İçeriden risk sadece kötü aktörlerle ilgili değildir. Çoğu zaman, hatalarla ilgilidir. Birisi yanlış adrese hassas bir dosya gönderir veya evden çalışmak için kişisel bulutlarına bir belge yükler. Birçok durumda, kötü niyet yoktur, çünkü birçok içeriden olan olaylara kötülük değil ihmalden kaynaklanır.
Yine de, kötü niyetli içericiler yıkıcı olabilir. Bazı fikri mülkiyet çalıyor, diğerleri dış gruplar tarafından fidye yazılımı dikmek, ticari sırları yaymak veya operasyonları kapatmak için rüşvet verilir veya bastırılır.
İçerideki riskin etkisi bir kuruluş genelinde hissediliyor ve artık siber güvenlik ekibi ile sınırlı değil. Code42’ye göre% 86, içeriden bir olayın şirket kültürünü etkileyeceğini söylüyor.
Tespit yeterli değil
Capterra Kıdemli Güvenlik Analisti Zach Capers’a göre, verileri uygun şekilde kısıtlayan işletmelerin içeriden saldırılardan kaçınma olasılığı iki kat daha fazla. Kuruluşlar, çalışanların yalnızca işleri için gerekli verilere erişmelerini sağlayarak en az ayrıcalık ilkesini uygulamalıdır. Son derece ayrıcalıklı kullanıcılar yakından izlenmeli ve idari hakların kullanımı minimumda tutulmalıdır.
Araçlara güvenmek caziptir. Modern platformlar garip davranışı işaretleyebilir, dosya hareketlerini izleyebilir ve güvenlik ekiplerini uyarabilir. Ancak tespit daha derin problemi çözmez.
İçeriden gelen riske yalnızca teknik bir yanıt işareti kaçırabilir, insan tarafını anlamamız gerekir. Bu, kalıplara, motivasyonlara ve kültüre dikkat etmek anlamına gelir. Bağlamsız aşırı izleme, iyi insanları uzaklaştırabilir ve azaltmak yerine riski artırabilir.
İşyeri izleme söz konusu olduğunda, netlik ve açıklık meselesi. Zihin CTO’su Itai Schwartz, “Şeffaflık kasıtlı iletişim ile başlıyor” dedi. Bu, sadece izlemenin gerçekleştiği değil, izlenen, neden önemli olduğu ve hem şirketi hem de halkını korumaya nasıl yardımcı olduğu çalışanlarla açık olmak anlamına gelir.
Schwartz’a göre, kuruluşlar izlemeyi gözetim yerine güvenliğe açıkça bağladıklarında çalışan desteği kazanırlar. “Çalışanlar, izlemenin bireyleri gözetleme değil, veri güvence altına almakla ilgili olduğunu bilmeyi hak ediyor” dedi. İnsanlar onlara ve işletmeye nasıl fayda sağladığını görebiliyorlarsa, bunu destekleme olasılıkları daha yüksektir.
Spesifik olmak anahtardır. Schwartz, ne tür faaliyetlerin, verilerin veya sistemlerin izlendiğini ve uyarıların nasıl tetiklendiğini açıklamasını açıkça belirtiyor. “Belgeleri bulmak kolay, antrenman ve eğitim ve eğitim sırasında güçlendirilmiş olmalı” dedi.
Etik izleme aynı zamanda sınır çizim anlamına gelir. Schwartz orantılılığın önemini vurguladı: sadece ilgili ve gerekli olanı toplamak. “Çalışanların davranışlarının riski nasıl etkilediğini anlamalarına izin verin ve bu bilgileri cezalandırmak için yönlendirmek için kullanın” dedi. Ve izleme yaklaşımınız ekibinizle rahatça paylaşılamazsa? “Muhtemelen iyileştirmeye ihtiyacı var.”
Sonuçta Schwartz, amacın “organizasyonel verileri korurken kullanıcı gizliliğine saygı duyan sistemler oluşturmak” olduğunu söyledi.
Basit politikalar, akıllı erişim kontrolü
Genellikle, çalışanlar risk oluşturduklarını bilmiyorlar. Karıştırıcı politikalar bunu daha da kötüleştirir. Güvenlik ekipleri kısa ve belirli iş rollerine bağlı politikalar yazmalıdır.
