Laut einer am Dienstag veröffentlichten neuen Studie messen viele Arbeitnehmer und Manager in den Vereinigten Staaten und dem Vereinigten Königreich dem Vertrauen am Arbeitsplatz einen höheren Stellenwert bei als der finanziellen Vergütung.
Eine von Osterman Research für das Cybersicherheitsunternehmen Cerby unter 500 Arbeitnehmern und Managern in den USA und Großbritannien durchgeführte Umfrage ergab, dass fast die Hälfte der Teilnehmer (47 %) angaben, dass sie als Gegenleistung für mehr Vertrauen seitens ihres Arbeitgebers eine Gehaltskürzung von 20 % in Kauf nehmen würden.
Andere Eigenschaften, die laut Forschern von Mitarbeitern sehr geschätzt werden, waren Flexibilität (48 %), Autonomie (42 %) und die Möglichkeit, die Anwendungen auszuwählen, die sie für eine effektive Arbeit benötigen (39 %).
Der State of Employee Trust Report von Osterman und Cerby untersucht die Auswirkungen von Zero-Trust-Prinzipien, die viele Unternehmen schnell als Lösung für ihre Cybersicherheitsanforderungen übernehmen, die sich aus der Verwendung „unverwaltbarer Anwendungen“ durch Mitarbeiter und Manager ergeben.
„Bewerbungen sind eng mit dem Engagement und der Befähigung der Mitarbeiter verbunden. Wenn Arbeitgeber versuchen, diese Anwendungen zu blockieren, was sie oft tun, wirkt sich das negativ auf das Vertrauen aus“, beobachtete Matt Chiodi, Chief Trust Officer bei Cerby, einem Anbieter von Zero-Trust-Architekturen für nicht verwaltbare Anwendungen mit Sitz in San Francisco.
„Sechzig Prozent der Mitarbeiter gaben an, dass sich die Blockierung einer gewünschten Anwendung negativ auf ihre Einstellung zu einem Unternehmen auswirkt“, sagte Chiodi gegenüber TechNewsWorld.
„Die Antwort ist nicht, dass Arbeitgeber diese Apps blockieren, sondern Lösungen finden, die es ermöglichen, diese unüberschaubaren Apps zu verwalten“, sagte er.
Ärger über die Kontrolle
Sicherheitsteams missbilligen aus vielen Gründen den Einsatz von nicht verwaltbaren Anwendungen, auch bekannt als Schatten-IT. „Mitarbeiter kommen und gehen. Ein Unternehmen kann am Ende mit Tausenden ungenutzter Zugangsdaten auf seine Ressourcen zugreifen“, erklärt Szilveszter Szebeni, CISO und Mitbegründer von Tresorit, einem auf E-Mail-Verschlüsselung basierenden Unternehmen für Sicherheitslösungen in Zürich.
„Mit einem Berg von ruhenden Zugriffen werden Hacker zwangsläufig in einige eindringen, die unbemerkt bleiben und den Weg ebnen, um die Organisation durch seitliche Bewegungen zu infiltrieren“, sagte Szebeni gegenüber TechNewsWorld.
Nicht verwaltbare Anwendungen können ein Unternehmen gefährden, da es keine Kontrolle über die Sicherheitspraktiken hat, die der Entwicklung und Verwaltung der Programme auferlegt werden, bemerkte John Yun, Vice President of Product Strategy bei ColorTokens, einem Anbieter von autonomen Zero-Trust-Cybersicherheitslösungen in San Jose. Calif.
„Außerdem hat die Organisation keinen Überblick über die Sicherheitsupdateanforderungen der Anwendungen“, sagte Yun gegenüber TechNewsWorld.
Ohne Kontrolle über die Anwendung können Unternehmen ihr den Zugriff auf ihre Umgebungen nicht anvertrauen, sagte Mike Parkin, Senior Technical Engineer bei Vulcan Cyber, einem Anbieter von SaaS für die Behebung von Cyber-Risiken in Unternehmen in Tel Aviv, Israel.
„Es ist willkommen, die Mitarbeiter das beste Tool für den Job auswählen zu lassen, insbesondere wenn es auf ihren eigenen Geräten läuft“, sagte Parkin gegenüber TechNewsWorld.
Er behauptete jedoch: „Es erfordert einige Kompromisse mit der Organisation, die sich bemüht, die ausgewählten Anwendungen zu überprüfen, und mit Mitarbeitern, die bereit sind, sich zu enthalten, wenn ihre bevorzugte App nicht auf der genehmigten Liste steht.“
Roger Grimes, ein Evangelist für datengesteuerte Verteidigung bei KnowBe4, einem Anbieter von Schulungen zum Sicherheitsbewusstsein in Clearwater, Florida, vertrat in dieser Frage eine härtere Linie.
„Es liegt an den Cybersicherheits-Risikomanagern einer Organisation zu bestimmen, ob die eingegangenen Risiken die Vorteile wert sind“, sagte Grimes gegenüber TechNewsWorld. „Sie wollen genauso wenig wie der durchschnittliche Passagier, der ein Flugzeug fliegt, dass der durchschnittliche Endbenutzer entscheidet, was für das Unternehmen riskant ist oder nicht.“
Das Risiko wert sein?
