Mennesker sier ikke alltid hva de mener. Og selv om de gjør det, stemmer ikke alltid handlingene deres med det de sier. Dette er spesielt et problem for toppledere i sammenheng med cybersikkerhetspolitikk. Som ny forskning avslører, er det et "atferdsgap" på toppen av mange organisasjoner, som truer med å undergrave security-by-design-kulturen og utsette selskapet for overdreven cyberrisiko.

Organisasjoner må bygge en kultur som ikke vil tolerere «eksekutiv eksepsjonalisme». Men det vil kreve en endring i atferd fra C-suiten og potensielt også IT-sikkerhetsledelse.

Hvor ille er det?

Ocuco Ivanti rapport ble satt sammen fra intervjuer med over 6500 ledere, cybersikkerhetseksperter og kontorarbeidere i globale organisasjoner. Det avslører en slående forskjell mellom hva bedriftsledere sier og hva de gjør. På den ene siden sier de fleste at:

• De støtter minst moderat eller har investert i bedriftens cybersikkerhet (96 %)
• De gir obligatorisk sikkerhetsopplæring (78 %)
• De er forberedt på å gjenkjenne og rapportere trusler som skadelig programvare og phishing (88 %)

Men på den annen side engasjerer mange respondenter seg i overdrevent risikofylt atferd, som for eksempel:

• Be om å omgå ett eller flere sikkerhetstiltak det siste året (49 %)
• Bruke passord som er enkle å huske (77 %)
• Klikk på phishing-lenker (35 %)
• Bruke standardpassord for jobbapplikasjoner (24 %)

Noen av disse funnene er enda mer skarpe når de stilles opp mot oppførselen til vanlige ansatte. For eksempel sier bare 14 % at de bruker standardpassord. Det er også tre ganger større sannsynlighet for at ledere deler arbeidsenheter med uautoriserte brukere, hevder rapporten.

Seniorledere ser også ut til å ha et problematisk forhold til cybersikkerhet. Når de kommer over sikkerhetsproblemer som påvirker dem personlig, er de:

• Dobbelt så stor sannsynlighet enn vanlige arbeidere for å si at deres tidligere interaksjoner med sikkerhet var «klosset»
• Fire ganger større sannsynlighet for å bruke ekstern, ikke-godkjent teknisk støtte
• 33 % større sannsynlighet for å «ikke føle seg trygge» rapporterer sikkerhetsfeil som å klikke på en phishing-lenke

"Det kan være en frakobling eller kommunikasjonsgap mellom bedriftsledelse og IT-sikkerhet. Dette er fordi de har forskjellige prioriteringer, og det er derfor ikke sannsynlig at CXOer vil prioritere og forstå sikkerhet på samme måte som IT-sikkerhetsteam, sier Ivanti EVP, Helen Masters, til ISMS.online.

Hvorfor oppfører CXOs seg så dårlig?

Det er flere teorier om hvorfor dette atferdsgapet har vokst så stort de siste årene. Ledere er vanligvis under ekstremt tidspress, noe som kan gjøre dem mer utsatt for å gjøre sikkerhetsfeil, søke løsninger og omgå offisielle kanaler. En følelse av eksepsjonalisme kan forsterke dette ytterligere.

"Til syvende og sist, i et forsøk på produktivitet, undervurderer CXO-er virkningen av handlingene deres og hvordan snarveier bidrar til sikkerhetssårbarheter," hevder Masters.

Sikkerhetssjefer kan også være en del av skylden på grunn av en kombinasjon av utbrenthet, «bare-denne-en gang-isme» og en svak sikkerhetskultur som gjør at de føler seg ukomfortable med å presse tilbake, hevder rapporten.

Hva er virkningen?

Uansett årsaker, kan virkningen av dårlige sikkerhetsrutiner være betydelige. Trusselaktører vet at ledere ofte praktiserer dårlig cyberhygiene. De vet også at C-suiten har tilgang til svært sensitiv og inntektsgivende informasjon, inkludert forretningshemmeligheter og konfidensielle detaljer om bedriftens strategi. Hvorfor bry deg om å målrette ansatte lavere ned i næringskjeden og bruke tid og krefter på å heve privilegier hvis du kan få alt fra et enkelt phishing-angrep?

Kompromiss med e-post for bedrifter er en annen kritisk trussel som ofte er rettet mot C-suiten. I løpet av de siste årene har toppledere blitt lurt gang på gang til å gi grønt lys for store pengeoverføringer til trusselaktører som utgir seg for å være partnere og sjefer.

Bygger bedre sikkerhet ovenfra og ned

Å lukke atferdsgapet vil ikke være lett – ingenting som krever endringer i bedriftskulturen er noen gang. Men det er oppnåelig når det er bygget på solid fundament. Dette kunne bety utplassering av et styringssystem for informasjonssikkerhet (ISMS). Dette vil gi retningslinjer, prosedyrer og andre kontroller rundt mennesker, prosesser og teknologi for å holde informasjonsressurser sikre. Det inkluderer sikkerhetsbevissthet og opplæring, som kan tilpasses ledere.

Et sentralt aspekt ved dette er å utvikle en kultur der ledere ikke føler at de kan bøye reglene for å passe deres egne krav. Det vil delvis kreve at sikkerhetsledere bygger tillit til disse lederne basert på støtte, utdanning og råd i stedet for fordømmelse, straff og skam.

«Samarbeid med IT- og sikkerhetsteam er nøkkelen, sammen med å fremme en kultur der sikkerhet ikke blir sett på som en hindring. Denne tilnærmingen vil hjelpe organisasjoner oppnå ISO 27001 eller SOC2-overholdelse mer effektivt," hevder Masters.

IT-ledere kan bidra til å drive denne kulturelle endringen ved å vise at de er villige til å lytte til sluttbrukerne sine.

"En tilnærming innebærer å redusere de vanlige kildene til frustrasjon som ofte er knyttet til robuste cybersikkerhetstiltak, som overdreven og hyppige passordforespørsler," fortsetter Masters.

«Gjennom risikobasert intelligens kan organisasjoner konsentrere seg om de viktigste truslene, mens automatisert utbedring raskt løser problemer før de påvirker brukerproduktiviteten. Denne tilnærmingen sikrer at sikkerhetstiltak ikke forårsaker unødvendige forstyrrelser, som ellers kan få ledere og alle ansatte til å ty til usikker praksis.»

Rapporten har en praktisk sjekkliste for å hjelpe IT- og sikkerhetsledere med å sette i gang innsatsen:

• Gjennomføre en internrevisjon sikkerhet/lederinteraksjoner for å forstå omfanget av adferdsgapet
• Løs de enkleste risikoene først, kanskje oppdatere og dokumentere tilgangspolicyer og akseptable brukspolicyer, samt distribuere kontroller som kjører stille i bakgrunnen. Nøkkelen er å unngå direkte konflikt med ledelse der det er mulig
• Vurder gamified sikkerhetsopplæringsøkter og bordøvelser ved å bruke virkelige casestudier, slik at ledere kan forstå virkningen av dårlig netthygiene
• Implementere et "hvit hanske" sikkerhetsprogram for ledere designet for å bygge tillit og redusere barrierer for rapportering av sikkerhetsproblemer

Tidsfattige ledere vil alltid gjøre feil. Men med et sterkere fokus på bevisstgjøring, kombinert med mindre påtrengende sikkerhet, er det mye organisasjoner kan gjøre for å minimere potensialet for forstyrrelser.