YORUM
Gibi Siber saldırıların riski artmaya devam ediyorkuruluşlar onları engellemek için yenilikçi yeni hizmetlere ve ekipmanlara giderek daha fazla para harcıyor. Ancak, aynı zamanda, birçoğu belki de en kritik tehdit vektörünü, yani insan unsurunu güvence altına almak için hala alışılmış, tek tip bir yaklaşım benimsiyor. Birisi bilmeden hırsızların binaya girmesi için kapıyı açık bırakırsa, kilitlere ve güvenlik görevlilerine daha fazla harcama yapmanın pek bir faydası olmaz.
Yıl geçtikçe, insan unsuru siber güvenlikteki en büyük risk faktörleri arasında yer almaya devam ediyor; bunun merkezi bir rol oynaması öngörülüyor. %68 ile %90 2024’te ihlallerin sayısı — ve zorunlu güvenlik farkındalığı eğitimlerinin standart uygulaması, çalınan kimlik bilgileri, veri sızıntıları ve hedefli kimlik avı e-postaları yaygın olmaya devam ettiği için iyileştirmeyi yönlendirmiyor. Bu kritik açığı gidermek için, baş bilgi güvenliği görevlileri (CISO’lar) sadece eğitimin ötesine geçen, insan riskini azaltmak için daha veri odaklı, özelleştirilmiş bir yaklaşım benimsemelidir — tasarım gereği insan siber güvenliği gerektiren bir yaklaşım.
Riskin Miktarının Belirlenmesi
Güvenlik farkındalığı eğitimi yardımcı olur, ancak her çalışana aynı şekilde davrandığı için işi tamamlamaz. Gerçekte, bazı kullanıcılar tehditleri tespit etmede oldukça yetenekliyken, diğerleri ek desteğe ihtiyaç duyar. Bazı kullanıcı alt kümeleri büyük bir düzenlilikle hedef alınırken, diğerleri çok az kimlik avı girişimi alır. Bu nedenle, insan merkezli bir güvenlik yaklaşımı, kuruluşun risk dağılımının ayrıntılı bir şekilde anlaşılmasıyla başlamalıdır.
İlk adım, şirkette en fazla risk altında olanları tespit etmektir. Çalışmalar, sadece Çalışanların %8’i %80’e neden oluyor olayların sayısı ve bu alt kümedeki çoğu kişi genellikle tekrarlayan suçlulardır. Ayrıca, öne çıkmaları nedeniyle belirli kişiler daha sık hedef alınır: Yöneticiler, yönetici olmayanlara göre ortalama 2,5 kat daha fazla kimlik avı e-postası alır ve girişim oranı, tüm çalışanlar için şirkette kaldıkları süre uzadıkça artar ve her üç yılda neredeyse iki katına çıkar.
Bu rakamlar kuruluşlar arasında büyük ölçüde farklılık gösterebilir, bu nedenle işletmelerin kendi analizlerini yapmaları önemlidir. Bu, genellikle gözden kaçan verileri analiz ederek yapılabilir — güvenlik uç noktalarının çalışanların kötü amaçlı yazılım çalıştırmasını engellediğinde oluşturduğu günlükler gibi — ve bunlardan kalıplar toplayarak. İdeal çerçevede, güvenlik yöneticileri kullanıcıların sürekli olarak hangi iyi veya riskli güvenlik kararlarını aldıklarını anlamak ve kullanıcıların bireysel güvenlik riskleri hakkında bir profil oluşturmak için her türlü güvenlik aracından veri çekebilmelidir.
Risk Yönetimi
Kredi puanlarına sahip finans kuruluşları veya primlere sahip sigorta şirketleri gibi, kuruluşlar da bu risk puanlarını, özel eğitimle başlayarak güvenliğe yönelik kişiselleştirilmiş, uyarlanabilir bir yaklaşım oluşturmak için kullanmaya başlayabilirler.
Tüm çalışanların aynı genel güvenlik farkındalığı modüllerini tamamlaması yerine (ki dürüst olalım, çoğu kişi pek dikkat etmeden bunları kolayca geçer), kendilerini düşük riskli olarak kanıtlamış kişilere hafif bir politika hatırlatıcıları ve kontrol listeleri sunulabilir. Spektrumun diğer ucundaki, sıklıkla hedef alınan veya alınacak olanlar, karşılaştıkları risklerle ilgili konulara odaklanan daha sıkı bir eğitim almaları için zorunlu tutulabilir.
Davranış kalıplarına ilişkin ayrıntılı içgörülerle, kuruluşlar iyi güvenlik uygulamalarını tanıma ile ödüllendirebilirler. Daha sonra, uyarlanabilir dürtmeler gibi müdahalelerle kötü alışkanlıkları önlemek için adımlar atabilirler – doğru zamanda gönderilen kişiselleştirilmiş mesajlar veya kullanıcıların saldırılara kurban gitmesini önlemek için bağlam – veya daha sıkı e-posta güvenliği filtrelemesi, daha katı tarama izinleri veya risk altındaki kullanıcıların makinelerinde çok faktörlü kimlik doğrulama belirteçlerinin geçerli olduğu süreyi azaltma gibi stratejiler.
Bu uygulamaların şeffaflıkla yürütülmesi önemlidir, böylece çalışanlar güvenlik ekibinin toplanan bu verileri nasıl kullanmayı planladığını bilirler. Güvenlik ekipleri yapıcı bir duruş sergilediğinde (örneğin, olumlu davranışları doğrulayan ve iyileştirilecek alanları öneren rapor kartları göndererek), çalışanlar neredeyse evrensel olarak açıklık ve takdirle karşılık verir. Yüksek risk grubundaki kullanıcıların küçük bir yüzdesi için, ek eğitim ve uyarlanabilir önlemlerin kendilerinin daha iyi olmalarına nasıl yardımcı olmak için tasarlandığını açıklamak için ekstra özen gösterilmelidir.
İyileştirmeyi İzleme
Güvenlik olaylarını toplamak ve analiz etmek, yöneticilerin sonuçları ve ideal olarak iyileştirmeyi ölçmek için daha veri odaklı bir yaklaşım benimsemelerine de olanak tanır. Güvenlik ekipleri, temel değerlerini ölçerek ağda zaman içinde gerçekleşen riskli davranış sayısını izleyebilir ve gelecekteki olayları azaltmak için kullanıcı tabanının alt kümelerini “kabarcıklarla sarma”nın en iyi yöntemlerini belirleyebilir.
Bu ölçülebilirlik, etkiyi ve dolayısıyla yatırım getirisini (YG) anlama açısından genellikle kara delik şeklini alabilen geleneksel insan risk azaltma uygulamalarıyla (yani basit farkındalık eğitimi) keskin bir tezat oluşturmaktadır. CISO’lar, nesnel, sonuç odaklı bir yaklaşımla hem güvenlik iyileştirmesi sağlayabilir hem de yatırımın başarısını C-suite’in geri kalanına açıkça gösterebilir.
Tehdit aktörleri çalışanları nasıl hedef aldıkları konusunda daha akıllı hale geldikçe, güçlü bir savunma hattı oluşturma sorumluluğu kuruluşlara ve siber güvenlik ortaklarına düşüyor ve insan unsuru kritik bir bileşen. Riskli davranışları engellemek için daha akıllı ve kişiselleştirilmiş bir yaklaşım benimseyen şirketler, güvenlik bütçelerini daha verimli kullanırken kuruluşlarını siber saldırılara karşı koruma konusunda en iyi şansa sahip olacak.