Dürüst olun: Eğer önemli bir teslim tarihine yetişmek için yarışıyor olsaydınız, işi tamamlamak için şirketinizin güvenlik kurallarını bilerek atlar mıydınız? Eğer cevabınız “evet” ise, çok fazla arkadaşınız var demektir. Gartner’ın Güvenli Davranış Sürücüleri’ne göre anketGüvensiz davranan çalışanların %93’ü bunu bilerek yapıyor.
Güvenlik politikalarını atlatmanın sonuçları hakkında kamuoyunun bu kadar çok bilgisi varken, çalışanlar bunu neden yapıyor? Genellikle bunun nedeni, bunun en az dirençli yol olmasıdır.
“Çoğu şirkette muhtemelen yalnızca parolayla değil aynı zamanda kimlik doğrulaması yapmanız gerekir. çok faktörlü kimlik doğrulama. Gartner’ın başkan yardımcısı analisti Chris Mixter şöyle açıklıyor: Tek başına şifrelerden çok daha güvenli olsa da çalışanların yapması gereken başka bir şey de bu. “Genel olarak siber güvenlik, geniş ölçekte sunabilecekleri kontrolü sağlar, ancak çalışanlar Uyum sağlama konusunda çok fazla sürtüşme yaşanıyor, bu yüzden bunu aşmanın yollarını buluyorlar.”
Sürtüşmenin etkisi, siber güvenlik sorununa saldırmanın yeni bir yolunu ön plana çıkarıyor: İnsanları bu karışımın tam merkezine koymak.
İnsan Odaklı Güvenliğe Giden Birçok Yol
İnsan odaklı güvenlik, yalnızca olay müdahale planında değil, sorunlar ortaya çıktıkça her gün insanların davranışlarını, ihtiyaçlarını ve sınırlamalarını her noktada dikkate alır. Bu, mümkün olduğu kadar çok noktada anlaşmazlıkları azaltan, güvenlikle ilgili süreçlerdeki karmaşıklığı azaltan, ceza yerine olumlu takviye sağlayan ve çalışanlara ihtiyaç duyduklarında yargılamadan yardım eden okunabilir politikalar anlamına gelir.
Gartner, 2027 yılına kadar CISO’ların yarısının evlat edinmek Siber güvenlik operasyonel sürtünmesini azaltmak için insan merkezli güvenlik. Gartner, 2030 yılına gelindiğinde işletmelerin %80’inin resmi olarak tanımlanmış ve kadrolu bir insan risk yönetimi programına sahip olacağını öngörüyor; bu oran 2022’de %20’ydi.
İnsanları merkeze almak, aynı adı taşıyan bir verimlilik uygulaması geliştiren bir şirketin Random Timer’ın çalışanları için kullandığı yaklaşımdır. Geleneksel olarak güvenlik, insan unsuru yeterince dikkate alınmaksızın, oldukça teknoloji ve politika odaklı olmuştur. Şirketin kurucusu Matthew Anderson, bunun son kullanıcılar için kısıtlayıcı ve sinir bozucu olabileceğini açıklıyor.
“Dolayısıyla insan odaklı bir yaklaşım benimsemeye çalışıyoruz. Örneğin, yeni bir iki faktörlü kimlik doğrulama sistemini uygulamaya koyarken, çalışanlarımızla eski sistemimizde neyi sevip neyi sevmedikleri hakkında konuşmak için çok zaman harcadık. Bu geri bildirimleri, kolaylık ve kullanılabilirlik konusundaki en büyük sıkıntı noktalarını giderecek bir çözüm seçmek için kullandık” diyor.
Şu ana kadar sürtüşme, güvenli çalışanların en büyük düşmanıdır. Ve bu çok yaygın: Yakın zamanda yayınlanan bir Gartner raporu, her üç çalışandan birinden fazlasının siber güvenlik kontrolleri ve politikalarına uymanın zor, rolleri açısından mantıksız ve iş hedefleriyle çeliştiğini söylediğini ortaya çıkardı.
Teknoloji odaklı yaklaşımların kullanılması sürtüşmenin azaltılmasına yardımcı olur ancak bu, işin tamamını yapamaz. Örneğin, tarayıcı güvenliğinin uygulanması ve şifresiz erişim iyi adımlardır çünkü kullanıcının bunları düşünmesine bile gerek yoktur. Ancak pek çok şirket hâlâ bu teknolojileri benimsemiyor ve uyarlasalar bile, çalışanların işlerini yapmak için hâlâ güvendikleri onlarca yıllık teknolojiyle her zaman iyi çalışmıyorlar.
Bu teknolojiler hala kendi yollarıyla sürtüşmeye neden oluyor. Örneğin, güvenli tarayıcı birçok kötü şeyi engelleyebilir ancak güvenlik ekibinin her şeye “izin vermesi” gerekir. Bu, bir kullanıcının yeni bir web sitesini ziyaret etmek istemesi durumunda, bu siteyi “izin verilenler listesine” almak için güvenlikle iletişime geçmesi gerektiği anlamına gelir.
Yine de yardımcı olabilecek teknoloji tabanlı seçenekler var. Bunlardan biri, davranışsal ipuçlarına dayanan açılır ekrandır.
