Yirmi yıl boyunca giderek daha olgun güvenlik mimarileri geliştirdikten sonra, kuruluşlar sert bir gerçeğe karşı koşuyor: sadece araçlar ve teknolojiler siber riski azaltmak için yeterli değil. Teknoloji yığınları daha sofistike ve yetenekli hale geldikçe, saldırganlar odaklarını değiştirdiler. Artık sadece altyapı güvenlik açıklarına odaklanmıyorlar. Bunun yerine, giderek daha fazla insan davranışını kullanıyorlar. Çoğu modern ihlalde, ilk saldırı vektörü sıfır günlük bir teknoloji sömürüsü değildir. İnsanlarda güvenlik açıklarından yararlanıyor.
Veriler iyi belgelenmiştir. Beş yıl boyunca, Verizon’un Veri ihlali araştırmaları raporu, insan riskinin küresel olarak ihlallerin en büyük itici gücünü temsil ettiğini göstermiştir. Raporun en son versiyonu, 2024’teki tüm ihlallerin yaklaşık% 60’ının bir insan unsuru içerdiğini buldu. Ancak, bu bağlamda, ortak bir yanlış anlama yönelik olmak önemlidir. “İnsanlar en zayıf bağlantıdır” ifadesi, ihlaller ortaya çıktığında çalışanların hatalı olduğunu ima eder. Çoğu durumda, sorun bu değil. Kullanıcılar güvenlikte başarısız değil, güvenlik ortamları başarısız oluyor. Çok sık, güvenlik gereksiz yere karmaşık hale getirilir. Kavramlar kafa karıştırıcı ve ezici bir teknik dilde iletilirken, politikalar ortalama çalışan değil, denetçiler ve avukatlar için tasarlanmıştır.
Buna karşılık, insan riskini etkili bir şekilde azaltmak, daha fazla teknoloji benimseme veya politika uygulama meselesi değildir. Bu, güvenli insan davranışını basitleştiren ve destekleyen güçlü bir örgütsel güvenlik kültürü geliştirmekle ilgilidir. Güvenlik kültürü güvenlik teknolojinizle aynı önceliklendirme ve yatırımla ele alınana kadar, insan riski en iyi tasarlanmış teknik programları bile zayıflatmaya devam edecektir.
Güvenlik kültürünü tanımlamak
Her kuruluşun zaten bir güvenlik kültürü vardır. Kilit soru, gerçekten istedikleri güvenlik kültürü olup olmadığıdır.
Güvenlik kültürü, tanım gereği, siber güvenlik ile ilgili ortak algılar, inançlar ve tutumlardır. İnsanlar güvenliğin önemli olduğuna inanıyor mu? Sorumlu hissediyorlar mı? Kendilerini bir hedef olarak görüyorlar mı? Bu inanç yapısı güçlü olduğunda, davranış takip eder. Ancak eksik olduğunda, güvenlik başka birinin işi veya verimliliğe engel olarak görüldüğünde olduğu gibi, risk dereceniz katlanarak büyür.
Sorun şu ki, insanların organizasyonlarını korumayı umursamıyorlar. Güvenlik, nasıl çalıştıklarına gömülmüyor, bunun yerine etrafta gezinmeleri beklenen bir şey olarak üstte katmanlıyor. İnsanların güvenli bir şekilde davranmasını istiyorsak, bu davranışları destekleyen koşullar yaratmamız gerekir. Çalışanlar davranışlarını çevrenin neyi ödüllendirdiğine, sağladığına ve beklediğine göre ayarlar. Güvenlik farklı değil. Güvenlik kültürünü güçlendirmek için odak noktası, insanların algılarını ve kararlarını şekillendiren günlük bir ortam tasarlamaya odaklanmalıdır.
Uygulamada bu, güvenlik kültürünüzün en büyük dört itici gücünü değerlendirmek anlamına gelir: liderlik sinyalleri, güvenlik ekibi katılımı, politika tasarımı ve güvenlik eğitimi.
- Liderlik Sinyalleri: Kültür üstte başlar. Liderler güvenliği bütçeleyerek, bonuslara bağlayarak veya CISO’yu kuruluş grafiğinde yükselterek bir öncelik olarak ele alırlarsa, net bir mesaj gönderir. Eğer yapmazlarsa, bu algıyı değiştirmez.
