Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Mô hình an ninh lấy con người làm trung tâm đáp ứng mọi người ở nơi họ đang ở

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 122

Thành thật mà nói: Nếu bạn đang phải chạy đua với một thời hạn quan trọng, bạn có cố tình bỏ qua các quy tắc bảo mật của công ty để hoàn thành công việc không? Nếu bạn trả lời “có”, bạn có rất nhiều người đồng hành. Theo Trình điều khiển hành vi an toàn của Gartner Khảo sát, 93% nhân viên cư xử không an toàn đều cố ý làm như vậy.

Với rất nhiều hiểu biết của công chúng về hậu quả của việc phá vỡ các chính sách bảo mật, tại sao nhân viên lại làm điều đó? Thông thường, đó là vì đó là con đường ít gặp trở ngại nhất.

“Ở hầu hết các công ty, bạn có thể phải xác thực không chỉ bằng mật khẩu mà còn bằng xác thực đa yếu tố. Mặc dù nó an toàn hơn nhiều so với mật khẩu, nhưng đó lại là một việc khác mà nhân viên phải làm,” Chris Mixter, phó chủ tịch phân tích của Gartner, giải thích. “Nói chung, an ninh mạng đặt ra quyền kiểm soát mà họ có thể thực hiện trên quy mô lớn, nhưng nhân viên gặp rất nhiều trở ngại trong việc tuân thủ, vì vậy họ tìm mọi cách để vượt qua nó.”

Tác động của xung đột đang làm nổi bật một cách mới để tấn công vấn đề an ninh mạng: bằng cách đặt con người vào trung tâm của hỗn hợp.

Nhiều con đường dẫn đến an ninh lấy con người làm trung tâm

An ninh lấy con người làm trung tâm xem xét hành vi, nhu cầu và giới hạn của con người ở mọi thời điểm — không chỉ trong kế hoạch ứng phó sự cố mà còn hàng ngày khi có vấn đề phát sinh. Điều đó có nghĩa là các chính sách dễ đọc giúp giảm xung đột ở nhiều điểm nhất có thể, giảm độ phức tạp trong các quy trình liên quan đến bảo mật, củng cố tích cực thay vì trừng phạt và giúp đỡ nhân viên khi họ cần mà không cần phán xét.

Đến năm 2027, Gartner dự đoán rằng một nửa số CISO sẽ nhận nuôi an ninh lấy con người làm trung tâm để giảm bớt xung đột trong hoạt động an ninh mạng. Và đến năm 2030, Gartner dự đoán, 80% doanh nghiệp sẽ có chương trình quản lý rủi ro con người được xác định chính thức và có nhân viên, tăng từ 20% vào năm 2022.

Lấy con người làm trung tâm là cách tiếp cận Random Hẹn giờ, một công ty sản xuất ứng dụng năng suất cùng tên, sử dụng với nhân viên của mình. Theo truyền thống, an ninh được định hướng chủ yếu dựa trên công nghệ và chính sách mà không xem xét đầy đủ đến yếu tố con người. Người sáng lập công ty Matthew Anderson giải thích: Điều này có thể khiến người dùng cuối cảm thấy bị hạn chế và khó chịu.

“Vì vậy, chúng tôi cố gắng áp dụng cách tiếp cận lấy con người làm trung tâm. Ví dụ: khi triển khai hệ thống xác thực hai yếu tố mới, chúng tôi đã dành nhiều thời gian để nói chuyện với nhân viên về những điều họ thích và không thích ở hệ thống cũ của chúng tôi. Chúng tôi đã sử dụng phản hồi đó để chọn giải pháp giải quyết những điểm yếu lớn nhất của họ xung quanh sự tiện lợi và khả năng sử dụng,” ông nói.

Cho đến nay, xích mích là kẻ thù lớn nhất của những nhân viên an toàn. Và nó lan tràn: Một báo cáo của Gartner gần đây cho thấy hơn một phần ba nhân viên nói rằng họ thấy các chính sách và biện pháp kiểm soát an ninh mạng khó tuân thủ, không hợp lý với vai trò của họ và mâu thuẫn với mục tiêu công việc của họ.

Sử dụng các phương pháp tiếp cận tập trung vào công nghệ giúp giảm ma sát, nhưng điều đó không thể thực hiện được toàn bộ công việc. Ví dụ: triển khai bảo mật trình duyệt và không có mật khẩu truy cập là những bước tốt vì người dùng thậm chí không cần phải suy nghĩ về chúng. Nhưng nhiều công ty vẫn chưa áp dụng những công nghệ này và ngay cả khi có thì không phải lúc nào chúng cũng hoạt động tốt với những công nghệ mà nhân viên công nghệ hàng chục năm tuổi vẫn dựa vào để thực hiện công việc của mình.

Những công nghệ này vẫn gây ra xích mích theo cách riêng của chúng. Ví dụ, trình duyệt bảo mật có thể chặn rất nhiều thứ xấu nhưng đội bảo mật phải “cho phép” mọi thứ. Điều đó có nghĩa là nếu người dùng muốn truy cập một trang web mới, họ phải liên hệ với bộ phận bảo mật để “đưa trang web đó vào danh sách cho phép”.

Tuy nhiên, có những lựa chọn dựa trên công nghệ có thể giúp ích. Một là màn hình bật lên, dựa trên các tín hiệu hành vi.

“Nếu tôi gửi email cho ai đó mà tôi chưa từng gửi email trước đây, hệ thống có thể được thiết lập để tôi nhận được cảnh báo giống như đèn báo động cơ hiện đại, nơi nó được dùng làm cảnh báo về khả năng thay đổi hành vi, ”Matthew Miller, hiệu trưởng trong lĩnh vực dịch vụ an ninh mạng tại KPMG, cho biết. “Đó là công nghệ nhúng từ lăng kính hành vi thay vì lăng kính tuân thủ và nó không khuyên răn người dùng.”

