Pek çok güvenlik ekibi, güvenlikle ilgili olmayan iş arkadaşlarını herhangi bir siber güvenlik planında potansiyel zayıf nokta olarak görüyor, bu nedenle kaçınılmaz kötü seçimlerini hafifletmek için teknolojiyi kullanıyorlar. Bakış açısı anlaşılabilir: Verizon’un “Veri İhlali Araştırma Raporu”na göre “insan unsuru” 2023’teki ihlallerin %68’ine ve 2022’deki ihlallerin %74’üne katkıda bulundu.
Ancak uzmanlar, “aptalca seçimleri teknolojiyle düzeltin” yaklaşımının, siber güvenliklerini geliştirmek isteyen şirketleri başarısızlığa uğrattığını söylüyor. başlıklı bir ABD hükümeti bildirisinde “Kullanıcılar Aptal Değildir” Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuruluşları zayıf kullanılabilirlik, çok fazla güvenlik katmanı ekleme ve kullanıcı geri bildirimlerini dikkate almama nedeniyle içeriden kaynaklanan tehditler oluşturmaktan kaçınmaya çağırıyor.
Bunun yerine kuruluşların, kullanıcıların ihtiyaçlarını ve motivasyonlarını hesaba katan ve güvenli davranışları teşvik eden süreç ve ürünlere odaklanan insan merkezli bir siber güvenlik (HCC) yaklaşımı izlemesi gerekir. HCC programı, güvenlik farkındalığı ve kimlik avına karşı eğitim içerir, güvenlik ürünlerine kullanıcı geri bildirim kanalları ekler ve ortalama bir kişinin üzerine düşen güvenlik sorumluluğunu azaltmayı amaçlar. HCC yaklaşımını benimseyen şirketler için kritik olan araçlar arasında güvenlik izleme ve kullanıcı/varlık davranışı analitiği (UEBA) yer alır.
NIST’in Bilgi Teknolojisi Laboratuvarı HCC program lideri Julie Haney, HCC’nin yalnızca kullanıcı odaklı veya kullanıcı dostu güvenlik ürünleri aramanın ötesine geçtiğini söylüyor.
Haney, “Aslında asıl mesele, güvenliği tasarlarken ve uygularken insanları ön plana koymaktır” diyor. “Eğer o kişiyi düşündüğünüz yerde insan merkezli bir siber güvenliğe sahip değilseniz, o zaman kullanılamaz güvenlik çözümleriniz var demektir; bu nedenle insanlar hata yapmaya, riskli kararlar almaya veya daha az güvenli geçici çözümler uygulamaya daha yatkındır çünkü sadece bunu yapmaları gerekir işlerini halledin.”
Geçen ay NIST, güvenliğin nasıl daha etkili ve kullanıcı dostu hale getirilebileceğini tartışmak üzere uygulayıcıları, akademisyenleri ve politika yapıcıları bir araya getirmek için İnsan Merkezli Siber Güvenlik İlgi Topluluğunu (COI) başlattı.
İnsanlara Siber Güvenlik Gücü
Güvenliğin insani boyutuna odaklanan tek kuruluş devlet kurumu değil. İş zekası şirketi Gartner, büyük kuruluşların yarısındaki CISO’ların 2027 yılına kadar siber güvenlik için insan merkezli uygulamaları ve tasarımları benimsemesini beklerken, HCC kurumsal güvenlik ekiplerinin giderek daha fazla odak noktası haline geldi. Aslında Gartner, insan merkezli güvenlik tasarımını listeledi en iyi siber güvenlik trendi olarak geçen sene. Firma adını değiştirdi ancak güvenlik davranışı ve kültür programlarını (SBCP’ler) belirlemeye devam etti 2024’ün en önemli siber güvenlik trendi.
Güvenlik ekipleri konuşmayı bırakmalı en diğer işçiler ve bunun yerine konuşun ile Gartner’ın kıdemli baş analisti Victoria Cason, siber güvenlik odaklı bir kültür oluşturmak için onlarla birlikte çalıştıklarını söylüyor.
“İnsan merkezli bir yaklaşım benimsemek, cansız bir nesneyle karşı karşıya olmadığımızın farkına varmaktır” diyor. “Farklı davranışlara, farklı eylemlere, farklı ihtiyaçlara sahip bir insanla karşı karşıyayız ve onlara sadece ne yapmaları gerektiğini söylemek yerine, en iyi güvenlik uygulamaları söz konusu olduğunda gerçekten onların isteklerini, arzularını ve davranışlarını ele almaya çalışıyoruz.”
Gartner’ın SBCP’nin bir parçası olarak tanımladığı adımlar arasında tehdit simülasyonları yürütmek, kullanıcıların güvenli seçimler yapmasına yardımcı olmak için otomasyon ve veri analitiği eklemek, olası güvenlik olaylarını bildiren çalışanları ödüllendirmek ve SBCP etkisini göstermek için ölçümleri izlemek yer alıyor. SBCP’ye odaklanan şirketlerin neredeyse yarısı bu adımların her birini atıyor. Gartner verilerine göre.
Siber güvenliğin neden olduğu sürtüşmeleri en aza indirmek yalnızca şirketlerin güvenlik duruşunu iyileştirmekle kalmayacak, aynı zamanda geleneksel olarak çekişmeli bir işin getirdiği stresi de azaltacaktır. Gartner, siber güvenlik liderlerinin yarısının 2023 ile 2025 arasında iş değiştirmePozisyonlarından ayrılanların dörtte biri stres nedeniyle sektörü tamamen terk ediyor.
