Ne zaman bir şirkete saldırılsa, insanlar defalarca şunu söylüyor: “Kimlik avı yaptılar. Farkındalık eğitimi yaptılar mı? Yaptılar mı? Birisi yine de tıkladı, yani bu açıkça başarısız oldu.” Sonra şöyle devam ediyorlar: “Ah, insanlar berbat; farkındalık eğitiminin hiçbir değeri yok; teknolojiyi iki katına çıkarmamız gerekiyor.”
Bu konuşmada tamamen gözden kaçırılan şey, o e-postanın ilk etapta bir insana ulaşması için nüfuz etmesi gereken teknoloji katmanlarının sayısıdır. Tıklama gerçekleştikten sonra bile tehdidin kök salmasına izin vermek için kaç teknoloji katmanının başarısız olması gerekiyordu? İhlal edilen güvenlik duvarının kaldırılması konusunda da aynı şeyi söyleyebilirler mi? Başarısız olan uç nokta tespiti hakkında mı? Güvenli e-posta ağ geçidi mi? HAYIR.
Peki bu konuşmayı, bu ya hep ya hiç güvenlik farkındalığı eğitimi döngüsünde insanlardan vazgeçmekten, insanların on yıllardır yeterince yatırım yapılmayan güvenlik yığınında bir katman (kritik bir katman) olduğunun farkına varmaya nasıl değiştirebiliriz? ?
İşte cevap: Organizasyon içinde dayanıklılık oluşturmada önemli bir dişli olarak insan katmanını kullanın. Basiretli güvenlik liderleri, tıpkı güvenlik yığınının herhangi bir teknik katmanında yaptığımız gibi, bu katmanı tam potansiyeline kadar inşa etmeye, analiz etmeye ve izlemeye, güçlendirmeye ve her şeyden önce başarısızlıklarından ders almaya çalışacaklardır.
Güvenlik Farkındalığı ve Güvenlik Kültürü
Güvenlik farkındalığı eğitimi ve güvenlik kültürüyle ilgili tartışmalarda bir sorun var. İki fikir sıklıkla birleştirilir. Kavramlar birbiriyle bağlantılı evet ama aynı değiller. Pek çok kişi güvenlik kültürünü tehditlerin “farkında olmak” ve bunlara nasıl yanıt verileceği olarak tanımlıyor.
Evet, farkındalık güçlü bir güvenlik kültürü oluşturmanın kritik bir unsurudur, ancak bu sadece bir bulmacanın parçası. olmanın farkına varmak önemlidir. farkında olmak aynı değil önemseme. Güvenliği bilmek, kafa bilgisi dışında hiçbir şeyi garanti etmez… ve bu bile onların öğrendikleri bilgileri hatırlayacaklarını ve bu bilgileri doğru bağlamda yorumlayacaklarını varsayar.
Bunu onların bakış açısıyla düşünün. Güvenlikle ilgisi olmayan profesyoneller neden şirketlerinde güvenliğe önem vermeli? Zaten dolu bir tabakları varken neden bu ek sorumluluğu üstlensinler ki?
İşte tam bu noktada güvenlik kültürü devreye giriyor. Konuşmanın basit farkındalıktan bir organizasyonun kültürünün kapsamına geçmesi gerekiyor. Kültürü, insanların dahil olduğu fikirler, inançlar, davranışlar ve bilgilerle ilgili olarak tüm bir organizasyonun temel dayanağı olarak tanımlıyorum. Başka bir deyişle, insanların nasıl hareket ettiği ve işletme içinde işleyen sistemleri nasıl desteklediği. Bir kuruluşun güvenlik kültürü güçlüyse, şunları içerir: ortak sorumluluk. Bu da bir topluluğun beslenmesine yardımcı olur.
Güçlü Bir Güvenlik Kültürü Nasıl Oluşturulur?
Güvenlik eğitimi ve simülasyon programlarını oyunlaştıran bir kuruluşu ele alalım; kuru, eski farkındalık eğitimlerini sağlıklı rekabete dönüştüren, çalışanların sosyalleşmesine olanak tanıyan bir organizasyon. Çalışanlar, en iyi kimlik avı yakalayıcısı olmak için rekabet edebilir. Veya, daha da iyisi, kimlik avı raporlamasını bir sonraki seviyeye taşıyan bir kuruluşa ne dersiniz: Bir çalışan şüpheli bir kimlik avını bildirir, güvenlik ekibi bunun gerçek bir tehdit olduğunu onaylar ve bu tehdidi diğer tüm posta kutularından kaldırır veya onun yerine geçen araçları kullanır. E-postanın arındırılmış, eğitim sürümüyle gerçek bir kimlik avı. Tehdidi bildiren çalışan, kuruluşu korumuş ve diğer çalışanların doğrulanmış bir tehdide karşı aşılanmasına yardımcı olmuştur.
Bu artık bir oyun değil; çalışanlar, bir çalışanın kurumu korumada yaratabileceği etkiyi görüyor. Çalışanlar başarılarını çalışma arkadaşları ve yöneticileriyle paylaşırlar. Gurur duyuyorlar. Bu bir oyun haline gelir ve eğlenceye dönüşür. Artık halk fazlasıyla bilinçli. Onlar bakım.
Güvenlik kültürüyle, daha geniş bir kuruluş genelinde belirli davranış kalıplarını ve inanç sistemlerini etkilemek ve oluşturmak istersiniz. Siber tehditlere karşı dayanıklılık oluşturmak istiyorsunuz. Güçlü bir güvenlik kültürü oluşturmanın doğal sonucu, kuruluşun güvenlik yığınında ek bir katmana sahip olmasıdır. Ve bunda çok önemli bir şey var.
Ancak insan savunma katmanı oluşturmak tek seferde yapılacak bir şey değil. Diğer tüm katmanlar gibi (uç nokta algılama, güvenlik duvarları, e-posta ağ geçitleri ve daha fazlası) insan katmanınızın da gelişebilmesi ve sürekli değişen siber tehdit ortamına ayak uydurabilmesi gerekir. Başarısızlıklar olacak ve güvenlik açıkları olacak. Bu, bundan asla vazgeçmeniz gerektiği anlamına gelmez.
İnsan Unsurunu da İçeren Eksiksiz Güvenlik Yığını Geliştirin
Güvenlik duvarıyla ilgili bir sorun olduğunda, onu yeniden inşa etmek, neyin yanlış gittiğini öğrenmek ve bunun tekrar olmasını önlemek için yatırım yapar ve enerji harcarsınız. Güvenliğin insan tarafının da teknoloji tarafı kadar zamanla gelişmesi gerekiyor.
Yani cevap var.
Kuruluşunuzdaki çalışanların sürekli olarak kötü bağlantılara tıkladığı güvenlik yığınındaki insan katmanınızda bir sorun varsa, kızmayın ve cezalandırmayın. Başarısızlıklardan ders alın ve onlara karşı kendinizi güçlendirin. Sadece güvenlik farkındalığı eğitimi vermeyin; güvenlik kültürünü geliştirin.
Nasıl? İyi davranışları ödüllendirin ve (mümkünse) cezalandırmaktan kaçının. Çok çeşitli eğitim içeriğiyle etkileşimi artırın. Sağlıklı rekabeti teşvik edin. Eğlenceli hale getir. İlgilenmelerini sağlayın, ve orada ona sahip olacaksın. Güçlü bir güvenlik kültürü, hepsi de kusurlu veya kusurlu olma potansiyeline sahip olan ancak hiçbiri hiçbir zaman işe yaramaz olmayacak yüzlerce teknolojik kültürün arasında yer alan bir insan katmanıdır.