“Daha önce hiç e-posta göndermediğim birine e-posta gönderiyorsam, sistem, bir tür modern kontrol motoru ışığına benzeyen bir uyarı alacak şekilde ayarlanabilir; bu uyarı, potansiyel olarak davranışı değiştirmek için bir uyarı olarak kullanılır. ” KPMG’nin siber güvenlik hizmetleri alanında müdür olan Matthew Miller şöyle diyor: “Bu, teknolojiyi uyumluluk merceği yerine davranışsal mercekten alıyor ve kullanıcıyı uyarmıyor.”
Kullanıcılarınızı Anlayın
Anderson, kullanıcılarınızı anlamanın da kritik önem taşıdığını ekliyor. Bu, röportajlar, gözlemler ve anketler aracılığıyla doğrudan kullanıcılarla konuşmak anlamına gelir. Bu geri bildirimle, kullanıcı deneyimini iyileştirmek amacıyla daha da fazla geri bildirim toplamak için minimum geçerli ürünleri prototipleyebilir ve piyasaya sürebilirsiniz. Hatta çalışanları savunacak kullanılabilirlik uzmanlarına sahip olmayı bile öneriyor.
Miller, kullanıcıların davranışlarını ve motivasyonlarını anlamanın kritik önem taşıdığına katılıyor. Bir bankada çalışırken (bulutun hâlâ yeni bir kavram olduğu kadar uzun bir süre önce), her yaz birkaç bin stajyerin orada rutin olarak çalıştığını gösteren bir örnek veriyor. Birçoğuna veri, veri analitiği ve kelime bulutları kullanan projeler verildi, bu nedenle şirket, şirketin verilerini korumak için sonuçlarını herkese açık olarak yüklemelerine olanak tanıyan birçok siteyi engelledi.
Ekibi stajyerlerden birinin dosyaları buluta yüklediğini tespit etti. “Bunu neden ve nasıl yaptığı ve başının belada olmadığı sorulduğunda, engellenen siteden sonra engellenen siteye girdikten sonra sonunda engellenmeyen bir site bulduğunu ve bu yüzden bunun olması gerektiğini düşündüğünü söyledi. Veri yüklemek için siteyi onayladım,” diye açıklıyor Miller.
Bazı şirketler kullanıcı deneyimini anlamayı en uç noktalara taşıyor ancak bu sonuç veriyor. Örneğin, İspanya’nın en büyük bankası olan Santander, siber güvenlik personeline, genellikle geliştiricilerin ve müşteriyle yüz yüze çalışan çalışanların alanı olan kullanıcı deneyiminin ilkelerini öğretti. Artık bir çalışan “yapamam” dediğinde veya politikayı ihlal ettiğinde siber güvenlik personeli kullanıcı deneyimine ilişkin sorular sorabiliyor. Bir şeyi neden yaptığını sormak yerine, bunu ne sıklıkta yapması gerektiğini, yapmanın zor olup olmadığını sorabiliyor ve Görevin iş akışları için gerekli olup olmadığı. Siber güvenlik ekibi bu bilgilerle süreci değiştirebilir veya gerekli değilse iş akışından çıkarabilir.
Elbette her zaman bir şey vardır eğitim bileşenidir, ancak antrenmanı farklı düşünmek, insan merkezli zihniyet. Bu, eğitimi bireysel rollere göre uyarlamak anlamına gelir.
Miller, “Farklı türdeki çalışanlar teknolojiyle, müşterilerle ve verilerle farklı şekillerde etkileşime giriyor, bu nedenle insanların ihtiyaç duydukları becerileri geliştirmelerine ve daha sonra riski yönetecek davranışları oluşturmalarına yardımcı olma konusunda çok spesifik olmanız gerekiyor” diyor.
Bir ‘Evet’ Kültürü Oluşturun
Çalışanların daha güvenli hareket etmesini bekliyorsanız asla “hayır” dememeniz önemlidir. Mixter, bunu yaparsanız sistemi atlatmanın bir yolunu bulacaklarını söylüyor.
Örneğin Johnson & Johnson, tüm yasaklı faaliyetleri olumsuz kabul edilebilir kullanım politikasından olumlu bir self-servis değerlendirmeye dönüştürdü. Otomatik sistem, çalışanın yanıtlarına göre onları güvenli bir geçici çözüme yönlendirecektir. Sistem bir çalışanın yeni bir şey yaptığını tespit ederse yanıt olarak bir eğitim videosu gönderebilir. Cevaplar, bir çalışanın özel verileri yanlış kullanmayı planladığını ortaya çıkarırsa, çalışana bir e-posta gönderilebilir. sentetik veriler gerçek veri kümelerine dayanan ancak gerçek özel verileri içermeyen depo.
Mixter, geri bildirim isteyen şirketlerin genellikle daha iyi performans gösterdiğini ekliyor. Kaliforniya merkezli bir teknoloji şirketi olan SRI, politikalarına yorum kutuları koyuyor. Bu, siber politikaların siber alan dışındaki kişiler tarafından o kadar da okunabilir olmadığı yönündeki içgörüyle meyvesini verdi ve şirket, bunun olumlu değişikliklere yol açtığını söyledi.
Sonunda, merkezde insanların olduğu tipik insan/süreç/teknoloji üçgenine gelinir.
Anderson, “Teknoloji temeli sağlıyor ancak süreç ve felsefe başarıyı artırıyor” diyor. “Temel olarak, yalnızca yeni teknoloji araçlarını değil, kullanıcı merkezli tasarımı benimseyen bir kültür gerektiriyor.”