IT-team druk voelt om beveiliging te compromitteren
Beveiliging van de groeiende hybride werkplek vormt een exponentieel bedreigingslandschap
13 september 2021 -
HP Inc. heeft haar HP Wolf Security Rebillions & Rejections rapport uitgebracht, een uitgebreid wereldwijd onderzoek dat de spanning tussen IT-teams en thuiswerkende werknemers (WFH) belicht die beveiligingsleiders moeten oplossen om de toekomst van werk veilig te stellen.
De bevindingen laten zien dat IT-teams bij toenemende dreiging gedwongen worden om in te leveren op veiligheid om bedrijfscontinuïteit te kunnen garanderen. Erger nog, hun pogingen om de beveiligingsmaatregelen voor werknemers op afstand te verbeteren of aan te passen, zijn vaak afgewezen. Dit geldt met name voor de werknemers van 18 tot 24 jaar, ook wel de digital natives die steeds gefrustreerder raken omdat beveiliging hun deadlines in de weg zit, wat ertoe leidt dat velen controles omzeilen.
Het nieuwe HP Wolf Security rapport is een combinatie van gegevens uit een wereldwijd YouGov online onderzoek onder 8.443 werknemers die tijdens de pandemie zijn overgestapt op thuiswerken (WFH), en een wereldwijd onderzoek onder 1.100 IT besluitvormers, uitgevoerd door Toluna.
De belangrijkste bevindingen zijn:
• 76 procent van de IT-teams geeft toe dat de beveiliging tijdens de pandemie minder belangrijk was dan de bedrijfscontinuïteit, terwijl 91 procent druk voelde om de beveiliging te compromitteren voor bedrijfscontinuïteit1.
• Bijna de helft (48 procent) van de ondervraagde jonge werknemers (18-24 jaar) beschouwt beveiligingstools als een belemmering, wat ertoe leidt dat bijna een derde (31 procent) het beveiligingssysteem van het bedrijf probeert te omzeilen om hun werk te kunnen doen2.
• 48 procent van de ondervraagde werknemers is het ermee eens dat schijnbaar essentiële beveiligingsmaatregelen leiden tot veel tijdverspilling – dit percentage loopt op tot 64 procent bij de leeftijdsgroep van 18-24 jaar.
• Meer dan de helft (54 procent) van de 18-24-jarigen maakte zich meer zorgen over het halen van deadlines, dan over het gevaar dat hun organisatie zou worden blootgesteld aan een datalek; 39 procent wist niet wat er in het beveiligingsbeleid stond of wist niet eens of hun bedrijf er wel een had – wat duidt op een groeiende apathie onder jonge werknemers2.
• 83 procent van de IT-teams is dan ook van mening dat de toename van thuiswerkers een ‘tikkende tijdbom’ heeft gecreëerd voor een inbreuk op het bedrijfsnetwerk.
Beveiliging bewust omzeilen
"Het feit dat werknemers bewust beveiliging omzeilen zou voor elke CISO zorgen met zich mee moeten meebrengen – zo kunnen inbreuken ontstaan," merkt Ian Pratt, Global Head of Security voor Personal System, HP Inc. op. "Als beveiliging te omslachtig is en dat werknemers belemmert, dan zullen zij een manier vinden om het te omzeilen. In plaats daarvan moet beveiliging zo veel mogelijk worden ingebouwd in bestaande werkpatronen en -stromen, met technologie die onopvallend, veilig en gebruiksvriendelijk is. Uiteindelijk moeten we het net zo gemakkelijk maken om veilig als niet-veilig te werken en dat kunnen we doen door beveiliging vanaf de basis in systemen te bouwen."
Gedrag controleren
Het rapport benadrukt dat veel beveiligingsteams zich hebben ingespannen om het gedrag van werknemers te controleren om gegevens veilig te houden. 91 procent heeft het beveiligingsbeleid aangepast door de toename van thuiswerken, terwijl 78 procent de toegang tot websites en applicaties heeft beperkt1. Deze controles leiden echter vaak tot frustraties bij werknemers, die zich storen aan de controles en zich daardoor afzetten tegen IT, waardoor beveiligingsteams zich moedeloos en afgewezen voelen:
• 37 procent van de ondervraagde werknemers zegt dat het beveiligingsbeleid en de beveiligingstechnologieën vaak te strikt zijn2.
• 80 procent van de IT-teams ondervindt weerstand van werknemers die er niet van houden dat er thuis controles op hen worden uitgevoerd; 67 procent van de IT-teams zegt hierover werkelijks klachten te ontvangen1.
• 83 procent van de IT-teams zegt dat het onmogelijk is om bedrijfsbeleid rond cyberbeveiliging in te voeren en af te dwingen nu de grenzen tussen privé- en werk zo vervaagd zijn.
• 80 procent van de IT-teams zegt dat IT-beveiliging een ‘ondankbare taak’ aan het worden is omdat niemand naar hen luistert1.
• 69 procent van de IT-teams zegt dat ze het gevoel krijgen de ‘bad guys’ te zijn, omdat ze beperkingen opleggen1.
Meer, sneller en ernstiger
"CISO’s hebben te maken met een toenemende omvang, snelheid en ernst van aanvallen," merkt Joanna Burkey, Chief Information Security Officer (CISO), HP Inc. op. "Hun teams werken dag en nacht om het bedrijf veilig te houden, waarbij ze tegelijkertijd een massale digitale transformatie moeten faciliteren met verminderde zichtbaarheid. Cybersecurity teams moeten niet langer opgezadeld worden met de last van het beveiligen van het bedrijf, cybersecurity is een end-to-end discipline waarbij iedereen zich mee bezig moet houden. Om een meer collaboratieve beveiligingscultuur te creëren, moeten we werknemers betrekken bij voorlichting over de groeiende cybersecuritysrisico’s, terwijl IT-teams beter moten begrijpen hoe beveiliging van invloed is op workflows en productiviteit. Van hieruit moet de beveiliging opnieuw worden geëvalueerd op basis van de behoeften van zowel het bedrijf als de hybride werknemer."