İnsan Güvenlik Duvarını Güçlendirmek: Siber Savunmanın Temeli
Yazan: Michael Cocanower, CEO, AdviserCyber
DEA’lar ve Profesyoneller için Gelişen Siber Güvenlik Ortamı
Kayıtlı Yatırım Danışmanları (RIA’lar) ve alanda çalışan siber güvenlik uzmanları için, sürekli değişen siber güvenlik ortamında gezinmek, sürekli ve gelişen bir yolculuktur. Yaklaşan SEC siber güvenlik düzenlemeleriyle daha da karmaşık hale gelecek olan bir durum.
Bu gelişen düzenlemeler, güvenlik protokollerinin düzenli olarak test edilmesi de dahil olmak üzere sürekli siber güvenlik eğitimi ihtiyacını vurgulamaktadır. Böyle bir taahhüt, yalnızca uyumluluk açısından değil, aynı zamanda derin siber güvenlik farkındalığının bir kuruluşun operasyonlarının yapısına yerleştirilmesi açısından da hayati öneme sahiptir. Siber güvenliğin karmaşıklığı konusunda daha fazla eğitim, yalnızca dış tehdit olasılığını azaltmakla kalmayacak, aynı zamanda iş gücünün, çalışanların ihmali ve yetkisiz cihaz veya yazılım kullanımı gibi iç tehditleri tanımasına da olanak tanıyacaktır.
Tüm bu eğitimin anahtarı proaktifliktir. Bir çeşit ihlal yaşayana kadar beklemeyin. Bu makalede hem mevcut hem de önerilen SEC düzenlemeleriyle uyumlu strateji ve yaklaşımları inceleyeceğim.
Siber Güvenlik Zorluklarını Eğitim Fırsatlarına Dönüştürmek
Proofpoint’in 2023 Kimlik Avı Durumu Raporu, kuruluşların %84’ünün 2022’de en az bir başarılı kimlik avı saldırısı yaşadığını ortaya çıkardı ve bu da iyileştirilmiş siber güvenlik önlemlerine yönelik kritik ihtiyacın altını çizdi. Büyüyen bu tehdide yanıt olarak ve SEC’in raporlamaya ilişkin önerilen düzenlemesi uyarınca, DEA’ların güvenlikteki herhangi bir ihlali açıklaması gerekli olabilir. Bir ihlalin ifşa edilmesi nedeniyle olası itibar zararını önlemek ve uyumluluğu sağlamak için kuruluşların kapsamlı eğitim programları geliştirmesi ve siber güvenlik eğitimi ve kimlik avı testlerine yönelik sağlam bir yaklaşım benimsemesi gerekir; bu, onları giderek daha karmaşık hale gelen siber tehditlere karşı korumaya daha iyi hazırlayacaktır.
Bu pratikte neye benziyor? Kimlik avı simülasyonuyla karşılaşmak gibi siber güvenlik sorunlarının nasıl algılandığına dair perspektifte önemli bir değişiklik yapılması gerekiyor. Bir çalışanın kimlik avı simülasyonunu fark etmedeki başarısızlığını bir başarısızlık olarak görmek yerine, tüm ekibin gelecekte benzer girişimleri nasıl tespit edeceğini öğrenebilmesi için bu, tüm kuruluşla paylaşılabilecek değerli, etkileşimli bir öğrenme fırsatı olarak benimsenmelidir.
RIA’lar, her siber güvenlik sorununu öğretilebilir bir ana dönüştürerek, sürekli öğrenmenin yalnızca teşvik edildiği değil aynı zamanda her çalışanın mesleki gelişiminin ayrılmaz bir parçası olduğu bir ortam yaratır. Bu yaklaşım, sürekli iyileştirme taahhüdünü gösterir ve siber güvenlik protokollerinde dikkatli olmanın ve sürekli eğitimin önemini vurgulayarak çalışanları risk yönetimi uygulamalarına aktif olarak dahil eder.
Siber güvenliğin dinamik dünyasında, özellikle DEA’lar ve bu alandaki profesyoneller için, bilgili ve uyarlanabilir bir iş gücü yetiştirmek yalnızca başlangıçtır. Siber tehditler geliştikçe onlarla mücadele stratejilerimiz de gelişmelidir. Bu, düzenli entegre eğitim oturumları ve testler gibi daha proaktif önlemleri uygulamak için temel eğitimin ötesine geçmek anlamına gelir. Bu adımlar, ekiplerin yalnızca gelecekteki zorluklarla başa çıkmak için iyi donanıma sahip olmalarını sağlamakla kalmayıp, aynı zamanda en son düzenleyici gerekliliklerle uyumlu kalmalarını sağlamak için de önemlidir. Bu proaktif yaklaşım, kimlik kimliğine bürünme ve hedef odaklı kimlik avı gibi kişisel ilişkileri ve güveni güçlendiren gelişmiş siber tehditlerle mücadelede çok önemlidir.