Anwendungen gelten als nicht verwaltbar, da sie häufig gängige Sicherheitsmaßnahmen wie Single Sign-On und das automatische Hinzufügen oder Entfernen von Benutzern nicht unterstützen, erklärte Chiodi.
„Das stellt ein Risiko für ein Unternehmen dar, aber Geschäftsanwender benötigen diese Anwendungen dennoch“, sagte er. „Unternehmen müssen Wege finden, diese Anwendungen an einen Punkt zu bringen, an dem sie verwaltet werden können, damit diese Risiken reduziert werden.“
Es ist irreführend, Anwendungen als unüberschaubar zu kennzeichnen, bemerkte Marcus Smiley, CEO von Epoch Concepts, einem Anbieter von IT-Lösungen in Littleton, Colorado.
„Sie werden ohne Unterstützung für moderne Industriesicherheitsstandards erstellt, wodurch sie schwieriger zu überwachen und zu sichern sind“, sagte Smiley gegenüber TechNewsWorld, „aber das bedeutet, dass sie nicht wie andere Anwendungen verwaltet werden können, aber sie können auf unterschiedliche Weise verwaltet werden. ”
„Wenn unüberschaubare Anwendungen verwendet werden, gibt es immer einen Grund dafür“, sagte er. „Viele Organisationen brauchen eine bessere Kommunikation zwischen der IT und den Mitarbeitern, um die Unternehmensrichtlinien und die Gründe dafür zu klären.“
„Die IT sollte auch Kanäle bereitstellen, um Anwendungen anzufordern, und proaktiv sicherere Alternativen zu problematischen bereitstellen“, fügte er hinzu.
Smiley behauptete, dass es in manchen Situationen angemessen sei, nicht verwaltbare Anwendungen mit Aufsicht zuzulassen, um sicherzustellen, dass bewährte Verfahren für das Identitätsmanagement und sicherere Konfigurationen anstelle von weniger sicheren implementiert werden.
„Letztendlich gibt es keine risikofreie Cybersicherheitsstrategie“, bemerkte er. „Jedes Sicherheitsprogramm – selbst diejenigen, die unter Zero Trust fallen – beinhaltet Kompromisse zwischen geschäftskritischer Geschäftsfunktionalität, Produktivität und Risiko.“
Balanceakt erforderlich
Der sicherste Ansatz besteht darin, jede Anwendung vor der Einführung von einer Person oder einem Team mit Cybersicherheitsexpertise überprüfen zu lassen, um alle Probleme zu identifizieren, die sich aus der Nutzung der Software oder des Dienstes ergeben können, sicherzustellen, dass die rechtlichen Bedingungen akzeptabel sind, sowie einen Plan für die laufende Wartung zu empfehlen Chris Clements, Vizepräsident für Lösungsarchitektur bei Cerberus Sentinel, einem Beratungs- und Penetrationstestunternehmen für Cybersicherheit in Scottsdale, Arizona.
„Leider verfügen viele Organisationen nicht über das Fachwissen oder die Ressourcen, um diese Risiken richtig einzuschätzen, was dazu führt, dass der Prozess überhaupt nicht stattfindet oder genauso schlimm ist und sich über Wochen oder Monate hinzieht, was der Moral und Produktivität der Mitarbeiter schadet“, sagte Clements gegenüber TechNewsWorld .
„Das Abwägen des Cybersicherheitsrisikos mit den Bedürfnissen der Mitarbeiter ist eine Praxis, die Unternehmen ernster nehmen müssen“, sagte er. „Das Zulassen eines Wild-West-Ansatzes führt zwangsläufig zu Cybersicherheitsrisiken. Andererseits kann eine zu strenge Vorgehensweise dazu führen, dass Produkt- oder Servicelösungen gewählt werden, die zu stark in der Benutzerfreundlichkeit und Benutzerfreundlichkeit beeinträchtigt sind, oder die Genehmigung einfach ganz verweigert wird.“
„Diese können zu Frustration führen und dazu führen, dass Mitarbeiter das Unternehmen verlassen oder Sicherheitskontrollen aktiv unterlaufen“, fuhr er fort.
Der Missbrauch von Zero-Trust-Prinzipien kann ebenfalls zu dieser Frustration beitragen. „Zero Trust gilt für Daten, Zugriff, Anwendungen und Dienste“, argumentierte Chiodi. „Aber wenn es darum geht, Vertrauen auf der menschlichen Seite aufzubauen, müssen Unternehmen ein hohes Maß an Vertrauen anstreben. Beides schließt sich nicht aus. Es ist möglich, aber es wird eine Änderung in der Art und Weise erfordern, wie Arbeitgeber Sicherheitskontrollen einsetzen.“
„Indem Unternehmen Technologieoptionen für Mitarbeiter bereitstellen, können sie zeigen, dass sie darauf vertrauen, dass ihre Mitarbeiter Technologieentscheidungen treffen, die ihnen helfen, ihre Arbeit besser zu erledigen“, fügte Karen Walsh, Direktorin bei Allegro Solutions, einem Beratungsunternehmen für Cybersicherheit in West Hartford, Connecticut, hinzu.
„Indem sie dies durch Aufklärung rund um die ‚Kompromiss annehmen‘-Mentalität verstärken“, sagte Walsh gegenüber TechNewsWorld, „bauen sie eine stärkere Beziehung zu ihren Mitarbeitern auf.“
Bild & Quelle: TechNewsWorld
