Çok faktörlü kimlik doğrulama, küçük bir işletmeye en iyi güvenlik uygulamalarını uygulamanın en kolay yollarından biridir. Ancak bu basit adım çoğu zaman göz ardı edilir.
Örneğin, Microsoft 365 dahil Microsoft bulut ürünlerini kullananların üçte birinden biraz fazlası MFA'yı etkinleştirdi.
Parolaların ötesindeki oturum açma yetkileri bir kuruluşun güvenlik sisteminin küçük bir bölümünü oluşturur ve ilk bakışta çok da önemli görünmeyebilir. Ancak iyi bir siber güvenlik programının diğer parçaları da eksik. İşletmelerin şifre yönetimi zayıf, aralıklı güvenlik farkındalığı eğitim oturumları var ve birçoğunun veri kaybını önleme planı yok.
Bu organizasyonlarda her şeyden çok eksik olan şey güvenlik kültürüdür. Sağlam bir siber güvenlik kültürü olmadan KOBİ'ler, ağları ve verileri ihlallerden ve diğer tehditlerden korumakta zorlanacaklardır.
Integer Holdings Corporation'ın CISO'su Richard Balducci, Orlando, Florida'daki Zero Trust World'de bir dinleyiciye, siber güvenlik kültürü geliştirmenin yalnızca prosedürleri ve süreçleri takip etmekle ilgili olmadığını, güvenliğin kuruluşun genel iş operasyonlarının kökleşmiş bir parçası olduğu zaman olduğunu söyledi. Şubatta.
Balducci, insanların nasıl hareket edeceklerini veya siber güvenlik uygulamalarını nasıl uygulayacaklarını bilmediklerinde, bilgi sahibi görünen diğer kişilerin rehberliğini takip edeceklerini söyledi. İnsanlar norm gibi görünen şeylere uymak istiyorlar ama ya liderlik edenler de takip edenler kadar kaybolmuşsa ne olur?
Küçük işletmeler, sınırlı kaynakları nedeniyle siber saldırılara karşı özellikle savunmasız olabilir ve bu, günümüzün çalışma ve tehdit ortamlarında iş operasyonlarında güvenliğin neden gerekli olduğunu gerçekten anlayan kişilere erişime sahip olmayı da içerir.
Doğru sistem ve araçlara sahip olmak önemlidir, ancak bu aslında insanlara bağlıdır.
MightyID COO'su Chris Steinke bir e-posta röportajında, “Güvenlik altyapısının hava geçirmez olduğu daha büyük kuruluşlarla olan deneyimime göre bile, insan unsuru her zaman uygun korumalar olmadan istismar edilebilir” dedi.
Bu durum siber güvenlik farkındalığının geliştirilmesini zorunlu hale getiriyor. İşletmeler, siber güvenliği organizasyonel değerlere dahil ederek siber saldırılara karşı savunmalarını geliştirebilirler.
Steinke, “Siber güvenlik kültürü, her çalışana güvenliğin koruyucusu olarak hareket etme yetkisi vererek potansiyel tehditlere karşı sorumluluk duygusu ve farkındalık yaratıyor” dedi.
Siber güvenliği satın almak
Her türden bir kültür yaratmak, katılımcıların (bu durumda KOBİ sahiplerinin ve çalışanlarının) yeni tutum ve davranışlara yatırım yapmasını gerektirir. Siber güvenlikte, işletmeye yönelik potansiyel tehditler, bu tehditlerin etkisi ve bunların nasıl önlenebileceği konusunda farkındalık oluşturmaktır.
Check Point Software'in siber güvenlik mimarı ve müjdecisi Micki Boland'a göre, KOBİ liderliğinin çalışanların dikkatini çekmek ve onların davranış ve eylemlerinin şirketin siber güvenlik statüsüne nasıl faydalı olduğunu göstermek için bir kancaya ihtiyacı var.
Oyunlaştırmanın bu kancayı sunmada başarılı olduğu kanıtlandı. Liderlik, tehdit aktörlerinin giderek artan karmaşıklığını vurgulayan senaryolar oluşturabilir ve ekipleri ve bireyleri, şirket içi yarışmalar olarak en iyi güvenlik uygulamalarının nasıl uygulanacağı konusunda çözümler bulmaya teşvik edebilir.
Ya da davranışlar günlük kullanıma yerleşene kadar farklı alışkanlıklar için (bir bağlantıya tıklamamak veya şüpheli e-postaları bildirmemek) ödüller ayarlayabilirler.
Minimum maliyetle küçük en iyi uygulamalar
Tehdit aktörleri, şirketleri kandırmak ve kullanıcıları hata yapmaya ikna etmek için her türlü hileye başvuruyor. Bir güvenlik kültürü oluşturmak yalnızca çalışanların daha iyi güvenlik en iyi uygulamalarına yönelik çabalarını artırmalarını sağlamak anlamına gelmez; aynı zamanda tehdit aktörlerinin kuruluşun sisteminde ne tür istismarlar yapabileceğini de öngörüyor.
Steinke, “Güçlü şifre politikaları uygulamak ve çok faktörlü kimlik doğrulamayı etkinleştirmek gibi basit adımlar, çeşitli saldırıları engellemede uzun bir yol kat edebilir” dedi.
Çalışanları yalnızca iş cihazlarına değil, kurumsal verilere veya altyapıya erişimi olabilecek herhangi bir cihaza yama ve yükseltme uygulamaya teşvik etmek de aynı şekilde olabilir. Bu özellikle IoT cihazlarına bağlı ev yönlendiricilerini kullanan uzak çalışanlar için önemlidir.
Ayrıca alan adlarını ve e-posta adreslerini daha yakından inceliyor ve bunların hacklenmeye karşı dayanıklı olmasını sağlıyor.
Sinsi saldırı tehdidi aktörlerinin kullandığı sinsi saldırı tehditlerinden biri, büyük I yerine küçük l veya 1 gibi belirli karakterlerin yerine geçen sahte web siteleri oluşturmaktır. Bir web sitesinde veya e-posta adresindeki bu karakterler arasındaki farkı söylemek neredeyse imkansızdır; Tehdit aktörlerinin onları kandırması ve meşru görünen ancak aslında alıcıyı kötü amaçlı bir siteye gönderen veya hassas bilgileri ifşa etmesi için kandıran bağlantılar ve e-posta adresleri oluşturması kolaydır.
Hızlı ve ucuz bir çözüm, tehdit aktörlerinin bunu yapamaması için kolayca taklit edilen karakterleri kullanan alan adlarını kaydettirmektir.