Siber güvenliğin karmaşıklıklarını daha derinlemesine araştırdıkça, bu karmaşık tehditlere karşı dayanıklı bir savunma oluşturmak için çok yönlü bir stratejinin gerekli olduğu açıkça ortaya çıkıyor.
Gelişmiş Siber Tehditlerle Mücadele
Kimlik kimliğine bürünme ve hedefe yönelik kimlik avı, siber suç cephaneliğindeki gelişmiş taktikleri temsil eder ve tüm işletmelerin temelini oluşturan kişisel ilişkilerden ve güvenden yararlanır. İş arkadaşları ve iş ortaklarından gelen iletişim ve taleplerin rutin olduğu bir iş ortamında, saldırganlar bu güvenden yararlanır. Yapay zeka teknolojisinin hızla gelişmesiyle birlikte siber suçlular artık daha ikna edici kimlik avı saldırılarına ulaşmak için daha kolay bir yola sahip. Bu güvenlik açığının farkında olan düzenleyici kurumlar, finansal kuruluşların önemli siber güvenlik olaylarını gizli bir şekilde raporlamasını talep edecek ve bu karmaşık tehditlere karşı koymak için kapsamlı ve sürekli eğitimin kritik öneminin altını çizecek (rutin eğitim oturumları ve kimlik avı simülasyon testleri dahil geniş eğitim girişimleri) çalışanların donatılmasında hayati önem taşıyor Bu tehditleri belirleme ve bunlara karşı koyma ve bir kuruluşun karmaşık siber düşmanlara karşı savunmasını güçlendirme becerilerine sahip.
Artan eğitim girişimlerinin yanı sıra kuruluşlar, proaktif tanımlama, ayrıntılı analiz ve siber risklerin stratejik yönetimi gibi belirli önleyici tedbirlere adanmış bir güvenlik kültürünü besleyerek ve cephaneliklerine gerçek zamanlı algılamayı ekleyerek sürekli gelişen dijital tehditlere karşı dayanıklılığı artırabilir. Bu, savunma önlemlerinin kritik bir tamamlayıcısı olarak siber güvenlik çabalarının ayrıntılı kayıtlarının tutulması ihtiyacını vurgulamaktan ibarettir. Bu yaklaşım kuruluşların salt uyumluluğun ötesine geçmesine yardımcı olur; ileriye dönük bir siber güvenlik duruşu geliştiriyorlar.
İnsan Unsuru ve Eğitim Etkinliğinin Ölçülmesi
Siber güvenlik eğitim programlarının etkinliği, kimlik avı tıklama oranları ve eğitimin tamamlanma oranı gibi çeşitli ölçümlerle ölçülebilir. Bu veri noktaları, bir siber güvenlik programının erişimine ve anında etkisine dair somut kanıtlar sunar. Finans alanında bu ölçütlerin karşılanamaması, finansal kaynaklara yönelik riski önemli ölçüde artırır. Ancak başarının nihai barometresi, çalışanlar arasında siber güvenlik riskinde somut bir azalmaya yol açan sürekli davranış değişikliğinde yatmaktadır.
Bir iş gücündeki davranış değişikliğini ölçmek için yöneticilerin, çalışanların siber güvenlik politikalarına ve uygulamalarına bağlılığını uzun bir süre boyunca düzenli olarak izlemesi gerekecektir. Yöneticilerin etkili gözlem ile çalışanların mahremiyetine saygı gösterme ve olumlu bir çalışma ortamı sürdürme arasında bir denge kurmaları gerektiğini unutmamak önemlidir. Amaç bir korku iklimi yaratmak değil, siber güvenlik farkındalığına derinlemesine kök salmış bir organizasyon kültürünü geliştirmektir.
Bu yaklaşım, kuruluşların genel güvenlik duruşuna katkıda bulunabilecek, iyi bilgilendirilmiş bir iş gücünü savunur ve uyumluluk ve ötesi için bir plan önerir. Bir kuruluş içindeki bireyleri bilinçli kararlar alma, aldatıcı taktikleri tanıma ve potansiyel siber güvenlik tehditleriyle karşı karşıya kaldıklarında uygun eylemi gerçekleştirme konusunda güçlendirmeye hizmet eder ve böylece dinamik bir siber güvenlik kültürünü geliştirmeye birkaç adım daha yaklaşırlar.
