Siber saldırılar, kimlik avı ve fidye yazılımı olayları ağırlıklı olarak kullanıcı tarafından kolaylaştırılan tehditlerdir; başarıları insan etkileşimine bağlıdır. Bu sorunu çözmek için yalnızca yeni nesil teknolojiye güvenmek yanlıştır; İnsani bir sorunu yalnızca teknolojiyle çözemeyiz.
Güvenlik, daha insan odaklı bir yaklaşıma geçmelidir; çünkü sonuçta erişime ihtiyaç duyan, kimliklerinin yönetilmesi gereken ve kimliğinin doğrulanması gereken kişilerdir ve kasıtsız olsa bile şu anda başarısızlıklara olanak sağlayanlar da yine insanlardır. Bunun yalnızca teknolojik bir sorun değil, temelde insanlara yönelik bir sorun olduğunun farkına varmalıyız. Güvenlik stratejimizde insan faktörlerini ön planda tutarak siber saldırılara, kimlik avına ve fidye yazılımlarına karşı daha etkili ve dayanıklı bir duruş oluşturabiliriz.
Bu zorluk yeni değil; BT merkezli olarak çerçevelendirdiğimiz için öyle görünebilir. Gerçekte kimlik ve erişim yönetimi (IAM), yüzyıllardır en az ayrıcalık ve bilme ihtiyacı ilkelerine dayanan temel bir uygulama olmuştur. Çoğunlukla gözden kaçırdığımız şey, temeldeki bilgi varlıklarımızı anlamanın ve bunlara gerçekten kimin erişmesi gerektiğini belirlemenin önemidir. Bu erişimi kesintisiz bir şekilde kolaylaştırarak, güvenliği korurken kullanıcı deneyimini geliştiriyoruz. Bilgi varlıklarımızı daha mantıksal, kullanıcı dostu ve iş fonksiyonlarıyla uyumlu olacak şekilde yeniden yapılandırsaydık, erişimi etkili bir şekilde yönetme yeteneğimizi önemli ölçüde geliştirebilirdik.
Eğitim ve farkındalık ihmal edilmeye ve yeterince finanse edilmemeye devam ederken, teknolojiye daha fazla ilgi ve bütçeden pay veriliyor. Güvenlik sektörü liderlerinden gelen çok sayıda rapor, anket ve sunum, saldırılara karşı dayanıklılığımızı artırmak için etkili eğitimin çok önemli olduğunu sürekli olarak vurguluyor. Eğitim ve farkındalığa yatırım yapmaya öncelik vermenin, bunları sağlam bir güvenlik stratejisinin hayati bileşenleri olarak kabul etmenin zamanı geldi.
Teknolojiler bu saldırılarla mücadelede destekleyici bir rol oynuyor ancak sonuçta bireylerin doğru seçimleri yapmasına bağlı. Etkili bir savunma oluşturmak için, doğru teknolojiyle desteklenen, iyi eğitimli, güvenlik bilincine sahip personeli güçlendirmeliyiz. BT’nin keyfi olarak erişim kısıtlamaları uygulamasına izin vermek yerine, ekiplerimizi erişim ihtiyaçlarını belirleme sürecine dahil edelim. İşbirliğine ve anlayışa öncelik vererek hem çalışanlarımızı hem de kuruluşumuzu gerçek anlamda koruyan bir güvenlik çerçevesi oluşturabiliriz.
Ayrıca, aşırı kısıtlayıcı güvenlik uygulamalarının bireyleri, özellikle de işlerini etkili bir şekilde yerine getirmekte zorlanırken, riskli davranışlara sürükleyebileceğinin farkında olmalıyız. Yasaların yaklaşımları farklı olduğu gibi, güvenlik politikaları da kullanıcıların yalnızca açıkça yapmalarına izin verilen şeylerle sınırlandırıldığı Napolyon çerçevesini yansıtmamalıdır. Bunun yerine, güvenliği korurken kullanıcıların rollerini yerine getirmelerine olanak tanıyan bir modeli benimsememiz gerekiyor. Güvenlik ekiplerinin, güvenli ve etkili iş performansı sağlayan, güven ve sorumluluk kültürünü teşvik eden çözümleri belirlemek için çalışanlarla işbirliği yapması önemlidir.
Katı kurallardan uzaklaşmak ilerleme için şarttır, ancak güvenlik profesyonellerinin tereddüt etmesi anlaşılabilir çünkü net kurallar bazıları için rahatlık olabilir. Gerçek dayanıklılığın geleceği kullanıcı merkezli güvenlik olmalıdır.