Yazan: Roy Zur, ThriveDX Enterprise CEO’su
Gartner bu yılın başlarında siber güvenliğin geleceğinin işletmelerin faaliyet göstermesine ve gelir elde etmesine yardımcı olan kişilerin yani çalışanların elinde olduğunu belirten bir rapor yayınladı. Aslında raporun bir numaralı öngörüsü, 2027 yılına kadar dünya genelindeki CISO’ların en az %50’sinin resmi olarak insan odaklı bir yaklaşımı benimseyeceği yönünde. Çalışanlar kurumsal güvenlik açısından en büyük riski oluşturduğundan bu hiç de şaşırtıcı değil ve Gartner’ın araştırması, çalışanların %90’ından fazlasının şirketlerinin siber riskini artırdığını bildikleri eylemlerde bulunduğunu kabul ettiğini gösteriyor.
Güvenlik liderleri, etkili bir siber güvenlik stratejisinin uygulanması söz konusu olduğunda uzun süredir teknoloji ile insan unsuru arasındaki dengesizlikle boğuşuyor. Bunu değiştirmenin anahtarı, farkındalığın ötesine geçerek, insan faktörlü güvenliğe yeniden odaklanarak, kuruluş içinde her düzeyde bir güvenlik kültürü oluşturmaktır.
Bunu başarıyla uygulamak için aşağıdaki ipuçlarından başlayarak birkaç adım vardır.
Yukarıdan aşağıya bir güvenlik kültürü geliştirin.
Zihniyeti ve becerileri değiştirmek için teknoloji ve kültürü birleştiren kapsamlı bir program, insan faktörlü güvenliği ele almanın anahtarıdır. Bu, her ekip üyesinin hangi güvenlik politikalarının ve kontrollerinin mevcut olduğunu ve hangi tehditlerle karşılaşacağını bilmesini sağlamak için üst düzey yöneticilerden başlayarak tüm seviyelerde eğitim, öğretim ve “farkındalığın ötesinde” zihniyet ile başlar. Siber güvenliği her zaman akıllarında tutmak için tüm çalışanlara düzenli eğitim, test ve daha fazla temas noktası verilmelidir. İnsan faktörlü güvenliğe odaklanmak, çalışanların siber güvenlik becerilerine güven duymasını sağlamanın ve sonuçta insan risklerini ve siber tehditleri azaltmanın tek yoludur.
İşe yarayan öğrenme süreçleri oluşturmak için güvenlik farkındalığının ötesine geçin.
Şimdiye kadar çoğu kuruluş, en azından uyumluluk gereksinimlerini karşılamak için bir tür güvenlik farkındalığı programına sahiptir. Ancak çalışanları birkaç ayda bir bir araya getirerek güvenlik prosedürleri listesini gözden geçirmek yeterli değildir. Kuruluşlar, çalışanlarını aktif öğrenme süreçlerine dahil etmeye çalışmalı, onların günlük işlerinde siber güvenlikle ilgili en iyi uygulamaları içselleştirmelerine ve uygulamalarına yardımcı olmalıdır. Eğitimler düzenli ve plansız olmalı ve çalışanların günlük işlerinde karşılaşabilecekleri siber risklere ilişkin eğitimleri içermelidir. Her güvenlik uzmanının nihai hedefi, her çalışanın güvenlik farkındalığı ve eğitimi konusunda desteğini almak, tüm ekibin esas olarak kuruluş içinde insani bir güvenlik duvarı oluşturduğu, tehditleri tanımladığı ve saldırıları önlediği bir kültür yaratmaktır. Genel güvenlik farkındalığı eğitimi tam tersini yapar. Uyumluluk kutusunu işaretlemekten başka bir işe yaramaz ve güvenlik kültürünüze zarar verme potansiyeline sahiptir. İnsan faktörlü güvenlik, farkındalığın ötesine geçer ve çalışanları dahil ederek ve güvenlik farkındalığı eğitimlerini onların ihtiyaçlarına göre özelleştirerek güçlü bir güvenlik kültürü oluşturur.
Kuruluş içindeki her rol için özel eğitim uygulayın.
