Многократният досег със сигнали на тема ИТ сигурност дотяга на хората и може да доведе до „умора от сигурността“ – състояние, при което служителите се изтощават психически и зарязват практиките за сигурност.
От нулиране на пароли и актуализации на софтуера до фишинг-сигнали и обучения по киберсигурност – днешното работно място е заринато с постоянни напомняния за дигиталната сигурност.
Но всички тези добронамерени предпазни мерки може да имат нежелан ефект, установи ново изследване, озаглавено „Умора от сигурността: Проява на емоционално изтощение и цинизъм чрез изчерпване на капацитета за саморегулация“, публикувано в European Journal of Information Systems.
Многократното съприкосновение с изискванията за сигурност може да доведе до „умора от сигурността“ – състояние, при което служителите се изтощават психически и се отдръпват от практиките за сигурност, сочи изследването, ръководено от Училището по бизнес „Масри“ към Университета в Олбани.
„Изискванията за сигурност са предназначени да защитават организациите. Но те създават и допълнителни изисквания към служителите, които се натрупват с времето“, каза Санджай Гоел, професор и председател на катедра „Информационна сигурност и дигитална криминалистика“.
„Когато тези изисквания надхвърлят способността на даден човек да ги управлява, става по-трудно да се поддържа последователно поведение по отношение на сигурността“, допълва той.
Човешката страна на киберсигурността
Докато киберсигурността често се разглежда като техническо предизвикателство, проучването подчертава нарастващото напрежение за служителите, които трябва да изпълняват практики за сигурност в реално време.
От хората рутинно се очаква да управляват редица задачи, свързани със защитата, от поддържане на сложни пароли до идентифициране на опити за фишинг и адаптиране към често променящи се политики.
Въпреки че всяка задача е управляема сама по себе си, кумулативният ефект може да създаде устойчиво когнитивно бреме, което пречи на основните отговорности на служителите.
С течение на времето това бреме изчерпва способността на индивида да се саморегулира. Появява се своеобразна умора, която се проявява като емоционално изтощение и отказ да се прилагат практиките за сигурност.
Когато това се случи, служителите могат да започнат да игнорират предупрежденията, да използват лесни и слаби пароли или да търсят заобиколни решения, които им позволяват да останат продуктивни.
„Хората не се опитват да заобиколят сигурността“, каза Гоел. „В много случаи те просто са претоварени от обема и сложността на това, което се иска от тях“.
Проучването установява, че подобно поведение обикновено не е злонамерено. То е резултат от претоварване. Служителите, които загърбват правилата, може да са били съвестни и съобразителни, но в крайна сметка са се оказали изтощени от постоянните изисквания, напомняния.
Да се справим с умората
За да разберат по-добре проблема, изследователите са анкетирали близо 300 служители на пълен работен ден в САЩ с опит в навигирането с политиките за киберсигурност на организациите.
Изводите показват, че вероятността да се развие „умора от сигурността“ е най-голяма тогава, когато изискванията за сигурност пречат на способността на служителите да изпълняват основните си служебни задължения.
В същото време изследването идентифицира начини, по които организациите могат да намалят риска. Служителите, които се чувстват уверени в способността си да управляват задачите по сигурността – известни като самоефективност в сигурността – и тези, които разбират рисковете за киберсигурността, са по-склонни да спазват правилата, когато им е дотегнало.
„Организациите трябва да обмислят внимателно как се прилагат политиките за сигурност“, каза Гоел. „Осигуряването на обучение, опростяването на процесите и интегрирането на сигурността в ежедневните работни процеси може да намали триенето и да помогне на служителите да останат ангажирани с практиките за сигурност“.
Проучването подчертава ролята на организационната подкрепа, включително обучение и техническа помощ, за да помогне на служителите да се ориентират по-ефективно в изискванията за сигурност. Когато има подобна подкрепа, досадата от изискванията за сигурност намалява.
