Kimlik Avına Karşı Koruma, DMARC , İş E-postası Güvenliği (BEC) , CISO Eğitimleri
Andy Rose •
15 Mart 2023
CISO’lar son yıllarda geniş ve çeşitli zorluklarla karşılaştı. Uzak ortamlar, giderek karmaşıklaşan tehditler ve genişleyen tedarik zincirleri, onları geceleri ayakta tutan pek çok endişeden sadece birkaçı.
Bununla birlikte, kapsamlı anketler veya bire bir görüşmeler sırasında CISO’larla etkileşimde bulunulurken bir sorun yaygınlığını koruyor: insan faktörü.
Benzer şekilde, Proofpoint’in 2022 Yönetim Kurulu Perspektif Raporu, yönetim kurulu üyelerinin üçte ikisinden fazlasının en büyük siber güvenlik açığının insan hatası olduğuna inandığını ortaya koydu. Bildirilen siber saldırıların %82’si insan unsurunu içerdiğinden, böyle hissetmek için iyi sebepleri var.
Bununla birlikte, pandemi birçok siber güvenlik sorununa neden olurken, insan faktörü riski üzerinde net bir pozitif etki yapmış olabilir. Uzun yıllardır uzaktan veya hibrit olarak çalıştıkları için çoğu CISO, çalışanlarının kurumlarını siber tehditlere karşı korumada oynadıkları rolü daha iyi anladığına inanıyor.
Böylesine zor bir dönemden sonra gelen herhangi bir olumlu haberin kutlanması gerekirken, CISO’larla yapılan görüşmeler, çalışanlarımızın güvenilir bir siber savunma hattı olarak rollerini oynamak için tam donanımlı hale gelmesi için daha kat edilmesi gereken çok yol olduğunu gösteriyor.
Hibrit çalışma ve insan savunması
CISO Voices podcast’inin yakın tarihli bir bölümünde Amerika Kanser Tedavi Merkezlerinden Kate Mullin, hibrit çalışmanın insan merkezli güvenlik üzerindeki etkisini tartıştı.
Kate, daha yaygın uzaktan çalışmanın bir sonucu olarak siber güvenlik farkındalığının gelişmiş olabileceğini kabul ederken, ev kurulumlarının altyapısının kendi güvenlik endişelerini de beraberinde getirdiğini ekliyor.
“Riskler değişti. İnsanların akıllı evlere çok para harcadıkları yerlerde bile bu yeterli değil. Çünkü cihazlarınızı güvence altına almış olabilirsiniz, ancak bana bağlandığınızda bir VPN’de değilseniz, üzgünüm ama güvenli olmayan bir ağ kullanıyorsunuz.
Uzaktan kurulumlar, sektörler genelinde CISO’ların karşı karşıya olduğu artan görevlere katkıda bulunan birçok yeni gelişmeden yalnızca biridir, diye devam ediyor Kate:
“İnsan tarafı bizim en büyük zayıflığımız. Büyük istifa, yüksek ciro veya erken emeklilik nedeniyle olsun, insan hatası çok büyük bir risktir.
Hollandalı fintech Tinka’nın CISO’su Daniela Almeida, Proofpoint’in CISO Voices podcast serisindeki uzun metrajlı yazısında çevredeki insanların kuruluşlar için zayıf bir nokta olabileceğini kabul ediyor. Ancak, zaman ve çaba ile bunun bir güç haline gelebileceğine inanıyor:
“Kullanıcıları en zayıf halka yerine en güçlü halka olarak görme eğilimindeyim çünkü hatalar önlenebilir. Riskleri anlarlarsa ve saldırganların onlara nasıl ulaşmak istediğini görürlerse, onları etkili bir savunma olmaları için eğitebilirsiniz.”
İnsanların sorununu çözmek
İnsanlar yüksek oranda hedeflenmiş saldırılara karşı şüphesiz güçlü bir savunma hattı olabilirken, bu bariyeri inşa etmek hem zaman hem de para yatırımı gerektirir. Yalnızca gelişmiş araçlar ve kontrollerde değil, şirket çapında güvenlik bilincinde.
Önde gelen fintech CISO Todd Wade, Proofpoint’in CISO Voices podcast serisiyle ilgili öne çıkan tartışmasında bu yaklaşıma değindi. Todd, bir kuruluşun her düzeyine nüfuz eden bir güvenlik kültürü oluşturmanın kişisel bir dokunuş gerektirdiğine inanıyor:
“İnsanlara aileleri ve kendileri için siber duruşlarını nasıl geliştireceklerini öğretebilirseniz, bu onlarla daha iyi bağlantı kurar ve aynı alışkanlıklar işyerine de taşınır…
Onların dilinde konuşmak zorundasın. Yalnızca güvenlik ekibi değil, tüm şirket güvenlikten sorumlu ve işbirlikçi bir ilişki kurmanız gerekiyor.”
Son olarak, sektördeki herkesin gayet iyi bildiği gibi, siber güvenlik insan kaynaklı başka bir sorunla karşı karşıyadır: beceri açığı. Proofpoint’in Başkan Yardımcısı ve Küresel CISO’su Lucia Milică Stacy, geleceğe uygun güvenlik bilincine sahip kuruluşlar oluşturma konusunda ciddiysek, kuruluşların bu yönde aynı derecede çaba sarf etmesi gerektiğine inanıyor:
“Sektörde hala oldukça önemli bir beceri eksikliği görüyoruz. Kuruluşların işe alma ve dahil etme programlarını ve işlerin nasıl ve nerede ilan edileceğine ilişkin iş tanımlarını yeniden düşünmesi gerekiyor, böylece doğru yerlerde yetenek aradığımızdan emin olabiliriz.”
Daha fazlasını duymak ister misin?
Kate, Daniela, Todd, Lucia ve daha fazla CISO’yu kendi sözleriyle dinlemek için altı bölümlük CISO Voices podcast serimizi dinleyin. Veya daha fazla siber güvenlik araştırması, içgörü ve kaynak için Proofpoint’in özel CISO Merkezi’ne gidin.