Hiểu người dùng của bạn

Anderson cho biết thêm, điều quan trọng là phải hiểu người dùng của bạn. Điều đó có nghĩa là nói chuyện trực tiếp với người dùng thông qua các cuộc phỏng vấn, quan sát và khảo sát. Với phản hồi đó, bạn có thể tạo nguyên mẫu và phát hành các sản phẩm khả thi tối thiểu để thu thập nhiều phản hồi hơn nữa nhằm cải thiện trải nghiệm người dùng. Ông thậm chí còn gợi ý nên nhờ các chuyên gia về khả năng sử dụng để hỗ trợ nhân viên.

Miller đồng ý rằng việc hiểu hành vi và động cơ của người dùng là rất quan trọng. Anh ấy đưa ra một ví dụ rằng khi anh ấy còn làm việc tại một ngân hàng - cách đây khá lâu, đám mây vẫn còn là một khái niệm mới - hàng nghìn thực tập sinh thường xuyên làm việc ở đó vào mỗi mùa hè. Nhiều người trong số họ được giao các dự án sử dụng dữ liệu, phân tích dữ liệu và đám mây từ, vì vậy công ty đã chặn rất nhiều trang web có thể cho phép họ tải kết quả của mình lên một cách công khai để bảo vệ dữ liệu của công ty.

Nhóm của anh ấy phát hiện ra rằng một trong những thực tập sinh đã tải tệp lên đám mây. “Khi được hỏi tại sao và bằng cách nào anh ấy lại làm điều này và rằng anh ấy không gặp rắc rối gì, anh ấy nói rằng sau khi truy cập hết trang này đến trang khác bị chặn, cuối cùng anh ấy đã tìm được một trang không bị chặn, vì vậy anh ấy nghĩ rằng đó hẳn là trang web được phê duyệt để tải lên dữ liệu,” Miller giải thích.

Một số công ty hiểu rõ trải nghiệm người dùng đến mức tối đa nhưng nó mang lại kết quả. Ví dụ: Santander, ngân hàng lớn nhất ở Tây Ban Nha, đã dạy cho nhân viên an ninh mạng của mình các nguyên tắc về trải nghiệm người dùng, thường là lĩnh vực của các nhà phát triển và nhân viên làm việc trực tiếp với khách hàng. Giờ đây, khi một nhân viên nói 'Tôi không thể' hoặc vi phạm chính sách, nhân viên an ninh mạng có thể đặt câu hỏi về trải nghiệm người dùng. Thay vì hỏi tại sao họ làm điều gì đó, họ có thể hỏi tần suất họ phải làm việc đó, liệu việc đó có khó thực hiện không và liệu nhiệm vụ đó có cần thiết cho quy trình làm việc của họ hay không. Với thông tin đó, nhóm an ninh mạng có thể thay đổi quy trình — hoặc loại bỏ quy trình đó khỏi quy trình làm việc nếu không cần thiết.

Tất nhiên, luôn có một đào tạo thành phần, nhưng suy nghĩ về việc đào tạo khác nhau là chìa khóa cho lấy con người làm trung tâm tư duy. Điều đó có nghĩa là điều chỉnh việc đào tạo phù hợp với vai trò của từng cá nhân.

Miller nói: “Các loại nhân viên khác nhau tương tác theo những cách khác nhau với công nghệ, khách hàng và dữ liệu, vì vậy bạn phải rất cụ thể trong việc giúp mọi người phát triển các kỹ năng họ cần và thiết lập các hành vi để quản lý rủi ro”.

Xây dựng văn hóa 'Có'

Nếu bạn mong đợi nhân viên hành động an toàn hơn thì điều quan trọng là đừng bao giờ nói “không”. Nếu bạn làm vậy, họ sẽ đơn giản tìm cách phá vỡ hệ thống, Mixter nói.

Ví dụ, Johnson & Johnson đã biến tất cả các hoạt động bị cấm từ chính sách sử dụng tiêu cực được chấp nhận thành đánh giá tự phục vụ tích cực. Dựa trên câu trả lời của nhân viên, hệ thống tự động sẽ hướng họ đến cách giải quyết an toàn. Nếu hệ thống xác định rằng nhân viên đang làm điều gì đó mới, nó có thể gửi video đào tạo để phản hồi. Nếu câu trả lời tiết lộ rằng nhân viên đang có kế hoạch sử dụng dữ liệu độc quyền không chính xác, nó có thể gửi cho nhân viên đó một thông báo dữ liệu tổng hợp kho lưu trữ dựa trên các tập dữ liệu thực nhưng không bao gồm dữ liệu độc quyền thực tế.

Mixter cho biết thêm, những công ty thực sự yêu cầu phản hồi thường làm tốt hơn. SRI, một công ty công nghệ có trụ sở tại California, đưa hộp bình luận vào chính sách của mình. Điều đó đã được đền đáp nhờ hiểu biết sâu sắc rằng những người bên ngoài phạm vi mạng không thể đọc được các chính sách mạng, điều mà công ty cho biết đã dẫn đến những thay đổi tích cực.

Cuối cùng, nó thuộc về tam giác con người/quy trình/công nghệ điển hình, với con người là trung tâm.

Anderson nói: “Công nghệ cung cấp nền tảng, nhưng quy trình và triết lý sẽ tạo nên thành công. “Về cơ bản, nó đòi hỏi một nền văn hóa coi trọng thiết kế lấy người dùng làm trung tâm chứ không chỉ là các công cụ công nghệ mới”.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.