Kalıcı uzaktan/hibrit çalışma ve dijital dönüşüme geçişin yönlendirdiği giderek karmaşıklaşan tehdit ortamı ve gözenekli BT ortamı, güvenlik bilincine sahip bir işgücüne ve sağlıklı güvenlik kültürüne olan ihtiyacı her zamankinden daha kritik hale getiriyor. Kurumsal savunucular, kimlik avı ve sosyal mühendislik saldırılarının, fidye yazılımlarının ve iş e-posta güvenliğinin (BEC) en büyük günlük baş ağrıları arasında olduğunu söylüyor.
Güvenlik bilinci programları onları azaltmaya yardımcı olabilir, ancak hiç kimsenin bunları oluşturmak için zamanı yok gibi görünüyor “SANS 2022 Güvenlik Farkındalık Raporu.” Olgun bir farkındalık programı oluşturmak için belirtilen en önemli üç zorluk, proje yönetimi için zamanın olmaması, çalışanları eğitmek için mevcut zamanın sınırlı olması ve personel sıkıntısı nedeniyle güvenlik bilincine odaklanmak için yeterli zamanın olmamasıdır. Bütçe eksikliği ve yetersizlik. liderlik desteği de listeye girdi.
SANS Güvenlik Farkındalığı direktörü ve SANS raporunun ortak yazarı Lance Spitzner, “İnsanlar dünya çapındaki siber saldırganlar için birincil saldırı vektörü haline geldi” diyor. “Kuruluşlar için en büyük riski teknolojiden ziyade insanlar temsil ediyor ve güvenlik bilinci programlarını denetleyen profesyoneller bu riski etkin bir şekilde yönetmenin anahtarıdır.”
Rapor, güvenlik bilinci profesyonellerinin ilgili becerilerden yoksun olduğunu gösteriyor. Rapora göre, güvenlik bilinci sorumlulukları, işgücünü etkin bir şekilde devreye sokmak ve güvenlik risklerini anlaşılması kolay terimlerle iletmek için gereken becerilerden yoksun olabilecek, yüksek düzeyde teknik geçmişe sahip personele çok yaygın olarak verilmektedir.
Rapor ayrıca, güvenlik bilinci uzmanlarının %69’undan fazlasının zamanlarının yarısından daha azını güvenlik bilincine harcadığını gösteriyor. Bunun nedeni, başka güvenlik sorumluluklarına sahip olmalarıdır. Kuruluşlar, zaten uzun bir yapılacaklar listesinin parçası olmaktansa, güvenlik bilincine odaklanan daha fazla uzmana sahip olmaya odaklanmalıdır. Rapor, daha özel bir ekip için bir vaka oluşturmak için güvenlik ekibindeki kaç kişinin teknolojiye odaklandığını ve ekipteki kaçının insan riskine odaklandığını belgelemeyi ve karşılaştırmayı teşvik ediyor.
Rapor, başarılı bir güvenlik bilinci programının güçlü bir liderlik desteği, daha geniş bir özel ekip ve sıklığa vurgu yapan çalışanlar için bir eğitim programı gerektirdiğini öne sürüyor. Kuruluşlar ayrıca en az ayda bir kez işgücüyle iletişim kurmalı, etkileşimde bulunmalı veya işgücünü eğitmelidir. Rapora göre, eğitimi basit ve takip etmesi kolay tutmak, bağlı bir iş gücü için anahtardır.
Spitzner, “Kuruluşlar artık uyumluluk kutusunu kontrol etmek için yıllık bir eğitimi haklı çıkaramaz ve kuruluşların insan risklerini etkin bir şekilde yönetmek için yeterli personel, kaynak ve araç tahsis etmesi kritik olmaya devam ediyor” dedi.