Güvenlik eğitimi söz konusu olduğunda tek beden herkese uymaz. Örneğin, pazarlama ekibinizdeki teknik olmayan çalışanlar, geliştirme ekibindeki geliştiriciler veya mühendislerle aynı güvenlik becerisine, becerilere veya eğitim gereksinimlerine sahip olmayacaktır. Ayrıca farklı türde iletişimler alırlar ve farklı türde siber saldırılarla karşılaşma olasılıkları yüksektir. Eğitim, teknik olmayan çalışanlardan BT ekibi üyelerine, mühendislere, DevOps’a, geliştiricilere ve güvenlik uzmanlarına kadar kuruluştaki her role uyacak şekilde özelleştirilmelidir. Göreve özel eğitim sağlayarak çalışanlar kendilerini ve kurumu korumak için ihtiyaç duydukları siber güvenlik becerilerini geliştirebilirler.
Güvenli kod ve uygulama güvenliği eğitimlerini unutmayın.
Özel bir güvenlik farkındalığı eğitim programı oluştururken güvenli kodun ve AppSec eğitiminin önemini unutmayın. Geliştiricilerin ve mühendislerin, oluşturdukları yazılım ve uygulamaların potansiyel siber tehditlere karşı dayanıklı olmasını sağlamaları son derece önemlidir. Etkili güvenli kod eğitimi, kuruluşunuzdaki geliştiricilerin siber suçluların niyetlerini anlamalarına, kodlarındaki güvenlik açıklarını belirlemelerine ve kuruluşu gelecekteki saldırılara karşı korumalarına yardımcı olur.
Son olarak, kuruluş çapında sürekli eğitim ve öğretim girişimleriyle birlikte bir yönetici çalıştay programı oluşturun.
Üst düzey yöneticiler tüm organizasyonun gidişatını belirliyor, bu nedenle siber güvenliğin en iyi uygulamaları konusunda bilgili olmaları çok önemli. Yönetici çalıştayları, tepeden başlayarak organizasyonun her düzeyine yayılan bir güvenlik kültürünün oluşturulmasına yardımcı olabilir. Ayrıca kuruluş genelinde tutarlı, olumlu siber hijyen alışkanlıkları oluşturmak için düzenli bir eğitim programı da büyük önem taşıyor. Bu, etkili iletişimle birleştiğinde insan riskini azaltır ve sonuçta siber tehditleri azaltır. İyi uygulamaları sürekli olarak güçlendirerek ve çalışanları bilgilendirerek, kendilerini ve kurumu korumak için daha donanımlı olacaklardır.
Gartner’ın raporunun ışığında, siber güvenliğe insan odaklı bir yaklaşımı benimsemek hiç bu kadar kritik olmamıştı. Kuruluşlar, insan faktörlü güvenliğe odaklanarak ve yukarıdan aşağıya güvenlik odaklı bir kültürü teşvik ederek çalışanların siber güvenlik becerilerine olan güvenini artırabilir ve sürekli gelişen tehditler karşısında daha güvenli bir ortam yaratabilir. Bunu başarmak, kalıcı bir etki yaratmak için hem zihniyetleri hem de becerileri dönüştüren teknoloji ve kültürel değişimin bir kombinasyonunu gerektirir.
yazar hakkında
Seri girişimci Roy Zur, dijital beceri eğitimi ve çözümleri aracılığıyla hayatları dönüştürmeye kendini adamış küresel eğitim şirketi ThriveDX’in Kurumsal Bölümü’nün CEO’sudur. Ağustos 2021’de ThriveDX, Cybint Solutions’ı satın aldı ve burada şirketi 2014’te kurduğundan beri CEO olarak da görev yaptı. Roy, İsrail Savunma Kuvvetleri’nin övülen Birimi 8200’de Binbaşı olarak görev yaptığı 15 yıllık bir emektardır. Siber güvenlik eğitiminde şu anda tehdit ortamında 1 numaralı güvenlik açığı olan “insan faktörünü” ele alma tutkusunu erkenden edindi.
Roy, ThriveDX’in Kurumsal Bölümü’nün vizyonunu yönlendirmenin yanı sıra, İsrail’deki IDC Herzliya’da siber güvenlik alanında risk yönetimi alanında yardımcı profesör olarak görev yapmaktadır. Aynı zamanda kar amacı gütmeyen İsrail Politika ve Mevzuat Enstitüsü’nün Kurucusu ve Başkanıdır ve Forbes İş Konseyi’nin üyesidir.
Roy’a [email protected] ve https://www.linkedin.com/in/royzur/ https://www.squadhelp.com/ adresinden çevrimiçi olarak ulaşılabilir.