Dr. Inka Karppinen, CPsychol tarafından. Lider Davranış Bilimcisi, CybSafe
Pek çok yorumcu, çeşitli siber güvenlik sorunlarına teknolojik çözümler sunmaya devam ederken, yüksek profilli siber saldırılar ve veri ihlalleri manşetlere çıkmaya devam ederken, statükonun işlemediği açık. Teknolojinin yanı sıra, önümüzdeki yıl siber güvenlik yaklaşımı daha insan odaklı bir yaklaşımı gerektiriyor.
Çok uzun bir süredir kuruluşlar, siber riskleri açıklayarak çalışanlarının davranışlarını değiştireceğini varsaydılar. İnsan davranışının bir tahmin veya varsayım olması gerekmez, ölçülebilir ve incelenebilir. Sonuç olarak, insanlar iyi davranışlara yönlendirilebilir ve ilerlemeleri ölçülebilir. Kuruluşlar bu bilgiyi siber hijyenlerini iyileştirmek için kullanabilir sırasında olumlu ve etkili bir siber güvenlik mesajını teşvik etmek ve yaymak.
İşte işletmelerin siber güvenlik politikalarını işler hale getirmek için düşünebilecekleri beş adım ile onların işgücü.
1 – İnsanlarla konuşun!
İnsanlar doğal olarak topluluklarda etkileşime girmeye ve çevremizi anlamlandırmaya yatkındır. Bununla birlikte, teknolojik gelişmeler gelişmeye devam ettikçe, siber güvenlik sorunlarının nedeni ve çözümü olarak genellikle tek başına teknolojiye yöneliyoruz. Ancak problem çözmede daha “insan merkezli” bir yaklaşım kullanmak, örgütsel zorluklara alternatif fırsatlar ekler.
Sahadaki insanlarla sohbet başlatmak, bilgilerindeki boşlukların nerede olduğunun daha iyi anlaşılmasını sağlar. Örneğin, çalışanlar ilgi çekici olmadığı veya ‘anti-virüs yazılımı tarafından tamamen korundukları’ için güvenlik farkındalığı eğitimini atlıyor olabilir.
Bilgi almanın en iyi yolu, ister kahve makinesinin yanında olsun, ister gevşek bir mesaj yoluyla veya iyi zamanlanmış, iyi ifade edilmiş bir anket aracılığıyla sohbeti onlara ulaştırmaktır. Birinin güvenlik süreçlerine geçici bir çözüm geliştirdiği biliniyorsa veya bir güvenlik kararıyla karşı karşıya kaldığında doğru eylemi yapmıyorsa, başkalarının da aynı şeyi yapma olasılığı daha yüksektir.
Bilgideki boşluklar, başka türlü kaçınılması mümkün olabilecek hatalara yer bırakır. Çalışanlarını sürece dahil ederek güvenlik uzmanları, boşlukları doldurmak ve anlayışı geliştirmek için gereken bilgileri sağlamak üzere daha donanımlı hale gelecek.
2 – 24/7, yeni 9’dan 5’e
Çalışma ortamı son yıllarda önemli ölçüde değişti. Ofiste bulunma konusundaki önceki ısrar, dahili 9-5 siber güvenlik önlemlerinin, özellikle ofis binalarının fiziksel alanlarında olmak üzere işyerindeki hem bireyleri hem de araçları büyük ölçüde koruyabildiği anlamına geliyordu.
Hibrit çalışmanın yeni norm haline gelmesiyle, 9-5 koruması artık yeterli değil. Evden çalışmak, siber risk için yeni ve daha büyük fırsatlara izin verdi. Siber suçlular 7/24 çalışır ve kişisel cihazların evden kullanılması veya iş cihazlarının nispeten güvenli bir çalışma alanından çıkarılması nedeniyle, insanları ve işletmeleri kötü niyetli saldırılardan korumak için siber güvenlik önlemlerinin günün her saati etkili bir şekilde uygulandığından emin olmak önemlidir. kötü aktörler İlk etapta bu, insanlara çalışma ortamları ne olursa olsun siber risklerini etkili bir şekilde yönetmeleri için araçlar sağlamak anlamına gelir.
