Yönetmen kurullarına siber güvenliğin artık iş esnekliği ve büyümesinin merkezinde olduğu ve kuruluşlarının riski yönetme biçimine daha doğrudan etkileşime girmeleri gerektiği söyleniyor. Google Cloud’un CISO ofisinden yeni bir rapor, yönetim kurulu gözetiminin özellikle önemli hale geldiği üç alanı ortaya koyuyor: fidye yazılımı, siber özellikli sahtekarlık ve inovasyon ve siber güvenliğin kesişimi.
Fidye yazılımı kimliğe geçiyor ve masalara yardım ediyor
Raporda, fidye yazılımı saldırılarının nasıl daha hedefli ve yıkıcı hale geldiğini açıklıyor. Tehdit aktörleri artık sadece dosyaları şifrelemek değil. Kimlik sistemlerini, yardım masalarını ve bulut altyapısını kullanıyorlar. Vurgulanan bir örnek, saldırganların çalışanları taklit ettiği ve destek ekiplerini kimlik bilgilerini sıfırlamaya veya çok faktörlü kimlik doğrulama ayarlarını değiştirmeye ikna ettikleri yardım masası personeline karşı sosyal mühendisliğin artan kullanımıdır. Bunu yaparak teknik savunmaları atlarlar ve hesapların kontrolünü kazanırlar.
Rapor, kurulların organizasyonlarında kimliğin nasıl korunduğuna dikkat etmesi gerektiğini vurgulamaktadır. Güvenlik ekipleri, kimlik avına dirençli çok faktörlü kimlik doğrulama gibi daha güçlü korumaları sunmaya çalışırken dirençle karşılaşabilir. Rapora göre kurullar, tonu belirleyecek ve bu önlemlerin kabul edilmesini sağlayacak bir konumdadır.
Belge ayrıca dijital dönüşüm ve bulut benimsemesinin yeni riskler getirdiğine dikkat çekiyor. Saldırganlar, şirket içi ve bulut ortamları arasında kolayca hareket ediyorlar, genellikle sistemler arasında erişimi genişletmek için tehlikeye atılmış tek oturum açma kimlik bilgileri kullanıyorlar. Kurulların kimlik kontrolleri ve izlemeye yapılan yatırımların bu gerçeklikle uyumlu olduğundan emin olmaları tavsiye edilir.
Dolandırıcılık artık bir toplantı odası sorunu
Raporun ikinci teması, işletmeler için en hızlı büyüyen tehditlerden biri olarak tanımlanan siber özellikli sahtekarlıktır. SMS kimlik avı, işletme e-posta uzlaşması, hesap devralmaları ve sahte kripto para birimi yatırımlarını içeren uzun vadeli dolandırıcılık gibi sahtekarlık planları büyük bir ücret alıyor.
Raporda, tahtaların sahtekarlığı önlemeyi denetlemesi için bir çerçeve olduğunu özetliyor. Paranın organizasyonun içine ve dışına nasıl aktığını haritalamak ve bu akışların saldırıya uğrayabileceği noktaları anlamakla başlar. Kurullar, çok faktörlü kimlik doğrulama ve ikili onaylar gibi kontrollerin kritik finansal süreçlere uygulanıp uygulanmadığını sormaya teşvik edilir.
Raporda, tel transferleri ve gerçek zamanlı ödemeler gibi yüksek riskli işlemlerin daha yakın inceleme gerektirdiğini söylüyor. Ayrıca, sahtekarlığı aşamalara ayıran çerçevelerin kullanılmasını önerir, böylece kuruluşlar her adımda daha etkili yanıt verebilir. Kurullar, rollerinin sahtekarlık olaylarının suçsuz ölüm sonrası izlemesini sağlamak olduğu hatırlatılır. Bu incelemeler, kuruluşların kontrolleri geliştirmelerine ve finansal risk için eşikler belirlemesine yardımcı olan kişisel hata atamadan zayıf yönleri tanımlamalıdır.
“İleri düşünen finansal kurumlar, sahtekarlığı önlemeyi stratejik bir avantaj olarak kullanıyor, kanal içi sahtekarlık tespiti yoluyla olumlu müşteri deneyimleri yaratıyor ve ürünleri farklılaştırıyor. Bazı kurullar gerçek zamanlı sahtekarlık tespitlerine yatırım yaptı, yanlış pozitifleri önemli ölçüde azalttı ve yanlış pozitifleri önemli ölçüde azalttı, bu nedenle kaynak tuvaletini azaltarak ve ekosisti ve güçlendirmeyi en aza indirerek verimliliği iyileştirerek, verimliliği iyileştirdi,” düdü, dükkân, dükkanları en aza indirerek ” Ciso, Google Cloud, Net Security yardımına söyledi.
İnovasyon güvenlik olmadan başarılı olamaz
Üçüncü odak alanı, siber güvenliğin geride kalmamasını sağlarken kurulların yeniliği nasıl destekleyebileceğidir. Rapor, güçlü siber güvenlik uygulamalarının, müşterilerle güven oluşturarak ve yeni teknolojinin daha hızlı benimsenmesini sağlayarak bir şirketin öne çıkmasına yardımcı olabileceğini savunuyor.
Yeni ürünler veya hizmetler geliştirildiğinde kurullardan ilk önce bir risk zihniyetini teşvik etmesi istenir. Bu, daha sonra eklemek yerine, güvenliğin sürecin başlarında düşünülmesi gerektiği anlamına gelir. Raporda, kurulların güvenlik metriklerini azaltılmış sahtekarlık veya iyileştirilmiş çalışma süresi gibi iş sonuçlarına bağlayan çevik raporlamayı zorladığını göstermektedir. Bu tür raporlar, tehditler geliştikçe kaynakları hızlı bir şekilde ayarlamayı kolaylaştırır.
Rapor ayrıca, kurulların düzenleyiciler ve endüstri grupları ile proaktif katılımı destekleme fırsatlarını da vurgulamaktadır. Düzenlemeyi bir engel yerine inovasyonun itici gücü olarak görerek, şirketler aynı anda hem uyumluluğu hem de güvenliği güçlendirmenin yollarını bulabilirler.