İnsan Riski: Bir Kuruluşun En Büyük Sorunu ve En Büyük Fırsatı

   Nisan 17, 2024  Posted in ITSecurityGuru


Kuruluşlar genellikle değer akışlarını ayırmanın ve eylemi yönlendirmenin bir yolu olarak ‘İnsan, Süreç ve Teknoloji’ (PPT) çerçevesine dayanır. İyi yönetildiğinde bu üçlü birlikte çalışarak savunmaya kapsamlı ve katmanlı bir yaklaşım sağlar. Peki bir sütun diğerlerinden daha zayıfsa ne olur?

İnsan riski, kuruluş içindeki kişilerin hem kazara hem de kasıtlı olarak uygunsuz davranışlarından kaynaklanır. Bu risk, veri sızıntısı ve operasyonel verimsizliklerden şantaj, dolandırıcılık ve fidye yazılımlarına kadar çeşitli şekillerde gerçekleşmektedir. Verizon 2023 Veri İhlali Araştırma Raporu, ‘tüm ihlallerin %74’ünün insan unsurunu içerdiğini ve insanların hata, ayrıcalıkların kötüye kullanılması, çalıntı kimlik bilgilerinin kullanılması veya sosyal mühendislik yoluyla dahil olduğunu’ tespit etti.

Ayrıca kimlik avının ilk üç ihlal yöntemi arasında yer aldığını ve bir olayın etkisi ve olasılığıyla mücadele etmeye yardımcı olmak için özel çaba gösterilmesi ihtiyacını güçlendirdiğini bildirdi. Yıllık eğitimi tercih etmek çoğu zaman hedefi kaçırır; Bir angarya veya bir onay kutusu uyumluluk egzersizi olarak görüldüğünden, personeli sağlıklı bir güvenlik kültürü oluşturmak için gerekli beceri ve bilgiyle donatmada başarısız olur.

Peki insan riski nereden geliyor ve nasıl yönetilebilir? Daha da önemlisi, işgücünü bir yükümlülükten ziyade bir varlık haline getirecek şekilde nasıl güçlendirebiliriz?

Davranışları Anlamak: İnsan Riski Nereden Kaynaklanıyor?

İnsan riskinin kaynakları, şirket kültürüne, bireysel eğilime ve acil koşullara bağlı olarak çok sayıda ve karmaşıktır.

  • Merak ve Dürtü. Kullanıcıların kısıtlama olmadan meraklı olduğu durumlarda, zararlı içerik veya süreçlere dürtüsel katılım yoluyla risk tetiklenir. Bu, kullanıcının düşüncesizce bir e-posta bağlantısına tıklamasıyla veya gölge BT’nin uygulanmasıyla ortaya çıkabilir.
  • Güven ve Konfor. Herkesin içindeki en iyiyi görme arzusu, kullanıcıların dürüst olmayan varlıklara körü körüne güvenmelerine yol açabilir. Güven kazanmak, yerleşik ancak samimiyetsiz bir ilişkiye dayalı sömürüyü mümkün kılan bir sosyal mühendislik saldırısının temel gereksinimidir.
  • Eğitim ve Farkındalık Eksikliği. Kullanıcılara tehditlerle nasıl mücadele edecekleri öğretilmezse en iyi uygulamaları hayata geçirmeleri beklenemez. Herkese uyan tek bir eğitim yaklaşımı, ekiplerin sıklıkla güvenliğin kendileriyle nasıl bir ilişki içinde olduğunu görmekte zorlandıkları ve bilgi uygulamasında ve risk algısında boşluklar bıraktığı anlamına gelir.
  • Kültür ve Davranışlar. Hızla gelişen dijital dünyamızda, verimlilik ve sürekli kullanılabilirlik talebi işleri zorlaştırıyor. Artan baskı, çalışanları son teslim tarihlerine yetişmek için işin kolayına kaçmaya veya süreçleri yanlış gerçekleştirmeye itebilir.

Çoğu zaman, insan riskinin ortaya çıkmasında kötü niyetli bir niyet yoktur. Potansiyel nedenleri daha iyi anlamak için bir kuruluşun kendi operasyonları bağlamında aşağıdakileri dikkate alması gerekir:

  • İşgücünün bu şekilde davranmasını sağlayan şey nedir? Kuruluşun kültürü tarafından (hem açıkça hem de alt metin yoluyla) hangi baskılar uygulanıyor?
  • Çalışanlar doğası gereği kime (ve neye) güveniyor?
  • Personelin rollerinde karşılaştığı ve geçici çözümler aramasına neden olan zorluklar nelerdir?
  • Çalışanlar olaylara güvenliği göz önünde bulundurarak tepki vermek için yeterli bilgiye sahip mi?
  • Risk ve güvenlikle etkileşim, çalışanların yerine getirdiği role göre nasıl farklılık gösteriyor?
  • Güvenlik, kuruluş içindeki farklı yönetim seviyelerinde nasıl algılanıyor ve nasıl uygulanıyor?

