Şu anda Bilgi Güvenliği Baş Yöneticileri (CISO’lar) arasında dolaşan tek bir tema varsa, o da paydaşların daha sağlam siber güvenlik eğitim protokollerine nasıl dahil edilebileceği sorusudur.
Siber saldırılardaki endişe verici artış (Kimlik Hırsızlığı Araştırma Merkezi’nin 2023 Veri İhlali Raporu’na göre 2021’deki tüm zamanların en yüksek seviyesine göre %72 artış) gibi BT uzmanlarınıza neden siber güvenlik eğitimi vermeniz gerektiği konusunda tartışılan önemli noktalar var. ya da teknolojideki hızlı evrimin sürekli bir yakalama oyunu yaratması.
Ancak mesele bir örgütün hedef alınıp alınmayacağı değil, “ne zaman” olacağıdır. CISO’lar giderek daha fazla kaygılanıyor çünkü kaçınılmaz ihlal gerçekleştiğinde baltanın kendilerine düşeceğini fark etseler de, eğitim gibi önleyici tedbirlere yönelik yoğun yatırımlar için yönetim kurulu desteğini güvence altına almak, harcanan her dolardan gelir talep edilen bir dünyada zorlayıcı oluyor.
Küresel bir siber güvenlik eğitimi ve sertifikasyon sağlayıcısı olan INE Security’nin CEO’su Dara Warn, “Yönetim kurulu salonunun katılımını güvence altına almanın yolu, kağıt üzerinde doğru istatistiklere ve çalışmalara sahip olmaktan daha karmaşıktır” diyor. “CISO’lar ve paydaşlar arasındaki boşluğu kapatmak için CISO’ların finansal etki verilerini, ilgili vaka çalışmalarını ve ilgi çekici anlatıları birleştiren stratejik bir yaklaşım benimsemesi gerekiyor. Siber güvenlik eğitimini isteğe bağlı bir harcama yerine temel bir yatırım olarak çerçevelemek kritik önem taşıyor.”
Siber Güvenlikte İnsan Faktörü
Siber güvenlik yalnızca teknolojiyle ilgili değildir; insanlarla ilgili. İnsan hatası, güvenlik ihlallerinin önde gelen nedenlerinden biri olmaya devam ediyor. Verizon’un 2023 Veri İhlali Araştırma Raporunda yaptığı bir araştırma, ihlallerin %68’inin sosyal mühendislik, ayrıcalıkların kötüye kullanılması veya basit hatalar gibi insan unsurunu içerdiğini ortaya çıkardı. Bu, çalışanları potansiyel tehditleri tanıma ve bunlara yanıt verme konusunda bilgi ve becerilerle donatmanın önemini vurgulamaktadır.
Örnek Olay: Capital One Veri İhlali
2019 yılında Capital One, 100 milyondan fazla müşterinin kişisel bilgilerinin açığa çıkmasına neden olan bir veri ihlali yaşadı. İhlal, bir saldırganın Amazon Web Services’te (AWS) depolanan hassas verilere erişmesine olanak tanıyan, yanlış yapılandırılmış bir web uygulaması güvenlik duvarından kaynaklandı. Bu olay, çalışanların bulut güvenliği uygulamaları ve güvenlik araçlarının doğru yapılandırılması konusunda eğitiminin önemini vurgulamaktadır. Buna yanıt olarak Capital One, siber güvenlik eğitim programlarını bulut güvenliğini de içerecek şekilde geliştirdi ve düzenli denetimler ve yapılandırma kontrollerinin gerekliliğini vurguladı. Bu vaka, özel eğitimin maliyetli ihlalleri nasıl önleyebileceğini ve hassas verileri nasıl koruyabileceğini göstermektedir.
Siber Güvenlik Eğitiminin Yatırım Getirisi
Siber güvenlik eğitimine yatırım yapmak yalnızca savunma amaçlı bir önlem değildir; önemli getiriler sağlayabilecek stratejik bir yatırımdır. Yalnızca güvenlik farkındalığı değil, aynı zamanda SOC ve ağ oluşturma ekipleri de dahil olmak üzere iyi eğitimli bir iş gücü, siber tehditlere karşı ilk savunma hattı olarak hizmet ederek ihlal olasılığını azaltabilir ve olası zararları en aza indirebilir. Ponemon Enstitüsü’nün 2023 Veri İhlalinin Maliyeti Raporu’na göre, kapsamlı olay müdahale planlama ve test programlarına sahip kuruluşlar, daha düşük seviyelere sahip olanlara kıyasla 1,49 milyon dolar tasarruf etti.
Örnek Olay: Maersk NotPetya Saldırısı
2017 yılında nakliye devi Maersk, küresel ağına hızla yayılan ve BT sistemlerinin tamamen kapanmasına neden olan NotPetya kötü amaçlı yazılımından etkilendi. Saldırı, güvenliği ihlal edilmiş bir yazılım güncellemesi, zayıf siber güvenlik hijyeninden yararlanılması ve çalışanların kötü amaçlı yazılımları belirleme konusunda eğitim eksikliği nedeniyle başlatıldı. Olay, Maersk’in 300 milyon doların üzerinde zarara mal oldu.
Buna yanıt olarak Maersk, kötü amaçlı yazılımları tanımaya, yazılım güncellemelerini güvence altına almaya ve siber olaylara müdahale etmeye odaklanan kapsamlı bir siber güvenlik eğitim programı uyguladı. Bu vaka, çalışanların en son siber tehditler ve en iyi uygulamalar konusunda eğitilmesinin gerekliliğini vurgulamaktadır.
