониторинг и защиту, — сказал Смайли TechNewsWorld, — но хотя это означает, что ими нельзя управлять, как другими приложениями, управлять ими можно по-разному. ”
«Когда используются неуправляемые приложения, всегда есть какая-то причина», — сказал он. «Многим организациям необходимо улучшить взаимодействие между ИТ-отделом и сотрудниками, чтобы прояснить политику компании и ее причины».
«ИТ-отдел также должен предоставлять каналы для запроса приложений и активно предлагать более безопасные альтернативы проблемным приложениям», — добавил он.
Смайли утверждал, что в некоторых ситуациях разрешать неуправляемые приложения с надзором уместно, чтобы обеспечить внедрение лучших методов управления идентификацией и более безопасных конфигураций вместо менее безопасных.
«В конечном счете не существует такой вещи, как безрисковая стратегия кибербезопасности», — отметил он. «Каждая программа безопасности — даже те, которым не доверяют, — включает в себя компромисс между критически важной бизнес-функциональностью, производительностью и риском».
Необходим балансирующий акт
Самый безопасный подход заключается в том, чтобы любое приложение было проверено до принятия человеком или командой, обладающей опытом в области кибербезопасности, для выявления любых проблем, которые могут возникнуть в результате использования программного обеспечения или службы, обеспечения приемлемости юридических условий, а также планирования текущего обслуживания, рекомендуемого Крис Клементс, вице-президент по архитектуре решений в Цербер Стражконсалтинговая компания по кибербезопасности и тестированию на проникновение в Скоттсдейле, штат Аризона.
«К сожалению, у многих организаций нет опыта или ресурсов для надлежащей оценки этих рисков, в результате чего процесс либо не происходит вовсе, либо затягивается на недели или месяцы, что наносит ущерб моральному духу и производительности сотрудников», — сказал Клементс TechNewsWorld. .
«Уравновешивание риска кибербезопасности с потребностями сотрудников — это практика, к которой организации должны относиться более серьезно», — сказал он. «Разрешение подхода Дикого Запада неизбежно приведет к рискам кибербезопасности. Но, с другой стороны, чрезмерная строгость может привести к выбору продуктов или услуг, которые слишком сильно скомпрометированы с точки зрения удобства использования и удобства пользователя, или просто к отказу в одобрении».
«Это может вызвать разочарование и привести к тому, что сотрудники покинут организацию или активно нарушат меры безопасности», — продолжил он.
Злоупотребление принципами нулевого доверия также может усугубить это разочарование. «Нулевое доверие относится к данным, доступу, приложениям и услугам», — заявил Чиоди. «Но когда дело доходит до доверия со стороны людей, компании должны стремиться к высокому доверию. Эти два понятия не являются взаимоисключающими. Это возможно, но потребуются изменения в том, как работодатели используют меры безопасности».
«Предоставляя сотрудникам технологические возможности, компании могут показать, что они доверяют своим сотрудникам принимать технологические решения, которые помогают им лучше выполнять свою работу», — добавила Карен Уолш, директор в Аллегро Решенияконсалтинговая компания по кибербезопасности в Уэст-Хартфорде, штат Коннектикут.
«Подкрепляя это обучением менталитету «предполагать компромисс», — сказал Уолш TechNewsWorld, — они укрепляют отношения со своими сотрудниками».
