Ekim, ABD’de BT ekiplerinin yıllık güvenlik eğitimi ve farkındalık eğitim programını hazırladığı Ulusal Siber Güvenlik Farkındalık Ayı’dır. Birçok çalışan için bu, işe alım, yardım bildirimi gönderme veya olası bir olay dışında güvenlik ekibiyle tek etkileşimi olabilir. Ancak herkes, farkında olsun ya da olmasın, her gün işletmenin güvenlik fonksiyonunda bir rol oynar. Böyle olduklarında ekibin güvenlik duruşu açısından bir varlık veya risk oluşturma potansiyeline sahiptirler.
göre 2024 Verizon Veri İhlali Araştırmaları Raporu (DBIR)’e göre, tüm ihlallerin %68’i insan unsurunu içeriyor; insanlar hata, çalıntı kimlik bilgilerinin kullanımı veya sosyal mühendislik yoluyla olaya karışıyor. Bir saldırganın ilk müdahalesi olarak teknik güvenlik açıklarından yararlanma sıklığı artarken, çalınan kimlik bilgileri ve kimlik avı, kaydedilen ihlallerin aslan payını hâlâ oluşturuyor.
Güvenliği bir kuruluşun etkinliği ve başarısı için kritik bir unsur olarak önceliklendirmek, olay riskini azaltırken tüm ekibe ve kuruluşun itibarına fayda sağlayacaktır.
Güvene Fiyat Koymak
Güvenlik, bir kuruluşun başarısı için finans, gelir yaratma veya ürün departmanları kadar önemli olan temel bir iş fonksiyonudur. Aynı zamanda bir kuruluşun itibarını şekillendirmede, özellikle de kuruluşun güvenilir ve güvenilir olup olmadığına ilişkin kamu ve kurum içi algıları etkilemede önemli bir faktördür. Algılanan güvenliğin (veya güvensizliğin) hem kamu imajı hem de sonuç üzerindeki derin etkisini anlamak için, kamuoyuna duyurulan bir ihlal veya kesintiden önce ve sonra müşteri yorumlarını veya büyük işletmelerin hisse senedi fiyatlarını incelemek yeterlidir.
Güvenlik, şirketin iş açısından güvenilir ve emniyetli olarak görülüp görülmediği üzerinde özellikle önemli bir etkiye sahiptir. Başarılı bir güvenlik programı ile savunmasız bir program arasındaki fark, bu değerin düzenli ve etkili bir şekilde iletilmesine bağlıdır.
Neyin Ölçüldüğü Önemlidir
Bazı kuruluşlarda, bir CISO veya CIO, diğer liderleri ve paydaşları güvenliğin ihtiyaçları ve değeri konusunda bilgilendirerek, yönetici düzeyinde güvenliği savunabilir. Ancak çoğu işletmede bu sorumluluk BT ekip liderine düşüyor ve bu da onların zaten önemli olan iş yükünü artırıyor.
Kendini tanıtma veya gereksiz bir çalışma gibi görünse de, durdurulan tehditleri, iyileştirilen süreçleri, tamamlanan projeleri ve güçlü güvenlik davranışını modelleyen ekip üyelerini özetlemek için ekstra zaman ayırmak son derece değerlidir. Bu çaba, gelecek çeyreğin bütçe kaygıları veya kötü haberlerden kaçınma umudunun gölgesinde kalmak yerine, güvenlik programının yararlarının ve değerinin liderlik için bir öncelik olarak kalmasını sağlar.
Sıfırdan başlamadan önce satıcılara ve iş ortaklarına hangi performans raporlarını ve ölçümlerini sağlayabileceklerini sorarak mevcut kaynakları bulun. Pek çok aracın halihazırda denetim veya diğer şablonlu raporlama işlevlerine sahip olması gerekir ve hatta bazıları, liderleri ilerleme konusunda bilgilendirmek için tasarlanmış özel özetler veya yönetici brifingleri bile sunabilir.
Metrikleri seçerken, bunların gerçekten etkili güvenlik hedeflerine ulaşıp ulaşmadığını sorun. Örnek olarak, kimlik avı eğitiminde yaygın bir yanlış adım, yalnızca eğitimden önce ve sonra bağlantıya tıklayan kişilerin sayısını izlemektir. Riskli tıklamaların azaltılması değerli olsa da bu sayının sıfıra indirilmesi pek olası değildir. Bunun yerine, birinin kimlik avını ne kadar hızlı bildirdiğine odaklanmak, gerçek dünyadaki bir saldırının tespit edilmesi ve durdurulması için gereken süreyi önemli ölçüde azaltabilir. Artık eğitim, bir çalışan başlangıçta kimlik avına kapılmış olsa bile şüpheli etkinliği bildirmenin önemini vurgulayabilir. Bu yaklaşım, korku veya utançtan doğan sessizlik yerine açıklığı teşvik eder ve proaktif davranışın ödüllendirilmesi, ekip üyelerinin bir şeyler ters gittiğinde onlara ulaşma olasılığını önemli ölçüde artırabilir.
Unutmayın, ölçülen şey yönetilir. Anlamlı güvenlik ölçümlerinin dikkatlice seçilmesi ve izlenmesi, güvenlik duruşunu geliştirir ve bir güvenlik programının kuruluşa somut değerini gösterir. Bu veri odaklı yaklaşım, devam eden güvenlik girişimleri için gerekli kaynakların ve desteğin güvence altına alınmasına yardımcı olabilir ve güvenlik işlevini bir maliyet merkezinden iş için bir değer unsuruna dönüştürebilir.