Beklentileri bir PDF’ye gömmeyin, kimse okumaz. İnsanları gerçek örnekler kullanarak eğitin ve onlara günlük görevlerinde güvenli davranışların nasıl göründüğünü gösterin.
En az ayrıcalık üst kontrol olmaya devam ediyor. Çalışanların erişimini yalnızca ihtiyaç duydukları dosyalara ve sistemlere sınırlayın. Ama ayarlamayın ve unutmayın. İnsanlar iş değiştirdiğinde, yeni projeler üstlendiğinde veya takımları değiştirdiğinde izinler değişir.
Erişimi düzenli olarak inceleyin. Kimlik yönetişim araçları, erişimi yönetmek ve denetlemek için otomatik iş akışları sunar.
Ivanti’ye göre, karmaşık kimlik doğrulama işlemleri ve son derece kısıtlayıcı erişim kontrolleri gibi katı güvenlik protokolleri çalışanları hayal kırıklığına uğratabilir, üretkenliği yavaşlatabilir ve güvensiz geçici çözümlere yol açabilir.
Etkili güvenlik politikaları oluştururken, önce basitlik ve kullanılabilirlik gelmelidir. Mind CEO’su Eran Barak, “En iyi güvenlik politikaları pratik, bağlam farkında ve insan dostudur” dedi. Barak, yanlış adımları cezalandıran katı kurallara güvenmek yerine, davranışı insanların gerçekte nasıl çalıştığına dair bir anlam ifade eden politikaları savunuyor.
Bu gözlemle başlar. Barak, bir boşlukta politikalar tasarlamak yerine, etraflarında iş akışlarını incelemeyi ve kuralları şekillendirmeyi önerir. “Çalışanların nasıl çalıştığını anlayarak başlayın, daha sonra bu kalıpların etrafında politikaları uyarlayın” dedi. Belirsiz yönergeler çok fazla yardımcı olmaz, bu nedenle özellikleri dahil etmek daha iyidir – Slack’te paylaşmak iyi olan, bir AI Chatbot’a yapıştırılmayacak ve ne zaman şüpheli bir şey işaretleyeceğiniz.
Politikaları alakalı tutmak için Barak, geri bildirim döngülerinde oluşturulmayı tavsiye eder. Risk manzarası değiştikçe politikalar statik kalmamalıdır. “Durgun değil, gelişmeliler” dedi. Ve daha da önemlisi, girdi olmadan üstten teslim edilmemelidirler. “Takımlarınızla politikalar yaratın” dedi. “Güvenlik kararları üzerinde sahiplik hisseden kişilerin bunları benimseme olasılığı daha yüksektir.”
Uygulama gerektiğinde, sert olması gerekmez. Barak, yumuşak dürtüler gerçek zamanlı olarak sunmak için otomatik araçların kullanılmasını önerir – kullanıcılardan eylemlerini açıklamalarını isteyen eğitim mesajlarını veya istemlerini düşünün. Sadece gerektiğinde yükseltin. “Politika ihlali noktasında neredeyse gerçek zamanlı olarak hafif hız darbeleri ve eğitim mesajlarıyla başlayın ve kullanıcının bir neden sağlamasına izin verin” dedi.
Ve her şeyden önce, basit tutun. Barak, “Bir politika birkaç mermi noktasında veya şu anda teslim edilen gevşek bir mesajda açıklanamazsa, çok karmaşık” dedi.
Davranış aktiviteden daha önemlidir
İnsan davranışı, en güvenli ortamlarda bile önemli bir güvenlik açığı olmaya devam etmektedir. Siber güvenlik liderleri bu nedenle proaktif,
Mimecast’e göre riski yönetmeye yönelik insan merkezli yaklaşım.
Her tıklamayı günlüğe kaydetme yararlı değildir. Bunun yerine, değişim belirtileri arayın. Bir kullanıcı garip saatlerde giriş yapmaya başladı mı? İstifa etmeden önce büyük miktarda veri indirdiler mi?
Davranışsal analiz araçları bu eğilimleri ortaya çıkarabilir. Ancak insanlar hala inceleme sürecinin bir parçası olmalıdır. Algoritmalar işaretleyebilir, ancak insanlar neyin riskli olduğuna karar vermelidir.