Dinamik Bir Siber Güvenlik Kültürü Geliştirmek
Siber güvenlik eğitimi ve kimlik avı testine yönelik sağlam bir yaklaşım, sürekli iyileştirme ve risk yönetimine aktif katılım konusundaki kararlılığı yansıtmalıdır. Statik politikalardan dinamik, kültür odaklı bir savunma stratejisine geçiş, ancak bir firmanın tüm üyelerinin siber güvenliğe eşit şekilde öncelik vermesiyle mümkün olabilir. En iyi stratejilerden biri, ağ cihazlarının ve yazılımlarının envanterinin çıkarılmasını, saldırı yüzeyini en aza indirmek için gereksiz bileşenlerin ortadan kaldırılmasını ve gelişen güvenlik tehditlerini karşılamak ve operasyonel verimliliği artırmak için bu öğeleri sürekli olarak uyarlamayı ve kolaylaştırmayı içeren sistemleri ve yapılandırmaları aktif olarak yönetmektir.
Siber güvenlik farkındalığını şirket içinde entegre etmek temel olsa da, tehditlerin karmaşıklığı ve çok yönlülüğü çoğu zaman savunmaları güçlendirmek için dış uzmanlıktan yararlanmayı, potansiyel güvenlik açıklarının önünde kalmak için kritik önem taşıyan yeni içgörüler ve özel beceriler sağlamayı gerektirir.
Mandiant’ın M-Trends 2023 raporuna göre, 2022’de kuruluşların %63’üne dış kuruluşlar tarafından gerçekleştirilen ihlaller bildirildi; önceki yıla göre bu oran %47’ye göre artış gösterdi; bu da daha fazla şirketin siber güvenlik uzmanlığı için dış ortaklara güvendiği anlamına geliyor. Dışarıdan siber güvenlik uzmanlarıyla etkileşime geçmek, finans gibi sektörler için kritik önem taşıyan siber tehditlerin sürekli değişen ortamına uygun, tarafsız bir bakış açısına ve sürekli yenilenen bir yaklaşıma olanak tanır. Bu düzeydeki dikkat ve hazırlık yalnızca uyumluluk standartlarının karşılanmasıyla ilgili değildir; iş esnekliğinin ayrılmaz bir parçası olarak siber risklerin tanımlanmasına, analiz edilmesine ve yönetilmesine öncelik veren ihtiyatlı bir güvenlik kültürünün teşvik edilmesiyle ilgilidir.
Siber Savunmanın Temel Taşı
Kapsamlı bir siber güvenlik araçları ve uyumluluk danışmanlığı paketi, siber tehditlere karşı güçlü bir savunma oluşturur. Ancak asıl temel taşı, çalışanların tutarlı eğitim ve kimlik avı testleri yoluyla güçlendirilmesinde yatmaktadır. Bu tür bir yetkilendirme çok önemlidir, çünkü her ekip üyesini organizasyonun dijital sınırlarının dikkatli bir koruyucusuna dönüştürür. SEC’in siber güvenlik risk yönetimine ilişkin gelişen düzenlemeleri, bu yetkilendirmenin kritik niteliğinin altını çiziyor. Teknolojinin güçlü bir müttefik olmasına rağmen insan unsurunun yeri doldurulamaz olduğunu hatırlatıyorlar. Bu insan güvenlik duvarının güçlendirilmesi tek seferlik bir olay değil, sürekli bir süreçtir. Siber güvenliğin bu yönünü güçlendirmek için ideal zaman geçmişteydi ve ikinci en iyi zaman da şimdi; bu, sektörün operasyonel bütünlüğü korumak için değişen düzenleme ve siber tehdit ortamlarına uyum sağlaması gereken aciliyeti yansıtıyor.
yazar hakkında
Michael Cocanower, Kayıtlı Yatırım Danışmanlarına (RIA’lar) hizmet veren Phoenix merkezli bir siber güvenlik danışmanlığı olan AdviserCyber’ın kurucusu ve icra kurulu başkanıdır. Arizona Eyalet Üniversitesi’nden finans ve bilgisayar bilimleri diploması almış olup, BT sektöründe 25 yıldan fazla çalışmıştır. Tanınmış bir yazar ve konu uzmanı olan Michael, hem Yatırım Danışmanı Sertifikalı Uyum Uzmanı hem de Sertifikalı Etik Hacker olarak sertifikalar kazandı. Önde gelen uluslararası yayınlarda sıklıkla adı geçen kendisi, Uluslararası Microsoft Sertifikalı Ortaklar Birliği’nin Amerika Birleşik Devletleri Yönetim Kurulu’nda ve aynı kuruluşun Uluslararası Kurulu’nda uzun yıllar görev yaptı. Ayrıca Microsoft Altyapı İş Ortağı Danışma Konseyi’nde görev yaptı.