“Hayır Departmanı” İtibarını Kaybetmek
Sık sık tekrarlanan bir güvenlik klişesi var: Hayır Dairesi: Verimliliğin önündeki bir engel, en iyisi görülmeyen ve duyulmayan. Ve eğer çoğu güvenlik etkileşimi “sıkıcı ve/veya kafa karıştırıcı” veya “sinir bozucu ve/veya korkutucu” olarak algılanırsa, insanlar gelecekteki etkileşimlerden kaçınmak için kendi yollarından çekileceklerdir.
Gerçekte güvenlik, kurumu ve içindeki insanları güvende tutmak ve tehlikelerden korunmak için yorulmadan çalışır. sayısız risk. Bir takım arkadaşının bakış açısına göre keyfi bir ret gibi görünen şey, pekala iyi bir politikayla desteklenebilir.
Bu algının iyileştirilmesi, kontrollerden vazgeçmek ya da her talebi onaylamak anlamına gelmiyor. Bunun yerine, politikaların neden yürürlükte olduğunu açıkça açıklamayı, engeller olduğu ortaya çıkan süreçler hakkında düzenli olarak geri bildirim toplamayı ve normal iş temposunun bir parçası olarak kazanımları sergilemeyi gerektirir.
Hatalar, BT ekiplerinin önceliklendirme yapması veya soruşturması gereken düzensizlikler için ek yardım bildirimlerinden daha fazlası olabilir: bir sürecin sezgisel olmadığı veya yanlış anlaşıldığı durumlarda çok değerli geri bildirimler sağlayabilirler. Birinin “neden” izin verilen yoldan saptığını konuşmak, kafa karıştırıcı belgelerin, dikkate alınmayan kullanım durumlarının veya sistem günlüğünde yakalanabilecek diğer niteliksel geri bildirimlerin belirlenmesine yardımcı olabilir.
Son zamanlarda Onlar İçin Ne Yaptınız?
Çoğu kişinin kişisel yaşamında güvenlik uzmanları görevde değildir ve bu, güvenlik ekiplerine, ekiple olan ilişkilerini geliştirirken yardımcı olmaları için eşsiz bir fırsat verir. Sigorta ve uyumluluk gereksinimlerini karşılamak için yalnızca tıklatarak eğitim modülleri sunmak yerine, eğitimi çalışanlara fayda sağlayacak başka bir fırsat olarak değerlendirin.
Çalışanları trend olan saldırılar ve dolandırıcılıklar hakkında bilgilendirin, böylece onların da farkında olmalarını ve potansiyel olarak savunmasız aile üyelerini bilgilendirebilmelerini sağlayın. Onlara yalnızca çalışma sistemlerinde değil, aynı zamanda sosyal medya veya kişisel bankacılık gibi günlük yaşamlarında kullanacakları sitelerde de iyi güvenlik hijyeni hakkında bilgi verin. Bu uygulama yalnızca ekibinizi iş başında değilken tehditlere karşı korumaya yardımcı olmakla kalmaz, aynı zamanda onları saldırganlar için daha zor hedefler haline getirerek organizasyonel güvenliğe de geri bildirim sağlar. Saldırganların geceleri ve hafta sonları kaçmaları harika olurdu, ancak gerçekte, mümkün olan her yerde (ve kim aracılığıyla) erişimin peşine düşeceklerini biliyoruz.
Ekip toplantılarında, ekip sohbetinde ve tüm güncellemelerde her hafta birkaç ipucu paylaşmak da insanlar için daha kolay sindirilebilir. Saatler süren kuru, monoton bir antrenman seansından vazgeçme dürtüsüne direnmektense, her hafta birkaç ipucunu özümsemek daha kolaydır.
Bu yaklaşım aynı zamanda kalıcılığı da artırır. Hermann Ebbinghaus’un hafıza üzerine araştırmasına göre ve “unutma eğrisi” derse, yeni öğrenilen bilgilerin büyük çoğunluğunu öğrendikten sonraki birkaç gün içinde unuturuz. Ancak aynı bilginin ikinci tekrarı, hem hatırlanan bilginin yüzdesini hem de hatırlanma süresini artıracaktır. Bir konu üzerinde düzenli olarak yapılan tazelemeler ve genişletmeler, konunun daha iyi anlaşılmasına ve daha esnek bir şekilde hatırlanmasına yol açacaktır.
Birlikte Daha Güçlüyüz
Güvenlik ilişkisini kaçınma ilişkisinden pekiştirme, güvenlik ve güvenilir rehberlik ilişkisine dönüştürmek, insanları güvenlik mesajlarını daha dikkatli dinlemeye motive edecektir. Daha fazla anlayış ve sahiplenme, güvenliği uzmanlaşmış, reaktif bir işlev yerine paylaşılan, proaktif bir işlev olarak tanımlayarak ekipler arasında daha güçlü bir güvenlik zihniyetini geliştirir.
Güvenlik kolektif bir çabadır ve ekibinizin iş içinde ve dışında daha güvende kalmasına yardımcı olmak hem onlara hem de kuruluşa fayda sağlayacaktır. Güvenliği, korkulan bir e-posta veya toplantı daveti yerine güvenilir bir müttefik olarak yeniden tanımlayarak herkes için daha dayanıklı ve güvenli bir ortam yaratabiliriz. Unutmayın, konu güvenlik olduğunda gerçekten birlikte daha güçlüyüz!