Protasec STK’sı Josh Harr’a göre, yönetici alımını sağlamak ve geniş farkındalık oluşturmak çok önemlidir. Harr, “Riskin alımının ve farkındalığının her şeyden önce olduğuna inanıyorum” diyor. “Yöneticilere, içeriden gelen tehdit riskinin artmamasını sağlamak için kuruluşta sahip olduğumuz verileri kullanmama maliyetini sağladım.”
Bu farkındalık zirvede durmamalıdır. “Farkındalık bir bütün olarak kuruluş için de pratiktir” diye ekliyor. Harr, davranıştaki potansiyel kırmızı bayrakları tanımalarına yardımcı olmak için, özellikle yönetmenler ve yöneticiler gibi tüm seviyelerde artımlı eğitimi savunur. “Davranışları nasıl tanımlayacakları konusunda kademeli olarak eğitim yöneticileri, yöneticiler ve diğerleri uzun bir yol kat ediyor.”
Bu farkındalığı işlemek için Harr, kuruluşlar arasında içeriden gelen risk puan kartlarını uyguladı. Bu araçlar, bireysel düzeyde kimlik avı simülasyon sonuçları, uç nokta aktivitesi ve kötü amaçlı yazılım risk skorları gibi sinyalleri analiz eder. “Bu puan kartları, kuruluşa soruşturmalarda ve tehdit avında risk temelli bir yaklaşım sağlıyor” diye açıklıyor. “Bireylerin sistemler üzerindeki örgütsel davranışını temel alarak, liderler risklerin bulunduğu yerlerde kapsamlı bir görünürlüğe sahip olabilirler ve onları iyi bilgilendirirler.”
İçeriden gelen riskleri azaltmada başka bir az kullanılan araç, birçok endüstride zaten yaygın olan bir uygulamadır: erişim onaylaması. “Yıllık erişim incelemeleri, kapsamın erişiminde sürünme önlemeye yardımcı olur,” diyor Harr – ancak sadece davranış izleme ve eğitim ile birlikte yapılırsa. “Yalnızca yukarıda belirtilenler gerçekleştirilirse,” diye uyarıyor.
Konuşmayı Güvende Yapın
Güvenlik kültüre bağlıdır. Çalışanlar güvenli raporlama hataları veya şüpheli eylemler hissetmelidir. Cezadan korkarlarsa, sessiz kalırlar ve riskler büyür.
Emily Wienhold, “Ekip üzerindeki siber güvenli davranışları, sadece gayretli olanları artırmakla kalmayıp aynı zamanda başkalarına dahil olmaları için ilham vermekle kalmayıp, en iyi uygulamaları takip eden, potansiyel güvenlik tehditlerini belirleyen veya güvenliği artırmaya katkıda bulunan bireyleri tanımayı gerektirebilir” diye açıklıyor.
Anonim raporlama araçları, açık kapı politikaları ve İK’nın desteği yardımcı olur. İnsanlara hedefin ceza değil koruma olduğunu hatırlatmak da.
Kültür, içeriden gelen olayların önlenmesinde büyük rol oynar. Empati ve eğitim de teknoloji kadar önemlidir.
Veracode Baş Güvenlik Evanjelisti Chris Wysopal, “Kuruluş genelinde ilk güvenlik zihniyeti oluşturmak-eğitim ve net iletişim yoluyla-risk yönetiminin hem inovasyonu hem de uyumluluğu destekleyerek yeni tehditlere uyum sağlamasını sağlıyor” dedi.
İK ve Legal ile ortak
Cisos bunu tek başına yapamaz. İK ekipleri ayrılmayı tespit edebilir ve erken sorun belirtilerini işaretleyebilir. Yasal gizlilik ve uyumluluk kurallarında gezinmeye yardımcı olur.
İçeriden riskleri yönetmek için küçük bir çapraz fonksiyonel ekip oluşturun. Bu ekip, izleme kararlarını gözden geçirmeli, soruşturmaları yönlendirmeli ve çalışan haklarını korumalıdır.
Praxis Güvenlik Laboratuarları CEO’su Kai Roer, “Gerçek ihmal veya kasıtlı eylemler uygun şekilde ele alınmalıdır, ancak suçu dağıtmak ve cezayı yerine getirmek nesnel, makul bir soruşturmada son adım olmalıdır. Kesinlikle varsayılan tepki olmamalıdır” diyor Praxis Güvenlik Laboratuarları CEO’su Kai Roer.