莫让 倦怠变成威胁网络安全的拦路虎
发布时间:2022-03-22 21:41:21 所属栏目:电商 来源:互联网
导读:随着2021年的数据泄露量再飙新高,2022年安全团队面临的压力势必进一步加剧。对于企业组织来说,试图管理日益严峻的网络安全威胁并非唯一棘手的事情,员工的高流失率同样给了他们致命一击。 2022年,雇主们在网络安全方面可谓陷入了两难境地一方面,全球网络
|
随着2021年的数据泄露量再飙新高,2022年安全团队面临的压力势必进一步加剧。对于企业组织来说,试图管理日益严峻的网络安全威胁并非唯一棘手的事情,员工的高流失率同样给了他们致命一击。 2022年,雇主们在网络安全方面可谓陷入了两难境地——一方面,全球网络攻击数量不断激增;另一方面,招聘市场趋紧,人才缺口持续扩大,更糟糕的是,员工流失率也达到了前所未有的水平。 这场人才争夺战可能会对网络安全造成尤为严重的打击。根据威胁情报公司ThreatConnect针对500多名IT决策者的调查结果显示,50%的私营部门企业中已经存在严重的IT安全技能(基础型和技术型)人才缺口。更重要的是,32%的IT管理者及25%的IT主管正考虑在未来六个月内辞去工作,这也致使雇主面临招聘、管理和IT安全等一系列问题。 许多员工被更高的薪酬和更灵活的工作安排所吸引,但过度的工作量和绩效压力也在造成人员流失。根据ThreatConnect的研究发现,27%的受访者表示,高压力是导致员工离职的三大因素之一。 威胁行为者也深知这一点,他们不仅在进一步加强鱼叉式网络钓鱼活动的复杂性,还习惯选在员工情绪低迷的下午发送攻击。根据数据显示,大多数网络钓鱼攻击都是在下午2点到6点之间发动的。 Info-Tech Research Group的首席研究顾问Carlos Rivera表示,不应忽视或低估倦怠对于增加企业遭受网络钓鱼攻击方面所起的作用。因此,作为组织安全意识计划的一部分,创建网络钓鱼模拟计划是一种很好的做法。 Rivera表示,“该计划可以通过每年实施一小时的培训来优化,也可以将其划分为每月5分钟或每季度15分钟的培训课程。为了最大化培训效果,建议将课程定位为基于当前事件的主题,具体表现为黑客使用的策略、技术和程序(TTP)。” Gartner研究总监Sam Olyaei表示,“网络安全领导者一直在超荷载运作,几乎处于‘永远在线’的模式。造成这种现象的部分原因在于,过去十年间,组织内部利益相关者的期望越来越不一致,网络安全领导者必须变得越来越有弹性。” 根据Tessian的研究数据显示,安全领导者每周平均加班11小时,十分之一的领导者每周加班24小时。他们把大部分时间都花在了调查和补救员工错误造成的威胁上。即便到了下班时间,高达60%的CISO仍因压力而被迫加班。 企业组织是时候重视倦怠对安全团队以及对更广泛组织的连锁反应了。试想一下,如果CISO正在经历这种程度的倦怠,这将对更广泛的组织以及与他们一起工作的人产生何种影响。如果团队经常处于倦怠状态,关键时刻您将丧失可用之人。 Rivera指出,远程工作的日益普及可能会加剧员工工作时间延长的趋势,这可能导致倦怠、不明原因的缺勤,甚至在某些情况下,人员流动率高于预期。 为此,安全和技术团队应该与其他部门合作,让组织意识到倦怠和过度工作的危害性,这可以帮助管理人员在公司内部灌输一种弹性文化。 缓解建议 缓解网络安全倦怠现状的方法包括,在开发环境中采用“左移(left-shift)思维方式”。倦怠和压力会导致错误有机可乘,并进入已发布的代码之中,在开发过程中尽早引入安全性并利用工具来自动化和支持这一目标,可以降低组织面临的风险。 在技术方面,构建持续改进/持续交付(CI/CD)管道以及部署集成开发环境(IDE)等工具将为组织提供绝佳机会。IDE将由源代码编辑器、调试器和构建自动化工具组成,为开发人员提供自助服务功能并近乎实时地识别错误。IDE与静态分析安全测试和自动进入构建管道的开源扫描相结合,将提供有效的漏洞缓解方案。 与其他任何工作职能一样,沟通也很重要。CISO需要清楚地表达在当前拥有的资源和限制条件下,无法做到一些事情,为更广泛的组织开创先例,带动全组织范围内的“可持续性文化”。 安全行业存在这种不幸的“英雄主义”趋势——这种心态必须改变。 (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
热点阅读