Kovid sonrası dünyada tüm kuruluşlar yeni çalışma yöntemlerine uyum sağlamak zorunda kaldı. Uzaktan çalışmaya geçiş hızlıydı, tepkiseldi ve tasarımı gereği güvenli değildi. Sonuç olarak, gelişen ortamı desteklemek için sürekli gelişmeyi gerektirdi.
Esnek ve hibrit çalışma, iş gücünün görünürlüğü eksikliği nedeniyle kuruluşlara yeni riskler sunmaya devam ediyor. Güvenli bir hibrit ortam oluşturmak için kullanıcıların kontrollerin neden gerekli olduğunu anlamalarına, anlayış ve hesap verebilirlik oluşturmalarına, kontrol ve eğitim uygulamalarına bilgi sağlamak için veri analitiğini kullanmalarına ve teknik kontrolleri uygulamalarına yardımcı olmalıyız.
Kontrollerin neden gerekli olduğunu anlayın
Evden çalışmak, ofis ortamında çalışmaya göre daha az güvenlidir ve bunu iş gücüne etkili bir şekilde iletmek, onların neden ek güvenlik kontrolleri ve eğitimlerin uygulandığını anlamalarına yardımcı olacaktır. Bu, bu önlemleri daha fazla kabul edecekleri anlamına gelecektir.
Bu, güvenli davranış için rol model olarak hareket eden kıdemli liderler tarafından güçlendirilmelidir. Taleplerinin bağlamını ve nedenlerini belirtmeli ve bireyleri siber güvenlik eğitimine ve diğer ilgili faaliyetlere öncelik vermeye teşvik edecek bir örnek oluşturmalıdırlar.
İş hayatının yanı sıra ev hayatıyla ilgili siber güvenlik iletişimlerinin sağlanması, çalışanların içerikle etkileşime geçmesine yardımcı olabilir. Bir çalışanın kişisel yaşamındaki iyi alışkanlıklar işine de yansıyacaktır. Kendilerini, arkadaşlarını ve ailelerini eğitme konusunda onları güçlendirmek, kuruluşunuzda nasıl güvenli bir şekilde hareket edecekleri konusundaki anlayışlarını etkileyecek ve yerleştirecektir.
Anlayış ve hesap verebilirliği geliştirin
Bireyler ancak tehditleri belirleme bilgisine ve bunları rapor etme güvenine sahip olduklarında güvenli bir şekilde hareket edebilirler. Olumlu bir güvenlik kültürünün geliştirilmesi, bireyleri çalıştıkları ortam ne olursa olsun güvenli davranmaya teşvik edecektir.
Tüm çalışanlara evden veya alternatif ofis dışı konumlardan güvenli bir şekilde nasıl çalışılacağı konusunda ilgili siber güvenlik eğitiminin verilmesini sağlamalıyız. Düzenli eğitim, siber güvenlik becerilerinin sürekli geliştirilmesine olanak sağlamalı ve kimlik avı simülasyonlarını içermelidir. İşgücüne ilgi çekici ve ilgili eğitim sağlamak için kullanılabilecek birçok siber güvenlik eğitimi ve farkındalık platformu vardır. Bu tür platformlar aynı zamanda risk ölçümlerini de destekler ve yüksek risk taşıyan gruplar için hedefe yönelik, genellikle kısa süreli ve zamanında eğitime olanak tanır.
Güvenliğin BT veya siber ekiplere bırakıldığı günler artık geride kaldı ve bireylerin hem davranışları hem de işlerini nasıl yaptıkları açısından bir kuruluşun daha geniş güvenliğinde oynadıkları rolü anlamaları önemlidir.
İş gücünün kendilerinden ne beklendiğini ve takip etmesi gereken süreçleri anlaması gerekiyor. Bu ancak olumlu güvenlik davranışını tanımlamak ve bunu açıkça iletmek için yerleşik bir sürecin mevcut olması durumunda mümkündür. Siber olayların veya şüpheli bağlantıların raporlanması, tehdit ortamının daha net anlaşılmasına yardımcı olur. Bu da siber güvenlik ekibinin farkındalığının artmasını destekleyecek ve bireylerin herhangi bir endişesi veya sorusu olduğunda onlarla iletişime geçmesini teşvik edecektir.
Kontrollerin ve eğitimin uygulanmasına bilgi sağlamak için veri analitiğini kullanın
Olası tehditlerin anlaşılmasıyla birlikte veri analitiği, siber güvenlik ekibinin güvenlik açığı ve risk alanlarını anlamasına yardımcı olabilir. Bu daha sonra risk yönetimine yönelik kontrolleri ve eğitimleri önceliklendirmelerine ve hassaslaştırmalarına olanak tanır.
İşletmenizin güvensiz davranışları meydana gelirken tespit edebilmesini sağlamak için insan risk yönetiminizin hem proaktif hem de yinelemeli olması gerekir. Hibrit bir ortamda riskleri belirlemek özellikle zorlayıcı olabilir ancak davranışsal veriler, bireyin dijital ayak izinin ve iş sistemleri genelindeki eylemlerin daha net anlaşılmasını sağlayabilir. Bu davranış analizlerinin kullanılması, iş gücünüzdeki güvensiz davranışlara ilişkin görünürlüğünüzü artıracak ve risklerin artmasını önlemek için ‘tam zamanında’ destek sağlayacaktır.
Ancak davranışsal analitiği kullanırken gizlilik ve izinsiz giriş yasaları gibi düzenleyici kısıtlamaları dikkate almanız gerekir. Kuruluşunuz birden fazla yargı bölgesinde faaliyet gösteriyorsa ek düzenlemeler geçerli olabilir.
Teknik kontrolleri uygulayın
İş gücünüzü eğitmenin yanı sıra teknik kontroller uygulayarak onları desteklemeniz hayati önem taşıyor. Bunlar, her kullanıcının iş cihazında uç nokta koruma yazılımının kullanımını, bulut tabanlı e-posta yönetim platformlarını ve her zaman Sanal Özel Ağ (VPN) kontrollerini uygulamayı içermelidir. Kuruluşunuzun ek risklere karşı savunmasız olmadığından emin olmak için, halka açık Wi-Fi kullanımına ilişkin net bir politikanız olmalı ve ilgili risklerin ana hatlarını çizmelisiniz.
Bu en iyi uygulamanın uygulanması, hibrit çalışmanın risklerinin yönetilmesine yardımcı olacaktır. Doğru veriler daha iyi bir anlayış sağlayacak ve bu da kontrollerin daha iyi uygulanmasına ve davranışların iyileştirilmesine olanak sağlayacaktır. Güvenlik davranışını etkilemeye yönelik proaktif bir yaklaşım benimsemek, insan riskinizi doğru bir şekilde ölçmenize ve yönetmenize olanak tanıyacaktır. İnsan riski yönetiminin daha geniş iş stratejisine entegre edilmesi ve hem ofistekiler hem de uzaktan çalışanlar için gelişen tehdit ortamını yansıtacak şekilde sürekli güncellenmesi gerekiyor.
Olivia Rofe, PA Consulting’de siber güvenlik uzmanıdır.