“倦怠”正在以多种方式威胁网络安全。首先,在员工方面:“人为错误”是组织中数据泄露的最大原因之一,而导致数据泄露或遭受网络钓鱼攻击的风险,只会在员工压力过大和筋疲力尽时才会进一步增加。Tessian和斯坦福大学在2020年进行的一项研究发现,88%的数据泄露事件是由人为错误造成的。近半数(47%)将“分心”列为网络钓鱼诈骗的首要原因,而44%则归咎于疲倦或压力。为什么疲倦和压力具有如此“威力”?因为当人们感到压力或筋疲力尽时,他们的认知负荷会不堪重负,这也使得发现网络钓鱼攻击的迹象变得更加困难。威胁行为者也深知这一点,他们不仅在进一步加强鱼叉式网络钓鱼活动的复杂性,还习惯选在员工情绪低迷的下午发送攻击。根据数据显示,大多数网络钓鱼攻击都是在下午2点到6点之间发动的。Info-Tech Research Group的首席研究顾问Carlos Rivera表示,不应忽视或低估倦怠对于增加企业遭受网络钓鱼攻击方面所起的作用。因此,作为组织安全意识计划的一部分,创建网络钓鱼模拟计划是一种很好的做法。Rivera表示,“该计划可以通过每年实施一小时的培训来优化,也可以将其划分为每月5分钟或每季度15分钟的培训课程。为了最大化培训效果,建议将课程定位为基于当前事件的主题,具体表现为黑客使用的策略、技术和程序(TTP)。”分析机构Gartner最近发布的一份报告认为,网络安全领导者的角色需要从“主要处理IT部门内部风险”重新构建为“负责制定高管级别的信息风险决策,并确保业务领导者具有全面网络安全知识”。Gartner预测,到2026年,50%的C级高管将在其雇佣合同中包含与网络安全风险相关的绩效要求。这意味着网络安全领导者未来将减少许多IT决策的直接控制权。Gartner研究总监Sam Olyaei表示,“网络安全领导者一直在超荷载运作,几乎处于‘永远在线’的模式。造成这种现象的部分原因在于,过去十年间,组织内部利益相关者的期望越来越不一致,网络安全领导者必须变得越来越有弹性。”根据Tessian的研究数据显示,安全领导者每周平均加班11小时,十分之一的领导者每周加班24小时。他们把大部分时间都花在了调查和补救员工错误造成的威胁上。即便到了下班时间,高达60%的CISO仍因压力而被迫加班。企业组织是时候重视倦怠对安全团队以及对更广泛组织的连锁反应了。试想一下,如果CISO正在经历这种程度的倦怠,这将对更广泛的组织以及与他们一起工作的人产生何种影响。如果团队经常处于倦怠状态,关键时刻您将丧失可用之人。
.png)
