Sikkerhedsteams skal opdatere deres politikker og processer til rapportering af sikkerhedshændelser for at tage højde for hjemmearbejdsplads eller risikoeksponering for øgede trusler.
Medarbejdernes mulighed for at arbejde eksternt kommer med mange fordele, fra bedre balance mellem arbejde og privatliv til lavere udgifter til højere produktivitet. Men en bredt spredt arbejdsstyrke kan udgøre nogle store udfordringer for sikkerhedsteams, ikke mindst hvordan hjemmearbejdsplads påvirker rapportering af sikkerhedshændelser. Med virksomheder, der bliver mere vant til at implementere sikkerhedsteknologier og processer, der er bedre tilpasset hjemmearbejdsplads, har hændelsesrapportering potentialet til at blive en stor anstødssten.
Sammen med at introducere og vedligeholde sådanne protokoller som fjern-passende identitetsadgang og autorisationspraksis, skal sikkerhedsteams også gennemgå og justere deres rapporteringspolitikker for at afspejle arten af hjemmearbejdsplads eller udsætte deres organisationer for betydelige sikkerhedstrusler.
At have en ekstern arbejdsstyrke kan skabe en overbelastning af sikkerhedshændelser simpelthen på grund af mangfoldigheden af netværk, der er skabt af en lang række brugerhjemme- eller fjernopsætninger, i modsætning til et kontormiljø, hvor alle er på det samme netværk, fortæller Forrester Senior Analyst Paddy Harrington CSO. “En ting er at styre 12 netværk, fordi du har 12 kontorer, men hvis du har 1000 medarbejdere, hvoraf 900 er fjerntliggende, har du 912 netværk at være bekymret for. Det betyder, at hændelser, herunder dem, der rapporteres, vil variere meget mere, fordi alles hjemmenetværk er forskelligt.” Og det kan føre til alarmtræthed for sikkerhedsteams, hvis bare en brøkdel af hændelserne rapporteres, siger Harrington.
Nye udfordringer for hændelsesrapportering
Operationelle, adfærdsmæssige og teknologiske faktorer kan alle påvirke rapportering af cybersikkerhedshændelser for en ekstern arbejdsstyrke og introducerer et nyt sæt udfordringer, der hovedsageligt er centreret omkring kommunikation og samarbejde, fortæller Austin Wolf, medarbejderinformationssikkerhedsanalytiker hos Code42, CSO. “Rækker du ud via Slack eller Teams eller via e-mail? Tager du telefonen og ringer til nogen? Hvordan holder du alle involverede i hændelsen på samme side? Når en hændelse opstår, skal teams arbejde tæt sammen, og det er nogle gange sværere at samle dit team i et fjernt miljø end bare at samles omkring en persons computerskærm.”
Ifølge Taharka Beamon, SOC-chef hos Reed Exhibitions, bruger medarbejdere i traditionelle kontorindstillinger typisk den lokale helpdesk som deres første kontaktpunkt til hændelsesrapportering, “hvor mange mennesker foretrækker at besøge it-personale personligt for at forklare uventet eller potentielt ondsindet adfærd på deres computer.”
Dette bliver besværligt, hvis et fjernsystem kompromitteres, og medarbejderen ikke er i stand til at bruge det til at rapportere, at de oplever en hændelse, og de kan heller ikke gå ned ad gangen til det nærmeste it-supportkontor, tilføjer Jason Hicks, felt-CISO hos Coalfire.
Uden praktiske, fjernvenlige kommunikationskanaler og instruktioner til alle eventualiteter vil virksomheder sandsynligvis lide af dårlig rapportering fra arbejdere uden for kontoret, som kan forsinke og derefter glemme at rapportere en potentiel sikkerhedshændelse helt, siger Jonathan Wrolstad, senior trusselsefterretningschef hos ExtraHop. Forskellige tidszoner på tværs af mere spredte arbejdsstyrker spiller også ind, hvilket kan føre til forsinkelser i rapportering og responstider, siger Mirza Silajdzic, cybersikkerhedsanalytiker hos VPNOverview.
hjemmearbejdsplads påvirker medarbejdernes adfærd omkring sikkerhed
Hjemmearbejdspladser påvirker og ændrer også personalets adfærd og bevidsthed omkring cybersikkerhed, hvilket kan påvirke hændelsesrapportering, siger Richard Jones, global CISO hos Orange Cyberdefense. “Formelle rammer som et kontor med struktur og organisation giver medarbejderne en etableret rutine og klare grænser for, hvad der er arbejdsrelateret, og hvad der ikke er. Fjern denne omkreds, og de kan kæmpe for at opretholde det vitale menneskelige element i sikkerhedsbeskyttelse, fordi folk tilpasser sig deres omgivelser, og ansvaret sløres, når de arbejder hjemmefra. Derfor vil det, som personalet måske tænker på at rapportere som en sikkerhedshændelse, fortsætte med at ændre sig over tid, siger Jones til CSO.