3 – Eğitim ve araçlar
Güvenli siber uygulamaları gerçekleştirmek veya tehditleri tanımak için gerekli eğitim ve en önemlisi uygun araçlar sağlanmadığı takdirde kullanıcılar hatalarından dolayı suçlanmamalıdır. Daha da kötüsü, özellikle üretkenlik ve çıktılara odaklanan ortamlarda bir aracın güvenilir bir şekilde performans göstermemesi ve ana iş görevini engellemesidir.
İnsanlar işyerlerinde bir yük olmak veya kendilerini savunmasız hissetmek istemezler; doğal olarak çözümün bir parçası olmak istiyorlar. Bu nedenle, çalışanların kendilerinden ne beklendiğinin farkında olmalarını sağlama sorumluluğu kuruluşlardadır. Ve başarılı olmak için gerekli araçlara sahip olmalarıdır.
CISO’lara siber saldırıları ve ihlalleri önlemede proaktivitenin öneminin söylenmesine gerek yok; kurumsal siber hijyene öncelik vermek ve CISO’lara insanlara öncelik verecek kaynakları vermekle ilgilidir.
4 – Pozitif mesajlaşma, pozitif tepkilere yol açar
Bir bulut e-posta güvenlik platformu olan Tessian’a göre, Mart 2021 ile Mart 2022 arasında siber güvenlik hataları yapan dört çalışandan biri işini kaybetti. Her kuruluşun kendileri için işe yarayan siber güvenlik kararları alması gerekse de, dürüst hatalar için sert cezalar, güvenlikten ödün verseler bile yaptıkları hataları muhtemelen daha az kişinin BT ekiplerine bildirmesine yol açacaktır. Çalışanlar ve yöneticilerin riskleri arasındaki bu boşlukları açmak, siber güvenliği yönetmeyi giderek daha zor hale getiriyor.
Bakış açısını paradigmatik olarak siber güvenlik olaylarını güçlü öğrenme fırsatları olarak görmeye doğru değiştirmek, çalışanları hataları bildirmeye teşvik etmek için hayati önem taşır. Aslında, hatalar yapılırsa bunlar olumlu öğrenme deneyimleri olabilir. Bilgideki boşluklar belirlenebilir ve düzeltilebilir ve gelecekte benzer hataların önlenmesi için güvenlik geliştirilebilir. Olumlu bir mesaj ayrıca insanları siber güvenlik hakkında daha fazla bilgi edinmeye ve çevrelerindeki meslektaşları için şampiyon olmaya teşvik eder. Suçlama kültürünü işbirlikçi, olumlu bir kültüre dönüştürmek, şeffaflığı artırmanın ve temel güvenlik açıklarını ele almanın güçlü bir yolu olabilir.
5 – İşten çıkarmalar ve siber hijyen
2022’nin sonunu ve 2023’ün başlangıcını noktalayan birkaç yüksek profilli toplu işten çıkarmanın göz ardı edilmesi imkansız. Kimse bu tür talihsiz olayları görmek istemese de önümüzdeki aylarda daha fazlasını görebiliriz.
Çalışanların işten çıkarılmasına karar verilirse, kurumsal siber güvenliğin tehlikeye girme riski vardır.
Bu riskler iki farklı şekilde karşımıza çıkıyor, birincisi teknolojinin kendisi. Kuruluşların, teknoloji altyapılarının güvenliğinin korunabilmesini sağlamak için bir kriz yönetimi planı olmalıdır. İster etkili yama uygulamasına izin vermek ister silolardan kaçınmak olsun, önceden planlama yapmak her zaman önemlidir.
İkincisi, işten çıkarmaların bir bireyin psikolojisini ve davranışını nasıl etkileyebileceğidir. Çalışanlar, işverenlerine ait fiziksel donanıma ek olarak çok sayıda kurumsal bilgiye, veriye ve hassas kimlik bilgilerine erişebilir. Korumayı en üst düzeye çıkarmak için, insanların serbest bırakılması durumunda siber güvenlik dikkate alınmalıdır. Bu süreçler, kişinin geçimi için endişe yaratabilecek herhangi bir duyuru iletilmeden önce yürürlükte olmalıdır.
İşten çıkarmalara anlayış ve dürüst mesajlar yoluyla yaklaşmak, anlaşılır şekilde üzgün çalışanlardan çok daha olumlu ve uyumlu bir yanıt alınmasını teşvik eder. Tersine, daha klinik veya duyarsız bir yaklaşım, öfkeyi kışkırtabilir ve aynı insanları siber güvenlikle ilgili yarım kalmış işleri birleştirmekten caydırabilir. Yüzleşmeye dayalı mesajlaşmanın nasıl öfkeye ve uygunsuzluğa yol açabileceğini anlamak için Twitter’daki son işten çıkarmalara bakmanız yeterli, kötü PR’dan bahsetmiyorum bile!
