贵公司内的黑客是:方便起见

数字转型 不是技术趋势。相反,这是一个便利趋势。企业正在发生变化,因为客户的期望需要它。每天,消费者都会发现另一个用于移动连接的用途。与此同时,公司将数据的匆忙加入云中。而所谓的东西或物联网上的互联网上的织物织到了我们生活的面料。

事实是我们都沉迷于令人惊叹的,现代的便利,主要是通过连接计算的进步推动。不幸的是,这种追求方便的追求在其自然相反的问题中创造了问题:安全性。几乎每种安全衡量标准都是美国方便,几乎每一项新的便利都会开辟了新的安全问题。有些人认为,在数字世界中方便的快速进步直接负责数据被盗的并发升高。

但在全球趋势之外,我们与商业领袖有更多的担忧。我们必须对客户的更多方便响应这种愿望。但我们也不能忽视这种愿望延伸到另一个关键小组,我们的员工甚至更接近我们。问题是,我们实施的每项安全措施都是便利性,而且他们不喜欢它,而且他们不会躺下。

方便黑客的威胁

员工已经成为便利黑客,并且通常是他们忽略的政策,或者对他们纠正的安全技术的解决方法,比我们在第一次实施安全措施之前让我们更糟。这些便利性黑客往往是一个糟糕的演员发现他或她进入网络的方式,以及真正的伤害已经完成。

因此,我们的思考新安全解决方案的模型需要修订。目前,我们倾向于关注对数据保护中真实或期望福利的新解决方案的评估。我们还考虑到其经济成本,无论是直接和间接的。但对便利性的影响往往忘记或成为优先考虑较低的考虑因素。

在许多方面,折扣用户体验不是一个新问题。二十年前,Alan Cooper发布了“囚犯正在运行庇护”,一个关于该主题的开创性书籍,并提前起诉软件设计妨碍了实用程序,防止用户采取正确的路径。他写道,“在信息时代,随着计算机的侵入我们的生活等等,越来越多的产品含有硅芯片,我们发现美国人类和我们的设备之间的内容是认知摩擦。”

提交人的建议已经在消费产品的设计中,从智能手机和视频流服务到Fitbits。但是,随着网络安全的必要条件,在飙升的数据泄露中,随着网络安全的围绕IT部门收紧,在旧的二进制方程的反身返回时,方便地被推开。简而言之,认知摩擦在正在进行的安全解决方案中是活跃的,并且很好。

没有人说变化很容易

这种事实是,在许多圆圈中的反应来说,对IBM的身份和网络安全的未来的研究进行了说明。去年年初发布,该报告被广泛欢呼为用户,最后是用户必须放弃安全性的表现。

“手机和桌面的用户对每个新的高调违规行为发生了广泛的令人瞩目,并且它使他们改变了他们的优先事项,”阅读了许多博客帖子挑战性研究的一个,这些研究已经强调了用户为方便的用户需要。 “强大的安全和隐私现在处于平均用户担忧的最前沿。”

事实上,IBM的研究发现,虽然安全意识正在改善,但用户往往愿意破解安全解决方案,如果它将节省几秒钟,特别是年轻的成年人。这项研究中的35岁以下的一半以上表示,如果它会在1到10秒之间保存它们,他们会寻找结束新安全协议的方法。

然而,方便的期望仍然有所持续存在维持强大的访问控制,并且Cisos必须与现在分层的云和移动应用爆炸,这些应用程序在内部应用程序上分层。他们还必须启用和管理地理上分布的劳动力和合作伙伴生态系统,往往使员工,承包商,供应商,合作伙伴甚至客户难以区分。

便利性是优步和亚马逊时代的境界的硬币,本身就是一个新模式的论据,它挑战我们考虑为什么Cooper的“认知摩擦”所剥夺了这么多的安全部门。

在方便的过程中进行分解

当对最终用户的影响是考虑的,它通常以二进制方式。无论是管理银行账户的消费者服务代理,是否为其客户或管理区域电网管理的工程师,决策都是通过这个问题的一些版本作出的:用户是否会叛乱,或者不是?

我们可以找到实现对便利性影响的安全解决方案的新方法。我们应该以便利为为方便思考权衡与安全汇率,这是一个不那么二元选择的滑度,并且更多的分析认识到并非所有安全解决方案都是平等的。

这意味着每个 安全措施从政策到流程和技术,必须在多维方面进行评估。它提供多少额外保护?它的经济成本是多少?它的成本(或效益)为方便的人不可避免地影响了?最重要的是,相对于创造的不便,提供了多少增量保护?

工作中汇率的示例是采用密码管理器的意外后果,通常在由单个非常安全密码保护的Vault中安全地存储多个较弱的密码。不幸的是,那些困难的密码很容易受到便利的攻击,这一切都很困难 密码 是,并且经常在易窃取的地方最终在电脑上或计算机上的文件中。一旦被盗,单个密码解锁了对所有用户的系统的访问。这是一个昂贵的贸易。

或者,像指纹访问移动电话等安全解决方案位于权衡频谱的另一端。它们提供了显着的安全性,同时实际上还为用户创造了方便。像这样的技术,将安全性集成到现有的基础架构中,并表现不像螺栓-On,为用户创造了用户或额外的头痛,是罕见的双赢。

我们越来越多地看到安全技术提供者所代表的这种意识,他越来越重要地关注实施模型,这些模型增加了保护,而不会显着牺牲它的易于实施和维护,或者对用户产生负面影响。

购买或开发安全技术的人必须仍然认识到仍然需要保持低影响力,保持便利和安全交换在他们的思想中。他们必须拥抱复杂性并进行工作,以提供高度的保护和更高的易用性,或者它们在方便时代成为用户无情微积分的受害者。

分享这个