La sécurité réévaluée : Comprendre le risque, c'est comprendre la main-d'œuvre
Bienvenue dans le troisième article de notre série Future Insights, qui offre des aperçus et des prédictions sur la cybersécurité qui pourraient devenir des problèmes importants en 2022.
Le prochain article a été rédigé par Dr. Margaret Cunningham, Principal Research Scientist, G2CI:
En 2022, les organisations se tourneront vers l'analytique pour réévaluer leur compréhension des risques de cybersécurité et remodeler leurs stratégies de protection. Les « nouvelles règles », qui régissent les exigences en matière de technologie et de main-d'œuvre distante et hybride, détermineront la manière dont nous protégeons nos entreprises contre les menaces internes et externes.
Les règles servent de limites qui façonnent les comportements, et notre compréhension des comportements, aussi bien pour la technologie que pour les personnes. Nous tentons de modeler des comportements souhaitables partant de la technologie et du comportement des personnes, en élaborant soigneusement des limites et des règles par le biais de politiques et de directives. D'autre part, nous étudions les comportements en les évaluant et les comparant leur degré de conformité à nos règles. Si nous ne fixons pas de limites, nous aurons du mal à déterminer si ce que nous observons est inattendu ou menaçant pour nos systèmes – ou si ce comportement est parfaitement normal.
Actuellement, nous assistons à la dégradation rapide des règles et des limites dans les espaces numériques et physiques. Si de nouvelles règles ont vu le jour, comme le fait d'éviter les espaces publics et de se réunir avec ses amis et sa famille par appels vidéo, d'autres ont disparu ou sont devenues si ambiguës qu'elles n'offrent aucun contexte utile pour comprendre notre environnement, ou les autres usagers.
Pour certaines personnes, la disparition des limitations a un impact positif, car elles peuvent être libérées d'obligations qui avaient un impact négatif sur leur qualité de vie, par exemple les longs trajets domicile-travail. Cependant, cette évanescence des limitations et des frontières a amené l'incertitude, et par conséquent le stress dans la vie des gens.
Par exemple, au vu de l'évolution rapide des approches et du manque de subjectivité des médias, il est beaucoup plus difficile de se fier aux informations et de distinguer la réalité de la fiction. Les directives en matière de santé et de sécurité émanant des gouvernements ou des lieux de travail sont souvent en conflit les unes avec les autres (et changent fréquemment). Les études montrent qu'il est presque impossible pour les personnes qui travaillent à domicile de maintenir une séparation entre leur vie personnelle et leur vie professionnelle. D'un point de vue plus général, il peut être difficile pour les organisations de communiquer des stratégies définitives et de nouvelles règles en raison d'une incertitude sociétale supplémentaire, par exemple les problèmes à venir affectant la chaîne logistique ou des changements dans la demande des consommateurs. Ces problèmes plus vastes se répercutent sur vos employés, ont un impact important sur leur stress et ont une incidence négative sur le sentiment de sécurité de l'emploi dont ils ont tant besoin.
Une autre frontière essentielle qui a vraisemblablement disparu est celle qui sépare les personnes de la technologie. Les gens, qu'ils soient actifs ou passifs, génèrent une énorme empreinte numérique, quels que soient les efforts déployés pour réduire leur présence en ligne. De nombreuses personnes sont moins intéressées par le maintien de la frontière entre leurs deux existences, physique et virtuelle, et sont continuellement connectées à des appareils électroniques et IdO.
Les entreprises qui s'efforcent de mettre en place des architectures de sécurité résilientes se rendent compte qu'elles doivent comprendre et protéger leurs actifs (tant numériques que physiques), et faire de même avec leurs employés. Toutefois, l'imbrication entre les personnes et les technologies a compliqué les efforts visant à assurer une couverture globale de la sécurité à l'aide des politiques et des lignes directrices traditionnelles, puisque la sécurité est traditionnellement axée sur la technologie plutôt que sur les personnes. Les efforts déployés pour relever ces défis ont été compliqués par la transition non planifiée vers le travail à domicile, l'impact du burnout – l'épuisement professionnel – et l'absence de frontières entre les vies personnelle et professionnelle.
À mesure que nous avançons, il est temps d'accepter que nos hypothèses et nos schémas déployés pour sécuriser et comprendre les actifs et le personnel de l'entreprise ne fonctionnent peut-être pas – et que nous aurons besoin de l'aide de la technologie et de l'analytique pour apprendre à interpréter ce nouveau monde ayant moins de frontières.
L'approche humaniste des systèmes est un concept qui peut aider à interpréter le différentiel entre ce que nous croyons savoir sur la manière dont les gens travaillent et utilisent la technologie, par rapport à la réalité de leur utilisation de la technologie. À l'heure actuelle, la plupart des organisations passent beaucoup de temps à réfléchir à ce que font leurs employés, et à créer les règles et procédures qui leur indiquent comment faire leur travail. Cependant, la manière dont les gens travaillent est souvent bien différente en réalité Prenez en considération le fait que, dans une étude récente, 46 % des participants ont déclaré utiliser la Shadow IT pour accomplir plus facilement leurs tâches professionnelles. Ce type d'exposition et de risque de sécurité est invisible pour les organisations qui ne s'efforcent pas de comprendre comment les gens interagissent avec la technologie, et quelles sont les solutions technologiques nécessaires pour que les gens puissent atteindre leurs objectifs rapidement et en toute sécurité.
L'analyse est la voie royale pour combler le fossé entre notre vision idéaliste de la façon dont les gens utilisent la technologie pour accéder aux biens essentiels de l'entreprise et interagir avec eux, et la réalité souvent décevante, où les gens enfreignent les règles et contournent les politiques et les procédures. L'analyse peut aider les organisations à faire face aux divergences entre le niveau de conscience situationnelle déclare des personnes par rapport aux exigences de sécurité et leurs comportements réels.
Bien que la série Future Insights a pour objectif de prédire l'avenir, la vérité est qu'aucune entreprise ne peut le prédire avec précision en matière de risques de sécurité. Toutefois, en déployant des outils d'analyse de la sécurité capables d'analyser les événements de sécurité à grande échelle, il est possible de détecter les menaces avant qu'elles n'aient une chance d'avoir un impact négatif sur l'infrastructure d'une organisation.