Toplantı Odası için İlgi Çekici Bir Anlatı Hazırlamak
Şirketin mali verilerinin ve örnek olay incelemelerinin güvence altına alınması önemlidir, ancak bunların yönetim kuruluna iletilmesi CISO’lar için hala bir zorluktur. Mesajı iletmek için CISO’ların aynı zamanda yönetim kurulu üyelerinde yankı uyandıracak ilgi çekici bir anlatı oluşturması gerekir. İşte bazı temel stratejiler:
1. Yönetim Kurulunun Dilini Konuşun
Yönetim kurulu üyeleri genellikle teknik jargondan ziyade finansal ölçümlere ve iş sonuçlarına daha duyarlıdır. CISO’lar, siber güvenlik eğitimini, kuruluşun kârını koruyan bir iş kolaylaştırıcı olarak çerçevelemelidir. İhlallerden kaynaklanan potansiyel mali kayıpların ve eğitim programlarının yatırım getirisinin vurgulanması zorlayıcı bir durum ortaya çıkarabilir.
2. Gerçek Dünyadan Örnekler Kullanın
Maersk NotPetya ve Capital One’a yapılan saldırılar gibi gerçek dünyadaki vaka çalışmaları, siber güvenlik eğitiminin somut etkisini gösterebilir. Bu örnekler, çalışanların eğitimine yatırım yapmanın önemini vurgulayan ilişkilendirilebilir senaryolar sunmaktadır.
3. Verilerden ve İstatistiklerden Yararlanın
Saygın kaynaklardan veri sunmak argümana güvenilirlik kazandırabilir. İhlallerde insan hatasının yaygınlığını ve eğitimin mali faydalarını gösteren istatistikler, yönetim kurulunu ikna etmede güçlü araçlar olabilir.
4. Mevzuata Uygunluğu Vurgulayın
GDPR ve CCPA gibi düzenleyici gereklilikler, katı veri koruma önlemlerini zorunlu kılmaktadır. Buna uyulmaması ağır para cezalarına ve itibar kaybıyla sonuçlanabilir. Siber güvenlik eğitiminin bu düzenleyici gereksinimlerin karşılanmasına nasıl yardımcı olabileceğini vurgulamak, yönetim kurulunun katılımını güvence altına almak için etkili bir açı olabilir.
5. Rekabet Avantajını Öne Çıkarın
Rekabetin giderek arttığı bir pazarda, güçlü siber güvenlik önlemleri fark yaratan bir faktör olabilir. Güçlü güvenlik duruşlarıyla bilinen şirketlerin müşterileri çekme ve elde tutma olasılıkları daha yüksektir. CISO’lar kapsamlı bir eğitim programının kuruluşun itibarını ve rekabet gücünü nasıl artırabileceğini vurgulayabilir.
Yaygın İtirazların Üstesinden Gelmek
Yönetim kurulu üyeleri siber güvenlik eğitiminin maliyeti ve süresi konusunda itirazda bulunabilir. CISO’lar veriye dayalı argümanlar ve stratejik içgörülerle bu endişeleri gidermeye hazır olmalıdır.
Maliyet Kaygıları
Eğitim programlarına yapılan ilk yatırım önemli görünse de CISO’lar, ihlallerin önlenmesinden kaynaklanan uzun vadeli maliyet tasarruflarını vurgulayabilir. Ponemon Enstitüsü’ne göre 2023’te bir veri ihlalinin ortalama maliyeti 4,45 milyon dolardı. Eğitime yatırım yapmak, ihlallerin olasılığını ve ciddiyetini azaltarak bu maliyetleri azaltabilir.
Zaman kısıtlayıcıları
Yönetim kurulu üyeleri, çalışanların eğitime harcayacağı zaman konusunda endişe duyabilir. CISO’lar, çalışanların üretkenliği bozmadan kendi hızlarında öğrenmelerine olanak tanıyan esnek, modüler eğitim programlarını savunabilir. Ek olarak, hedefe yönelik eğitim programlarının verimliliğinin vurgulanması, zaman yatırımı konusundaki endişeleri hafifletebilir.
CISO’lar, kuruluşlarını siber tehditlere karşı korumada kilit oyunculardır. Yönetim kurulunun siber güvenlik eğitimine yatırım yapmasını sağlamak kolay bir iş değildir, ancak bu stratejilerden bazılarını kullanmak bunu daha başarılı hale getirebilir. İhtiyaçlarınızı paydaşlara iletme sürecine bu adımları dahil etmek, etkili eğitim programları sunmak için gereken desteğin ve kaynakların güvence altına alınmasına ve sonuçta kuruluşun dijital ve fiziksel varlıklarının daha iyi korunmasına yardımcı olacaktır. Riskler yüksektir ve tüm paydaşların aynı ekipte yer alması bir kuruluşun uzun vadeli başarısı ve güvenliği açısından kritik öneme sahiptir.
INE Güvenliği Hakkında
INE Security, çevrimiçi teknik eğitim ve siber güvenlik sertifikalarının önde gelen sağlayıcısıdır. Dünyanın en güçlü uygulamalı laboratuvar platformundan, en son teknolojiden, küresel video dağıtım ağından ve birinci sınıf eğitmenlerden yararlanan INE, dünya çapındaki Fortune 500 şirketleri ve kariyerlerini ilerletmek isteyen BT profesyonelleri için en iyi eğitim seçeneğidir. INE’nin öğrenme yolları paketi siber güvenlik, bulut, ağ iletişimi ve veri bilimi alanlarında eşsiz bir uzmanlık derinliği sunar. INE, ileri düzeyde teknik eğitim sağlamanın yanı sıra, BT kariyerine giriş yapmak ve başarılı olmak isteyenler için dünya çapındaki engelleri kaldırmaya kendini adamıştır.
Temas etmek
Basın Ekibi
INE
[email protected]