İç ve dış iletişim, güvenlik liderleri için asırlık bir mayın tarlasıdır ve ekipler güvenliği kullanılabilirlik ile dengelemektedir. Bazı durumlarda, güvensiz Comms sistemleri aksi takdirde en iyi takımları ve çalışanları (kazara) içeriden gelen tehditlere dönüştürebilir. Bu iki temel zorluk sunar: veri kaybı önleme ve kurumsal alım.
Veri kaybı önleme ile başlayalım. Sinyal yoluyla Amerikan askeri operasyonları hakkında son zamanlarda bilgi sızıntısı olağanüstü bir olaydır – ancak özellikle şirketler içinde düşündüğümüzden daha yaygın olabilir. Siyaset ve yasal konular bir yana, bu tür için tasarlanmayan sistemler üzerinde hassas organizasyonel verilerin alışverişi yapılması, güvensizliğine rağmen nadir değildir.
Bunun gibi olaylar, kullanım kolaylıklarına rağmen, sinyal veya whatsApp gibi özelliksiz üçüncü taraf uygulamaları kullanmanın neden riske değmediğini vurgulamaktadır. Bunun gibi sohbetlerden kaynaklanan sızıntılar, bir kuruluşun itibarına zarar verebilir, bu da finansal kayıp, itibar ve yasal hasar ve bazı durumlarda uyumsuzluğa neden olabilir. Genellikle, güvenlik ekipleri tarafından denetlenmeyen veya onaylanmayan uygulamalarda yapılan konuşmalar resmi olarak günlüğe kaydedilmez, bu da uyumluluk için bir sorun olabilir. Örneğin, finans ve sağlık hizmetleri gibi bazı endüstrilerde, kuruluşların uyumu karşılamak için konuşmaların günlüklerini, örneğin bunu ihlal eden kaybolan mesajlarla tutmaları beklenmektedir. Öte yandan, bazı kuruluşların (perakende ve medya sektörlerinde olanların çoğu gibi), bunu ihlal eden yazılı, ayrılmaz mesajlarla çok kısa veri saklama politikalarına sahiptir.
Kullanılabilirlik ve organizasyonel alım alma
Düşünmek önemlidir Neden Çalışanlar harici mesajlaşma uygulamalarına yönelir, böylece güvenlik profesyonelleri insanların gerçekten kullanacağı güvenli teknoloji oluşturabilirler. Basitçe söylemek gerekirse, bazen çalışanlar kullanım kolaylığı ve erişilebilirlik nedeniyle Org dışı yayınlanan Comms uygulamalarına yönelir. En iyi takımlar özellikle buna eğilimlidir, her türlü kısıtlama yavaşlama riski taşır ve zaman paradır.
Güvenlik ekipleri, aslında yerleşik uygun güvenlik önlemleri ile kullanılacak güvenli teknoloji sağlamaya çalışmakla zorlanıyor. Bu uygulamalar şifrelenmeli ve insanların işlerini verimli ve az sürtünme ile yapmalarına izin vermelidir. Aynı şekilde, çalışanlar, onaylanmamış üçüncü taraf uygulamaları kullanmanın riskleri (ve yasaları) ve bunları kullanmamanın kişisel ve örgütsel yankılarını eğitmelidir.
BYOD’un yükselişi
Hibrid çalışma gibi modern çalışma koşulları konuyu daha da karmaşıklaştırmıştır. İş için kullanılan kişisel cihazlar ve ‘kendi cihazınızı getir’ (BYOD) modelleri kuruluşlar arasında artmaktadır. Çoğu zaman bunun nedeni maliyetleri düşürmesi ve esnekliği artırmasıdır. Bu cihazlar ekipler arasında hızlı bir konuşma sağlarken, konumlandırılmamış kişisel cihazlar, güvenlik ekipleri için kontrol eksikliği ve sonuç olarak güvenlik riski anlamına gelebilir.
Nihayetinde, iş için kişisel cihazları kullanmaktan kaynaklanan aşırı riski azaltmak için sağlam BYOD politikaları ve uygulamaları uygulanmalıdır. Organizasyonel verilerin güvenliğini sağlamak için bu cihazlarda izin verilenlerin kurumsal incelemesinin bir unsuru olmalıdır.
Birçok kullanıcı, kullandıkları uygulamaların güvenliğine inanırken, kişisel ve profesyonel olarak, uzlaşmış bir cihaz genellikle bu güvenlik önlemlerinin geçersiz kılındığı anlamına gelir. Güvenlik söz konusu olduğunda kullanıcıların temel cihaz hijyenini takip etmelerini sağlamak önemlidir (örneğin yazılım ve uygulamaları düzenli olarak güncellemek). Buna ek olarak, kullanıcılar çok faktörlü kimlik doğrulamayı (MFA) ve bir tehdit oyuncusunun hesaplar arasında hareket etmesini zorlaştıran benzer önlemlerin önemini anlamalıdır.
Karar?
Bu, CISO’lar ve güvenlik ekipleri için yeni bir sorun değil. Genel olarak siber üzerinde organizasyonel satın almak zordur, ancak insanların işlerini hızlı bir şekilde yapmasına izin veren uygulamaları kısıtlamak eşit derecede sıkıcıdır. Güvenlik ekipleri, şifreleme gibi sağlam güvenlik önlemleriyle desteklenen iyi kullanıcı arayüzlerine sahip Comms sistemleri oluşturmaya ve yatırım yapmaya öncelik vermelidir. Bu uygulamalar, cihazlar ve araçlar, kuruluşun ilgili endüstrileri için belirlenen uyum standartlarını da karşılamalıdır. Ayrıca, güçlü farkındalık eğitimi, her düzeydeki insanların örgütsel güvenlik standartları dışında çalışmanın risklerini ve sonuçlarını anlamalarına yardımcı olmak için çok önemlidir.
Elliott Wilkes, gelişmiş siber savunma sistemlerinde CTO’dur. Tecrübeli bir dijital dönüşüm lideri ve ürün müdürü Wilkes, en son kamu hizmetine siber güvenlik danışmanı olarak hem Amerikan hem de İngiliz hükümetleriyle çalışma on yılı aşkın deneyime sahiptir.