超过30%的24岁以下员工承认,会直接绕过某些企业安全策略来完成工作。
惠普近期发布的调查研究表明,试图改善远程办公员工网络安全状况的IT团队面临危险而有争议的境况。
HP Wolf Security调查访问了1100位IT决策者,并通过YouGov在线收集了8443位居家办公员工的看法,发布了《反抗与拒绝》(Rebellions & Rejections)报告。
这份调查研究报告发现,IT员工常觉得自己别无选择,只能牺牲网络安全,从而安抚那些抱怨某些措施拖慢业务流程的员工。一些远程工作的员工,尤其是24岁及以下的那些,坚决拒绝他们认为“妨碍”了自己到期交工的网络安全措施。
超过75%的IT团队声称,新冠肺炎疫情期间,网络安全的重要性被放到了业务连续性之后;91%的IT团队报告称,被迫为业务操作而牺牲了安全性。
近一半的24岁员工认为网络安全工具是“阻碍”,31%承认会直接绕过某些企业安全策略来完成工作。
遗憾的是,全部受访员工中几乎半数都认为网络安全措施浪费了自己的时间,而在24岁以下的受访员工中,持这种观点的人占64%。调查发现,相比会不会引发数据泄露,18~24岁的员工中54%更关心自己的工作能不能按时完成。
研究人员发现,39%的受访者并不完全清楚自家公司都有哪些安全策略,导致83%的受访IT员工都将远程办公认为是数据泄露“定时炸弹”。
惠普个人系统全球安全主管Ian Pratt表示,每一位CISO都应该担忧员工主动规避安全措施的问题。
Pratt称:“这是数据泄露滋生的温床。”
“如果安全措施过于繁琐,使人心生厌烦,那人们总会找出各种规避方法。相反,安全措施应尽量采用低调、设计安全和直观的技术,适应现有工作模式和流程。最终,我们需要将安全办公设计得跟不安全办公一样‘便捷’,而这可以通过从一开始就将安全内置入系统中来实现。”
IT主管应采取特定措施来应对桀骜不驯的远程办公员工,例如更新安全策略和限制访问某些网站与应用。
但这些操作会导致员工不满,37%的受访员工表示,安全策略“常常限制过于严苛”。针对IT主管的调查访问发现,90%的受访者因安全控制措施而遭到了抵制,67%声称每周都会遭到投诉。
超过80%的IT员工表示,“由于个人生活和工作之间的界限相当模糊,几乎不可能围绕网络安全制定和实施公司策略”,同样比例的受访者认为,安全已经成了一项“吃力不讨好的任务”。
近70%的受访IT员工称,由于施加用于保护员工的安全限制措施,自己被视为“坏人”。
惠普首席信息安全官Joanna Burkey称:“CISO面对的网络攻击越来越多,攻击速度越来越快,严重性也越来越高。他们的团队不得不夜以继日地工作,在保障业务安全的同时,克服疫情期间可见性降低的难题,推动大规模数字化转型。网络安全团队不应该再独自承担保护业务安全的重担;网络安全人人有责。
Burkey补充道,IT团队应向员工普及网络安全风险不断上升的情况,同时深入了解安全措施会给工作流和生产效率带来怎样的影响。
YouAttest首席执行官Garret Grajek这样的网络安全专家曾说过,每种新型访问方式、每个新用户池和每项新技术,都会为攻击者引入新的攻击渠道和漏洞。
Grajek指出:“50万飞塔虚拟专用网用户暴露在网上的案例,证明了即使是最好的居家办公计划也难免存在漏洞。面对其他攻击渠道,企业必须假设自己终将遭遇攻击,然后确保能够缓解或限制恶意用户访问和操作。”