“En mangel på mental eller fysisk forbindelse til et kontor kan betyde, at medarbejdere kan blive fristet til at nedtone alvoren af en potentiel overtrædelse og ikke fuldt ud værdsætte relevansen eller anvendelsen af virksomhedspolitikker inden for hjemmemiljøet,” siger Blackberrys Keiron Holyome, VP UKI, Østeuropa, Mellemøsten og Afrika. Fjernbrugere kan endda være mere tilbageholdende med at rapportere en sikkerhedshændelse på grund af en følelse af forlegenhed, siger han. “Cyberskam – en modvilje mod at rapportere et brud på grund af forlegenhed eller frygt for konsekvenserne – kan betyde, at potentielle trusler ignoreres eller begraves.”
System- og slutpunktsbaseret rapportering og reaktion af sikkerhedshændelser kan også påvirkes negativt af hjemmearbejdsplads, siger Immanuel Chavoya, ekspert i ny trusselsdetektering hos SonicWall. “For eksempel, hvis systemet markerede en brugers maskine for en malware-indtrængen, kan der være en vis forsinkelse i, at sikkerhedsteamet er i stand til at foretage de nødvendige opdateringer, mens sikkerhedsingeniøren personligt straks kan få adgang til enheden og træffe de nødvendige foranstaltninger.”
En af de største sikkerhedsudfordringer for en virksomhed med hjemmearbejdsplads er manglende evne til at se alle slutpunkter i systemet, hvilket hæmmer driften af kernesikkerhedsdetektion, der er nødvendig for rapport og respons, tilføjer Chavoya. “Slutpunkter bliver forskellige på deres placering, når de åbnes eksternt, hvilket forstyrrer forbindelsen til virksomhedens infrastruktur, hvilket i sidste ende fører til en potentiel stigning i den gennemsnitlige tid til at opdage ondsindet aktivitet og den gennemsnitlige tid til at løse sikkerhedshændelsen.”
Dårlig rapportering = tab af kundetillid
Risikoen for en hæmmet rapporteringsproces på grund af hjemmearbejdsplads er betydelig. Når hændelser ikke rapporteres, rapporter forsinkes / fejlkommunikeres eller opfølgende handlinger / svar forhindres, kan det efterlade sårbarheder udsat og / eller købe angribere tid i systemet til at infiltrere mere af netværket, før sikkerhedsteamet kan opdage og indeholde trusler og ondsindet aktivitet, advarer Chavoya. Dette kan ikke kun forværre sværhedsgraden af hændelser og angreb, men kan også skade både en virksomheds omdømme og dens evne til at opfylde visse databeskyttelsesbestemmelser, der fastsætter strenge regler omkring videregivelse. Disse kan føre til tab af kundetillid og store monetære sanktioner.
Det er derfor altafgørende for sikkerhedsteams at opdatere deres rapporteringspolitikker og -processer for at tage højde for de sikkerhedsmæssige konsekvenser af hjemmearbejdsplads. “Hjemme- og hybridarbejdstrenden er kommet for at blive, så det er utroligt farligt for sikkerhedsteams at stole på politikker og processer, der er designet til en svunden tid, hvor de fleste, hvis ikke alle, medarbejdere var baseret i et kontrolleret kontormiljø,” siger Holyome. Men teams skal nærme sig nye strategier med nøje overvejelse for ikke at introducere større trusler, tilføjer han. “Med ressourcer, der allerede er strakt af stigningen i hyppigheden og kompleksiteten af cyberaktivitet, kan yderligere pres på tid og færdigheder til at udrulle politikker på tværs af en distribueret arbejdsstyrke – herunder tilpasning af uddannelse og håndhævelse af politikker blandt fjernmedarbejdere – i sig selv skabe sårbarheder og risici.”
Effektive politikker for rapportering af hændelser på fjernsikkerhed
Sikring af effektiv rapportering af sikkerhedshændelser på fjernområdet er nøglen til at etablere klart definerede, dokumenterede og brugervenlige kommunikationskanaler og processer for medarbejdere til at nå it- og sikkerhedspersonale, siger Beamon. “Interne politikker om vedligeholdelse og punktlig opdatering af dokumenterede kontaktoplysninger til it- og sikkerhedsteams er afgørende. Teams har et ekstra ansvar for at sikre, at medarbejderne har kontaktoplysninger til it- og sikkerhedspersonale. Dette inkluderer at levere telefon-, e-mail- og anonyme kommunikationskanaler for at give mulighed for den metode, der er mest behagelig afhængigt af situationen.
