Yönetişim ve Risk Yönetimi , İçeriden Gelen Tehdit , Liderlik ve Yönetici İletişimi
Güvenlik Direktörü Ian Keller, Şirketinizde Sorumlu İfşayı Sağlama Konusunda
CyberEdBoard •
7 Haziran 2023
Bir çalışan şirket sistemlerini ihlal etmesi için nasıl şantaja uğrar? Birinin ailesini tehdit etmesi ve ardından “Bu flash sürücüyü bu binadaki X bilgisayarına takman yeterli, bizden bir daha haber almayacaksın” demesi kadar basit olabilir.
Ayrıca bakınız: CISO’nun Olaya Hazırlık ve Müdahale Kılavuzu
Bu gerçekten benim şirketimde oldu.
BT uzmanı, sabahın erken saatlerinde, çalışanın sevdikleriyle – konumları da dahil olmak üzere – çok özel ayrıntılar içeren çok özel sorular soran bir çift iri yarı ve nahoş kişi tarafından uyandırıldı. Daha sonra bireyler çok kibar bir şekilde çalışandan belirli eylemleri gerçekleştirmesini istedi.
Neyse ki, şirketim olası senaryoların çoğunu, hatta gizli bilgileri kapsayan, iyi bilinen ve güçlü raporlama süreçlerine sahipti. Her “herkesin katıldığı” toplantılarda personelle konuşmayı alışkanlık haline getirdim, bu da herkesin benim kim olduğumu ve ne yaptığımı bildiği anlamına geliyordu. Böylece, çalışan konuyu doğrudan bize bildirdi ve biz sadece o kişiye ve ailesine koruma ve yardım sağlamakla kalmadık, aynı zamanda kolluk kuvvetlerini de dahil edebildik. Bu sonuçta bir siber suç örgütünün çözülmesine yol açtı.
Şirketinizde potansiyel kişisel uzlaşmayı veya başka bir kişinin potansiyel uzlaşmasını bildirecek mekanizmalar yoksa, büyük bir sorununuz var demektir.
İçeriden gelen tehditle ilişkili riski nasıl azaltırsınız? Farkındalık yaratın.
Adımlar basit ve anlaşılır. Güvenliğin herkesin sorumluluğunda olduğu bir kültür yaratın ve çeşitli yönetim kademelerinin personeli desteklemek ve onlara yardım etmek için orada olduğunu bilin. Kapıcılardan yöneticilere kadar tüm personelle ne yapmaları ve yapmamaları gerektiği hakkında konuşarak ve onlara eğitim vererek çok zaman harcıyorum. Onlara güvenlik varlıkları olmaları için ihtiyaç duydukları bilgileri veriyorum ve aileleri için de bilgiler ekliyorum.
Risklerinizi ortadan kaldırabilecek sihirli bir formül veya teknoloji yoktur ve her şirket farklıdır ve bu şekilde ele alınmalıdır. Ama işte benim için iyi çalışan birkaç temel şey:
- Tamamen kapsayıcı olun: İçeriden gelen bir tehdidi bildirmek, temizlikçiden güvenlik görevlisine ve yönetim kurulu başkanına kadar herkes içindir. Müşterilerinizin ve ziyaretçilerinizin bile sorunları bildirmesi sağlanmalıdır.
- İçeriden gelen tehdide yönelik bir soruşturmanın ayrıntılarını gizli tutun: Davanın ayrıntılarına yalnızca soruşturma ekibi ihtiyaç duyar ve bu bilgiler, güven oluşturmaya izin vermek için ne pahasına olursa olsun korunmalıdır.
- Güven oluşturmak: Bu, insanlara kovulmayacaklarını veya bunu yaptıkları için mağdur olmayacaklarını bilerek size bir şeyler söyleme özgürlüğü verir. CEO bunu sağlayan ses olmalı ve CEO bunu yaşamalı – sadece söylememeli.
- Anonim bir raporlama platformu veya hizmeti oluşturun: Personelinizin sorunları bildirmesi için bir mekanizma olduğundan emin olun. Onlara yaptığınızı söylediğiniz şeyi yaptığınıza dair güvence vermek için %100 anonim olmalıdır.
- Harfi harfine yerine getirmek: Bildirilen her vakayla ilgilenin. Bir vaka size önemsiz görünse bile, sorun, onu bildiren kişi için büyük bir endişe kaynağıdır.
- Geri bildirimde bulunun: Belediye binanızda veya “herkesin elleri” toplantınızda, insanlara onlar için ne yaptığınızı ve kaç sorunla uğraştığınızı bildirin.
Çalışanlarımızı dinlemek konusunda daha iyi bir iş çıkarmalıyız. Onları, pozisyonları ve şirket ailesine ne kadar iyi uydukları için bulabileceğimiz en iyi insanlar oldukları için işe aldık. Personelinize aileniz gibi davranın, bu da bazen katı olmanız gerektiği anlamına gelir, ancak onlarla ilgilenmekten asla vazgeçmezsiniz.
Herkesin güvenebileceğini bildiği birine ihtiyacı vardır. O kişi ol.
CyberEdBoard, ISMG’nin güvenlik, risk, gizlilik ve BT alanlarında en üst düzey yöneticilerden ve düşünce liderlerinden oluşan, üyelere özel önde gelen topluluğudur. CyberEdBoard, dünya çapında 65 farklı ülkede bulunan binlerce CISO ve üst düzey güvenlik lideri tarafından paylaşılan karmaşık zorlukları ele almak için yöneticilere güçlü, akran odaklı bir işbirliği ekosistemi, özel toplantılar ve bir kaynak kitaplığı sağlar.
Topluluğa Katılın – CyberEdBoard.io.
üyelik başvurusu
Bir telekom şirketinde güvenlik müdürü olan Ian Keller, 30 yılı aşkın deneyime sahip bir bilgi güvenliği savunucusudur. Kariyerine, Ordu istihbaratında eğitmen olarak görev yaptığı Güney Afrika Savunma Kuvvetleri Savaş Okulu’nda başladı. Keller bu arka planı kurumsal dünyaya taşıdı ve ülkenin Beş Büyük bankasından biri için küresel bilgi güvenliği işlevinin oluşturulmasında etkili oldu. Daha sonra Güney Afrika’nın önde gelen kurumsal ve ticari bankalarından birinin bilgi güvenliği sorumlusu olarak atandı.