Olumsuz duygusal tepkiler ortaya çıkarmak, insanların paniklemesine ve siber güvenlik açısından mantıksız davranmasına neden olabilir. Örneğin, bireyler, güvenli olmayabilecek özel e-postalara bilgi göndermeye başlayabilir. Nihayetinde, bir kuruluşun çalışanları, kuruluş güvenliği için ilk ve son savunma hattıdır, yani birkaç çalışana veda etmek kaçınılmaz olarak zayıflıklar bırakacaktır. Dolayısıyla, işten çıkarmalara karşı hassas, saygılı davranmak ve destek sunmak, gelecekte siber hijyen sorunlarını en aza indirmenin ilk adımı olabilir.
Değişikliği yapmak
Siber saldırıların sıklığı tüm endüstrilerde arttıkça, CISO’lar, fonların ve kaynakların azaldığı bir zemine karşı korumayı artırmaya çalışmak gibi talihsiz bir konuma itildi. Çözümler her zaman büyük bir organizasyonel masrafla gelmek zorunda değildir.
Açık iletişimi teşvik etmek ve çalışanlar ile C-suite arasında üretkenlik-güvenlik temas noktalarını belirlemek, bir kuruluşun güvenlik kültürünü olumlu yönde yönlendirmede temel olabilir.
Siber güvenliğin insani yönüne daha fazla önem vermek, siber güvenlik en iyi uygulamalarını çevreleyen farkındalığı ve anlayışı artırabilir ve kuruluşları zararlı siber saldırılara karşı koruyabilir. Kuruluşları güvende tutmak karmaşık bir sorundur. Aşağıdan yukarıya doğru yinelemeli olarak güvenli bir kuruluş oluştururken bu beş ipucunu aklınızda bulundurun.
yazar hakkında
Dr Inka Karppinen, CybSafe’in önde gelen Davranış Bilimcisi, Siberpsikolog ve karma yöntemler İnsan-Bilgisayar Etkileşimi (HCI) araştırmacısıdır.
İnsanlara yardım etmenin her yönüyle ilgilenen Inka, onu hem endüstriyi hem de akademiyi kapsayan benzersiz bir yola yönlendirdi. University College London’dan (UCL) Güvenlik ve Suç Bilimi alanında doktora ve MRes derecesine ve Birkbeck’ten İş Psikolojisi alanında yüksek lisans derecesine sahiptir.
Doktorası, insan hatası/ihlal ve davranışsal ekonomi çerçevelerini kullanarak çalışanların güvenlik prosedürlerine uymamasını inceleyen, gerçek dünyadaki bir organizasyon ortamında çok disiplinli bir araştırma araştırmasıydı. Çeşitli davranış değişikliği modelleri, eğitim değerlendirme çerçeveleri, ikna edici teknoloji ve kuruluşun güvenlik kültürünü geliştirme konularında uzmanlaştı.
CybSafe’te Inka, uygulanabilir dijital çözümler tasarlamak amacıyla insanların siber güvenlik tutumlarını ve davranışlarını ortaya çıkarmak için karma yöntem araştırma teknikleri uygular. İnsanların siber güvenlik davranışları üzerinde anlamlı bir pozitif etki yaratarak akademi ile uygulama arasındaki araştırma uçurumunu daraltmayı seviyor. CybSafe’in yıllık Oh Behave! İçişleri Bakanlığı tarafından finanse edilen şu başlıklı proje için raporlar ve baş araştırmacı: Cyber Security Quirks: Personalized Interventions for Human Cyber Resilience.
British Psychological Society (BPS) ile Yeminli Psikolog, Security, Privacy, Identity, Trust Engagement NetworkPlus (Sprite+) Uzman Üyesi ve Küresel Uygulamalı Davranış Bilimleri Derneği (GAABS) Üyesidir. Araştırma, uygulama ve politikaya dahil olan insanları bir araya getirmenin güçlü bir savunucusudur.
Dr Inka Karppinen’e LinkedIn’de Inka Karppinen, PhD CPsychol adresinden ve şirketimizin web sitesi https://www.cybsafe.com/ adresinden ulaşılabilir.