HCC: Devam Eden Bir Çalışma
Şu anda HCC için standart bir tanım bulunmuyor ve bu da NIST’in şirketlerin çalışanlarının güvenlik gelişimini nasıl daha iyi destekleyebilecekleri konusunda daha fazla araştırma yapılması için baskı yapmasının bir nedeni. HCC, genel olarak çalışanların siber güvenliğe ilişkin tutumlarını, eğitimlerini, güvenlik ürünlerinin kullanılabilirliğini ve politikaların oluşturulmasını içerir.
Biden yönetimi tarafından Aralık 2023’te yayınlanan en son “Federal Siber Güvenlik Araştırma ve Geliştirme Planı”, HCC’yi ulusun korunmasında bir öncelik olarak tanımlıyor. Planın benimsediği araştırma alanları arasında dijital teknolojilerin etkilerini ve güvenlik özelliklerinin nasıl doğrulanabileceğini belirlemeye yönelik modeller bulmak yer alıyor.
“Siber güvenlik gereksinimlerinin insanlar, kuruluşlar, topluluklar ve toplum üzerindeki yükünün azaltılmasına ve dijital teknolojilerin ve sistemlerin kullanılabilirliği ile kullanıcı deneyiminin iyileştirilmesine ihtiyaç var.” plan belirtiyor. “İnsan merkezli bilgi işlem yönleri üzerine yapılan araştırmalar, son kullanıcıların tasarım ve geliştirme sürecine erken dahil edilmesinin daha kullanışlı sistemler ve gelişmiş bir kullanıcı deneyimi yarattığını göstermiştir.”
Gartner, uygulamalar, etkiler, platformlar ve kolaylaştırıcıların kısaltması olan PIPE çerçevesi olarak adlandırdığı SBCP’leri uygulamaya yönelik kendi yaklaşımını geliştirdi.
Gartner’dan Cason, “Geleneksel farkındalık programlarının çoğu yıllık veya üç aylık eğitimlere dayanıyor ancak bu, davranışın temel nedenini ele almıyor” diyor. “Dolayısıyla, geleneksel bilgisayar tabanlı eğitim ve kimlik avı simülasyonunun ötesine geçerek, kimlik ve erişim yönetimi (IAM) veya güvenlik izleme gibi mevcut araçlardan ve yeteneklerden yararlanarak, hatta yapay zeka gibi yeni ortaya çıkan araçlara geçmek, etkileşimi ve verimliliği artırabilir.”
İş zekası firması Forrester’a göre, HCC’yi kapsayan en önemli ürün kategorisi, güvenlik farkındalığı ve eğitim pazarının uyarlanabilir insan korumasını ekleyen bir evrimi olan insan risk yönetimi olabilir. Birçok güvenlik farkındalığı eğitim programının onay kutusu uyumluluğunun aksine, insani risk yönetimi, çalışanları olumlu bir şekilde eğitmeye ve aynı zamanda onların eylemlerinden kaynaklanan riski azaltmaya odaklanır. Şubat ayında yayınlanan bir Forrester notuna göre.
Çalışanlar Siber Güvenlik Konusunda Endişeleniyor
Çoğunlukla işçiler, işletmenin korunmasındaki kritik rolün bilincindedir. Bir sonraki ihlalin sebebinin kendileri olabileceğinden endişeleniyorlar; çalışanların üçte biri (%34) kuruluşlarını savunmasız bırakacak bir eylemde bulunabileceklerinden endişe ediyor. Danışmanlık şirketi Ernst & Young’ın 1.000 işçiyle yaptığı anket.
NIST’ten Haney, şirketlerin bu kullanıcılarla birlikte çalışması ve onları desteklemekte başarısız olup bir şeyler ters gittiğinde onları suçlamak yerine bu endişeleri üretken eylemlere yönlendirmenin yollarını bulması gerektiğini söylüyor.
“Biri bu kimlik avı bağlantısına tıklarsa, kuruluşlar tüm suçu çalışanın üzerine yıkma eğilimindedir, ancak aslında tüm prosedürle ilgili şeylerin, süreçle ilgili şeylerin, yanlış giden insanlarla ilgili şeylerin zincirini araştırmıyorlar. Bundan önce organizasyon” diyor. “Bu sadece zincirin sonundaki kişinin hatasıyla ilgili değil; genellikle bundan önce ters giden birçok şey var.”
Siber güvenlik profesyonelleri, kullanıcıları düşman veya en zayıf halka olarak etiketlemeyen bir kültür ve zihniyet geliştirmeye çalışmalıdır. Kullanıcılarla konuşmak, güvenliğin uygulanma biçimindeki sorunları ortaya çıkarabilir, kullanıcılara sorunları bildirme yetkisi verilmesi ise sorunların daha erken tespit edilmesini sağlayabilir.
Son olarak, insan risk analizi hizmetleri gibi ürünlerin ortaya çıkışı dikkatli bir şekilde ve doğru beklentilerle benimsenmelidir. Tekrarlanan hatalar yapabilen kullanıcıları takip etmek yararlı olabilir ancak cezalandırıcı olmamalıdır; Haney, bunun yerine yaklaşımın güvenlik ekiplerini prosedürle ilgili sorunlar hakkında bilgilendirmesi veya ek eğitim fırsatları olasılığını artırması gerektiğini söylüyor.
“Veriler faydalı olabilir ancak insanları etiketlememeye gerçekten dikkat etmelisiniz. [as] kötü bir çalışan ya da güvenlik konusunda kötüler ve bu da güvenlik konusunda iyi olan bir kişi” diyor ve şöyle devam ediyor: “Yani yürümeniz gereken ince bir çizgi var.”