Medarbejdere bør også opfordres til at gemme kontaktoplysninger til it- og sikkerhedsteams sammen med hurtige referencerapporteringsinstruktioner offline eller på deres virksomheds mobiltelefon til brug i en nødsituation. Effektiv markedsføring af disse oplysninger er din bedste løsning her, tilføjer Hicks. “Jeg har lagt disse oplysninger på musemåtter, kaffekrus, plakater og andet swag gennem årene. Det er også vigtigt at gøre rapportering af e-mail-adresser korte, søde og mindeværdige og holde telefonnummeret konsistent år for år.”
Kontakttider bør gennemgås for at tage højde for det faktum, at brugerne muligvis bruger deres enheder uden for traditionel arbejdstid af personlige årsager, siger Chavoya. “Dette kan også omfatte udskiftning af de personlige responsprocesser, for eksempel når en brugers maskine skal genafbildes eksternt, kan de have brug for større vejledning om OS-billeddannelsen.”
Samlet set skal teams regelmæssigt gennemgå, hvor tilgængelige deres hændelsesrapporteringsprocesser er for dem, der ikke er baseret på kontoret, siger Holyome. “Er der enkle instruktioner og tilgængelige kontakter, der kan bruges af folk, der måske oplever internetafbrydelser? Kan medarbejdere stadig komme i kontakt med it-teamet, hvis de er låst ude af virksomhedens software på grund af overtrædelsen? Fremmer virksomheden en no-blame kultur og giver enkeltpersoner på alle niveauer i organisationen mulighed for at rapportere problemer frit og uden frygt for beskyldninger?
Uddannelse og bevidstgørelse hjælper med at beskytte medarbejderne
Uddannelse og bevidsthed er også vigtige værktøjer og bør omfatte vigtigheden af at rapportere selv potentielle hændelser og understrege de øgede sikkerhedsrisici, som hjemmearbejdsplads re står over for, er eksperter enige om.
“For hjemmearbejdende medarbejdere kan en kadence af regelmæssig kommunikation om sikkerhedsemner holde emnet øverst i tankerne og arbejde hen imod at tackle cyberskam,” siger Holyome. “Især uddannelse i phishing-taktik og cyberkriminelles udnyttelse af interne chatfunktioner, der mest bruges af fjernmedarbejdere, vil bidrage til at øge bevidstheden om de trusler, man skal passe på i det daglige arbejdsliv.”
Som en del af disse aktiviteter bør sikkerhedsteams dele eksempler fra den virkelige verden med personalet og vigtigst af alt sikre, at hændelsesrapporteringsnumre aldrig medtages i KPI’er for at vise effektiviteten af stærk sikkerhed – medmindre hensigten er at identificere en bestemt forretningsenhed, der rapporterer færrest hændelser og derfor kan have brug for yderligere bevidsthedstræning. Den øverste ledelse bør også opfordres til at deltage i disse øvelser.
“Bordøvelser og mere realistiske simuleringer bør også udføres for at sikre, at alle dele af virksomheden er i stand til og komfortable med at rapportere potentielle hændelser, mens de arbejder eksternt,” siger Beamon.
Sikkerhedsteams skal selv forstå de vigtigste trusler, som deres eksterne arbejdsstyrke står over for, og give klar vejledning i, hvordan sikkerhedshændelser ser ud, og hvordan de skal rapporteres, siger Wrolstad. “Sikkerhed er ikke top of mind for de fleste arbejdere, og de har brug for at blive mindet om, hvad de vigtigste trusler er, og hvordan de ser ud, så de kan genkende dem i løbet af deres arbejdsdag.” Sikkerhedsteams er nødt til at sætte sig i deres fjernbrugeres sko og beskrive potentielle sikkerhedsrisici på en måde, som deres brugere kan genkende, tilføjer han.
Under hensyntagen til trusselsniveauet
Endelig skal sikkerhedsteams også overveje, hvordan de prioriterer rapportering af og reaktion på hændelser baseret på trusselsniveauer for hjemmearbejdsplads. “Fornyet fokus bør rettes mod visse dele af organisationers infrastruktur, især VPN’er, som er blevet brugt i årtier af mange organisationer, men er blevet vigtigere, da de nu er afhængige af en stor procentdel af medarbejderne dagligt for at få adgang til virksomhedens netværk og ressourcer,” siger Beamon. “VPN’er er derfor nødt til at opretholde tilgængeligheden, mens sikkerhedsteams sikrer, at eventuelle sårbarheder hurtigt afhjælpes for at opretholde datafortroligheden og integriteten. For interne teams bør en sårbarhed eller hændelse, der rapporteres relateret til VPN og fjernnetværksforbindelse, have et hævet prioritetsniveau.”
Wolf mener, at der også er behov for et øget fokus på forskelle mellem interne og eksterne sikkerhedshændelser. “Det er vigtigt at skelne mellem, om det er en intern eller ekstern sikkerhedshændelse, fordi tilgangen til at undersøge medarbejdere ikke ville være den samme som eksterne trusler.”
Kilde: CSO
Foto: Pixabay