SANS Enstitüsü’ne göre yapay zeka, kimlik avı, vishing ve smishing saldırılarının karmaşıklığını ve erişimini artırdıkça, insan siber risklerini anlamak ve yönetmek giderek daha hayati hale geldi.
Rapor, özellikle dünya çapındaki kuruluşların %20’sinin geçen yıl uzaktan çalışanların dahil olduğu güvenlik olaylarını bildirdiği bir dönemde, insan siber risklerindeki artan riskin altını çiziyor.
SANS Güvenlik Farkındalığı Direktörü Lance Spitzner, “Dijital dünya hızla genişliyor ve bununla birlikte siber güvenliğin insan unsuru, küresel olarak siber tehditler için birincil hedef olarak geliştikçe her zamankinden daha önemli hale geliyor” diyor.
Özellikle çalışma, güçlü ekipler ve liderlik desteği ile işaretlenen olgun güvenlik programlarının, güvenlik farkındalığı ekiplerinde en az üç tam zamanlı çalışana sahip olmasıyla karakterize edildiğini buldu.
En önemli insan siber riskleri
Birincil tehditler arasında kimlik avı/vishing/smishing saldırıları; gelişmiş araçlar tarafından hafifletilen parola/kimlik doğrulama riskleri; etkili tespit/raporlama için bir güvenlik kültürü geliştirmenin zorluğu; ve özellikle karmaşık bulut ortamlarında BT yöneticisinin yanlış yapılandırma riski.
Önceki yıllarda olduğu gibi, güvenlik bilinci, kuruluşlar içinde ağırlıklı olarak yarı zamanlı bir taahhüt olarak kabul edilmeye devam ediyor. Güvenlik farkındalığı uygulayıcılarının kayda değer bir %70’i, bu yıl çalışma sürelerinin yarısını veya daha azını buna ayırdıklarını açıkladı. Bu içgörü, kuruluşların günlük operasyonlarında sürekli siber güvenlik farkındalığının önemini artırmaya yönelik süregelen zorluğun altını çiziyor.
İlk kez, verilerimiz insani risk yönetiminde uzman profesyonellerin daha geniş güvenlik rollerinde emsallerine göre %5’e kadar daha fazla kazandığını ortaya koyuyor. Bu, endüstride bu beceri setleri için artan talebin ve değerin altını çiziyor.
Program başarısını artırmak için temel eylemler
Risk açısından konuşun
Liderlik ve güvenlik ekipleri genellikle güvenlik farkındalığını güvenliğin bir parçası olarak değil, risk yönetimiyle çok az ilgisi olan bir uyumluluk çabası olarak algılar. Bu tür algıları değiştirmeye yardımcı olmak için, insan riski yönetimine odaklanın ve bu açıdan konuşun. İnsan riskinin çoğu kuruluşun stratejik güvenlik öncelikleriyle uyumlu olması, liderliğin desteğini kazanması ve bir güvenlik ekibinde yankı uyandırması çok daha olasıdır.
Güvenlik ekibi üyelerinizin onlara nasıl yardım ettiğinizi anlamalarına yardımcı olun ve en önemli insan risklerini ve bu riskleri yöneten temel davranışları belirlemek için onlarla birlikte çalışın. Etkili iletişim, eğitim ve katılımın bu temel davranışları nasıl değiştirdiğini ve insan riskini azalttığını gösterin. SOC, IR ve siber tehdit istihbaratı ekipleriyle yalnızca işlerini öğrenmek için değil, aynı zamanda insan riskleriyle ilgili zorluklarını çözmelerine nasıl yardımcı olabileceğinizi onlara göstermek için ortak olun.
liderlik desteği
Güvenlik Farkındalığı Programınızın etkisi ve değeri hakkında ölçümler toplamak ve bu değeri liderliğe iletmek için ayda iki ila dört saat ayırın. Bu bilgiler, liderliğin programınızın sağladığı değeri daha iyi anlamasını ve düzenli olarak görmesini sağlamak için resmi olmayan ölçütleri, yerleşik temel performans göstergelerini ve hatta başarı öykülerini içerebilir.
Takım boyu
Teknik güvenlik, kuruluşlar için bir odak noktası olsa da, güvenliğin insani yönü genellikle göz ardı edilmiştir. Bu dengesizlik, işgücünü siber saldırılar için çekici bir hedef haline getiriyor. 49’u teknolojiye odaklanan 50 kişilik bir güvenlik ekibinin, insan riskini yönetmek için yalnızca bir kişiyi bırakması alışılmadık bir durum değil. İnsan odaklı güvenliğe yapılan bu yetersiz yatırım, insan siber risklerinin öne çıkmasına katkıda bulunuyor.
Spitzner, “Geleneksel yıllık uyum odaklı eğitim modeli, günümüzün siber tehdit ortamında yetersizdir, bu nedenle raporun tamamına pratik, eyleme geçirilebilir tavsiyeler ekledik” dedi. “Verilerimize göre e-posta kimlik avını içeren en önemli insan risklerini ele almaktan, yeterli kaynakları ve bütçeyi güvence altına alma konusundaki yaygın zorluğun üstesinden gelmeye kadar, kuruluşları insan riski yönetimi stratejilerini iyileştirmek ve şunların sağlanmasına yardımcı olmak için gerekli araçlarla donatmayı amaçlıyoruz: kuruluşlar, siber güvenlik risklerinin insani boyutunu güçlü bir şekilde ele almak için personele, kaynaklara ve araçlara proaktif olarak yatırım yapıyor.”