- Güvenlik ekibi katılımı: Kültürü şekillendiren sadece yöneticiler değil. İnsanların güvenlik ile ilgili günlük deneyimleri genellikle güvenlik ekibinin kendisine bağlıdır. Güvenlik ekibi yararlı mı yoksa düşman mı? Açık mı yoksa kafa karıştırıcı mı? Etkinleştiriciler veya blokerler mi? Bunların hepsi önemli.
- Politika tasarımı: Politikalar sürekli bir etkileşim noktasıdır. Aşırı teknikler, takip edilmesi zor veya sürtünme dolu ise, güveni aşındırırlar. Eğer basit ve sezgisellerse, güvenliğin ulaşılabilir olduğu fikrini güçlendirirler.
- Güvenlik eğitimi: Bu genellikle bir programın en görünür kısmıdır, aynı zamanda en yanlış anlaşılır. Eğitiminiz sıkıcı, modası geçmiş veya alakasızsa, güvenliğin gerçekten önemli olmadığını gösteriyor. İlgi çekici ve uygulanabilirken, davranışı yönlendiren inanç oluşturur.
Bu dört alan ayrıca kültürünüzü ölçmek için bir çerçeve sağlar. Çalışanlarınıza liderlik, güvenlik ekibi, politikalar ve eğitim hakkında ne düşündüklerini ve hissettiklerini sorun. Onların cevapları size kültürünüzün sizin için mi yoksa sizin için mi çalıştığını söyleyecektir.
Güvenlik kültürünün dört kolunu hizalama
Yönetici desteği tonu belirleyebilir, ancak güvenlik kültürü çalışanların her gün karşılaştığı şeyle tanımlanır. Eğer bu yaşanan deneyimler liderliğin mesajıyla tutarsızsa, inanç azalır. İnsanlar güvenliğin bir öncelik olduğunu duyabilir, ancak politikalar belirsizse, eğitim bağlantısı kesilir veya güvenlik ekipleri katı ve ulaşılamaz, güven hızla aşınır.
Bu nedenle, dört kültürel kolun hepsinde (liderlik, güvenlik ekibi katılımı, politika ve eğitim) uyum önemlidir. Liderlik güvenilir bir şekilde güvenliğe öncelik verdiğinde, kaynak ve hesap verebilirlik yoluyla stratejik önemi işaret eder. Ancak bu mesajın güvenlik ekibinin işgücü ile nasıl etkileşime girdiği ile güçlendirilmesi gerekiyor. Çalışanlar destek istediklerinde hatalar için cezalandırılmış veya taş duvarlı hissediyorlarsa, kuruluşu savunmak için aktif katılımcılar olmaya daha az eğilimlidirler.
Politika tasarımı eşit derecede önemli bir rol oynar. Politikalar uzun, teknik veya pratik olmadığında, çalışanlar risk getirse bile kolaylık sağlamak için varsayılan olarak olacaktır. Daha basit, daha sezgisel rehberlik, iş sonuçlarını yavaşlatmadan güvenli bir şekilde hareket etmeyi kolaylaştırır. Aynı ilke eğitim için de geçerlidir. Eski veya jenerik ise, bir kutu kontrol egzersizi haline gelir. Ancak alakalı ve role özgü olduğunda, güvenliğin işin bir parçası olduğunu güçlendirmeye yardımcı olur-buna bir eklenti değil.
Güvenlik kültürünüzü operasyonel hale getirmeye hazır mısınız?
Bu sonbaharda bana katıl Sans Orlando Güz 2025yeni güncellenenleri nerede öğreteceğim LDR521: Liderler için Güvenlik Kültürü. Bu ders, mevcut kültürünüzü değerlendirmek, değişim için en iyi fırsatları belirlemek ve güvenli davranışın norm olduğu bir ortam oluşturmak için adım adım bir çerçeve sunar. Pratik araçlar, gerçek dünya vaka çalışmaları ve ekibinize geri dönebileceğiniz liderliğe hazır bir oyun kitabı ile ayrılacaksınız.
Sans Orlando Güz 2025’e kaydolun.
Not: Bu makaleye SANS Enstitüsü’nün kıdemli eğitmeni Lance Spitzner katkıda bulundu. Buradaki geçmişi ve deneyimi hakkında daha fazla bilgi edinin.