Svetovalno podjetje Gartner je na osnovi dveh raziskav o stanju kibernetske varnosti v letu 2022 med 1.464 vodji informacijske varnosti odkrilo, da je 69 odstotkov zaposlenih v preteklem letu zaobšlo navodila za kibernetsko varnost njihovih organizacij. Še več, 74 odstotkov zaposlenih bi bilo pripravljenih zaobiti navodila za kibernetsko varnost, če bi to njim ali njihovi ekipi pomagalo doseči poslovni cilj.
"Organizacije za kibernetsko varnost se dobro zavedajo razširjenosti nezanesljivega vedenja med zaposlenimi, vendar se tipičen odziv, ki je dodajanje dodatnih kontrol, izkaže kot neuspešen," je dejal Henrique Teixeira, višji direktor za analize v podjetju Gartner.
Pri Gartnerju ugotavljajo, da ozaveščanje ne zagotavlja varnega obnašanja zaposlenih, saj se 93 odstotkov tistih, ki se obnašajo nevarno, v resnici zaveda, da so njihova dejanja tvegana. Za opustitev varnostnih ukrepov se zaposleni v 29 odstotkih odločajo zaradi večje hitrosti in udobnosti, 18 odstotkov pa jih meni, da je doseganje drugih poslovnih ciljev pomembnejše od tveganj kibernetske varnosti. Enak delež zaposlenih pravi, da se zaradi nevarnega obnašanja ne bi soočili z nobenimi posledicami.
Kako do varnejšega vedenja zaposlenih
Pri Gartnerju odgovornim za upravljanje varnostnih tveganj (SRM) svetujejo, naj najprej odkrijejo in zmanjšajo trenja, ki jih povzroča kibernetska varnost. S pristopom najmanjšega učinkovitega trenja naj uravnotežijo varnostne kontrole kibernetske varnosti, tako da dajo prednost uporabniški izkušnji in ne zgolj tehničnim zmožnostim. Pomembno je, da opustijo kontrole, ki ne vplivajo bistveno na zmanjšanje tveganj ter da se poslužijo tehnik uporabniške izkušnje pri izboljšanju izkušnje zaposlenih s kibernetskimi varnostnimi kontrolami.
Kot je še povedal Teixeira, so anketiranci poročali o velikem številu trenj, povezanih z varnim vedenjem, kar spodbuja nezanesljive vzorce obnašanja. Kontrole, ki se jim izognemo, so slabše kot kontrole, ki jih sploh ni, je še zaključil sogovornik iz Gartnerja.
Poleg tega naj SRM-ji sodelujejo s poslovnimi enotami in vodji službe za upravljanje s človeškimi viri, z namenom oblikovanja spodbud in ohranjanja odgovornosti zaposlenih za varnost njihovega vedenja. Okrepijo naj tudi zmožnost kibernetske presoje tako, da imajo vodje pri zaposlenih, ki imajo upravičene razloge za izogibanje varnosti, na voljo orodja, da slednjim pomagajo pri informiranem sklepanju kompromisov glede kibernetskih tveganj.