超過30%的24歲以下員工承認，會直接繞過某些企業(yè)安全策略來完成工作。

惠普近期發(fā)布的調(diào)查研究表明，試圖改善遠程辦公員工網(wǎng)絡(luò)安全狀況的IT團隊面臨危險而有爭議的境況。

[[426349]]

HP Wolf Security調(diào)查訪問了1100位IT決策者，并通過YouGov在線收集了8443位居家辦公員工的看法，發(fā)布了《反抗與拒絕》(Rebellions & Rejections)報告。

這份調(diào)查研究報告發(fā)現(xiàn)，IT員工常覺得自己別無選擇，只能犧牲網(wǎng)絡(luò)安全，從而安撫那些抱怨某些措施拖慢業(yè)務(wù)流程的員工。一些遠程工作的員工，尤其是24歲及以下的那些，堅決拒絕他們認為“妨礙”了自己到期交工的網(wǎng)絡(luò)安全措施。

超過75%的IT團隊聲稱，新冠肺炎疫情期間，網(wǎng)絡(luò)安全的重要性被放到了業(yè)務(wù)連續(xù)性之后;91%的IT團隊報告稱，被迫為業(yè)務(wù)操作而犧牲了安全性。

近一半的24歲員工認為網(wǎng)絡(luò)安全工具是“阻礙”，31%承認會直接繞過某些企業(yè)安全策略來完成工作。

遺憾的是，全部受訪員工中幾乎半數(shù)都認為網(wǎng)絡(luò)安全措施浪費了自己的時間，而在24歲以下的受訪員工中，持這種觀點的人占64%。調(diào)查發(fā)現(xiàn)，相比會不會引發(fā)數(shù)據(jù)泄露，18~24歲的員工中54%更關(guān)心自己的工作能不能按時完成。

研究人員發(fā)現(xiàn)，39%的受訪者并不完全清楚自家公司都有哪些安全策略，導(dǎo)致83%的受訪IT員工都將遠程辦公認為是數(shù)據(jù)泄露“定時炸彈”。

惠普個人系統(tǒng)全球安全主管Ian Pratt表示，每一位CISO都應(yīng)該擔憂員工主動規(guī)避安全措施的問題。

Pratt稱：“這是數(shù)據(jù)泄露滋生的溫床。”

“如果安全措施過于繁瑣，使人心生厭煩，那人們總會找出各種規(guī)避方法。相反，安全措施應(yīng)盡量采用低調(diào)、設(shè)計安全和直觀的技術(shù)，適應(yīng)現(xiàn)有工作模式和流程。最終，我們需要將安全辦公設(shè)計得跟不安全辦公一樣‘便捷’，而這可以通過從一開始就將安全內(nèi)置入系統(tǒng)中來實現(xiàn)。”

IT主管應(yīng)采取特定措施來應(yīng)對桀驁不馴的遠程辦公員工，例如更新安全策略和限制訪問某些網(wǎng)站與應(yīng)用。

但這些操作會導(dǎo)致員工不滿，37%的受訪員工表示，安全策略“常常限制過于嚴苛”。針對IT主管的調(diào)查訪問發(fā)現(xiàn)，90%的受訪者因安全控制措施而遭到了抵制，67%聲稱每周都會遭到投訴。

超過80%的IT員工表示，“由于個人生活和工作之間的界限相當模糊，幾乎不可能圍繞網(wǎng)絡(luò)安全制定和實施公司策略”，同樣比例的受訪者認為，安全已經(jīng)成了一項“吃力不討好的任務(wù)”。

近70%的受訪IT員工稱，由于施加用于保護員工的安全限制措施，自己被視為“壞人”。

惠普首席信息安全官Joanna Burkey稱：“CISO面對的網(wǎng)絡(luò)攻擊越來越多，攻擊速度越來越快，嚴重性也越來越高。他們的團隊不得不夜以繼日地工作，在保障業(yè)務(wù)安全的同時，克服疫情期間可見性降低的難題，推動大規(guī)模數(shù)字化轉(zhuǎn)型。網(wǎng)絡(luò)安全團隊不應(yīng)該再獨自承擔保護業(yè)務(wù)安全的重擔;網(wǎng)絡(luò)安全人人有責。

Burkey補充道，IT團隊應(yīng)向員工普及網(wǎng)絡(luò)安全風險不斷上升的情況，同時深入了解安全措施會給工作流和生產(chǎn)效率帶來怎樣的影響。

YouAttest首席執(zhí)行官Garret Grajek這樣的網(wǎng)絡(luò)安全專家曾說過，每種新型訪問方式、每個新用戶池和每項新技術(shù)，都會為攻擊者引入新的攻擊渠道和漏洞。

Grajek指出：“50萬飛塔虛擬專用網(wǎng)用戶暴露在網(wǎng)上的案例，證明了即使是最好的居家辦公計劃也難免存在漏洞。面對其他攻擊渠道，企業(yè)必須假設(shè)自己終將遭遇攻擊，然后確保能夠緩解或限制惡意用戶訪問和操作。”