Ekibi Tanıyın: İşgücü Genelindeki Risk Profillerini Anlamak

Risk profilleri her bireye veya ekibe oybirliğiyle uygulanamaz. Kuruluşun kültürü ne olursa olsun, güvenlik eğitimlerinin farklı bölgeler, ekipler veya yönetim seviyeleri için uyarlanması anlamına gelse bile, güvenlik süreçlerinin onunla mücadele edecek şekilde değil, onunla çalışacak şekilde oluşturulması zorunludur.

  • Departman Fonksiyonu. Her fonksiyon, şirketin değer akışları ve süreçleriyle farklı şekilde etkileşime girerek farklı riske maruz kalma biçimlerine davetiye çıkarır. Depo çalışanlarının, ERP sistemleri üzerinde çalışan geliştiricilerle veya satıcı ödemeleriyle çalışan finans ekipleriyle aynı risklere maruz kalması pek olası değildir.
  • Kıdem ve Hiyerarşi. Hiyerarşi ve formalitenin ön plana çıktığı bir kültürde, daha fazla kıdemsiz çalışan, sorunlarını dile getirmek için yöneticilerinin ‘kafalarını aşmak’ veya açıkça konuşmakta zorlanabilir. Yöneticiler ayrıca parçalı bir tepkiye yol açacak farklı yaklaşımlar da benimseyebilir.

Nereden Başlamalı: İnsani Risk Yanıtı Oluşturmak

İnsan riskini azaltmak, üst düzey yöneticilerden fabrika çalışanlarına kadar işin her seviyesine güçlü bir güvenlik kültürünün yerleştirilmesini gerektirir. Peki nereden başlamalı?

  1. Riski Anlayın

Temel olmadan politika veya eğitim uygulamak, yatırımın boşa gitmesine neden olacaktır. Öncelikle iş faktörlerini, kritik varlıkları ve risk profilini anlamak önemlidir; buradan işletmeye en uygun eğitim ve işletmeyi insani güvenlik açıklarına maruz bırakan boşlukları tanıyabilecek eğitimler belirlenebilir. Bu aynı zamanda daha az dikkat gerektiren departmanlara aşırı yatırım yapılmasını önlemek için halihazırda korunan alanların belirlenmesine de yardımcı olur.

  1. Terzi Eğitimi

Görevlerine ve riske maruz kalma durumlarına göre her departman için farklı eğitim gereksinimlerini belirleyin. Herkesin bu kadar farklı sorumlulukları olduğunda ‘herkese uyan tek çözüm’ yaklaşımı işe yaramıyor. Konuya özel oturumlardan mikro eğitim fırsatlarına kadar farklı eğitim türlerini benimseyin; her durumda bunu etkileşime girecek kullanıcılara göre uyarladığınızdan emin olun.

  1. Eğitim Sonuçlarıyla Etkileşime Geçin

Eğitimden elde edilen verilerle etkileşime geçin ve yaklaşımları önceki öğretim turlarında belirlenen boşluklara göre uyarlayın.

Eğitim faaliyetleri, çalışanlar üzerinde bıraktıkları izlenim kadar iyidir: Eğitimi tamamlayanların sayısını takip etmek, öğrendiklerini kimin anladığını ve uyguladığını ölçmekle aynı şey değildir. Eğitim, ölçülebilir sonuçlarla ve daha fazla yardıma ihtiyaç duyanlar için takip planlarıyla sürdürülebilir olmalıdır.

  1. İnsanlar Kırılganlık Değil Değer Katar

Çalışanlar işyeri süreçlerini herkesten daha iyi bilme eğilimindedir. Doğru destek verildiğinde, tehlike uyarı işaretlerini tespit etmek, bunları raporlamak ve kurtarma faaliyetlerini desteklemek için mükemmel bir konumdadırlar. Bu, çalışanların olayları herhangi bir sonuç korkusu olmadan güvenli bir şekilde bildirebileceklerini hissettikleri açık ve destekleyici bir kültür gerektirir.

Sonuç: Onay Kutusu Eğitimlerinden ve Uyumluluk Faaliyetlerinden Kaçının

Sonuçta, onay kutucuğuna uyum faaliyetlerinden eğitim ve kontrollere yönelik daha sağlam ve entegre bir yaklaşıma doğru bir geçiş yapılması gerekiyor. Kuruluşun her kademesine güçlü bir güvenlik kültürü aşılamak, çalışanların eylemlerini neyin tetiklediğinin yanı sıra bunun işlevler ve liderler arasında nasıl farklılaştığının anlaşılmasını gerektirir.

Dikkatli ve amaca yönelik bir eğitim olmadan, bir kuruluş, işgücünün insan riskleriyle mücadele etme becerisini yeterince donatmıyor ve ona yeterince değer vermiyor. Bunun yerine kuruluşlar, çalışanlarına en uygun öğrenme fırsatlarını kolaylaştırmalı, kritik varlıklarını korumak için teknoloji ve süreçlerle birlikte çalışmalarını sağlamalıdır.

Yazar: Becky Gelder, risk danışmanı, Anahtar Teslimi Danışmanlık



Source link