Birisi tipik bir hafta içi nasıl çalıştığınızı sorduğunda, cevabınız muhtemelen uyanmak, kahve demlemek, hatta belki de haberlerde hızlı bir kaydırma bile olağan şüphelileri içerir. Ancak neredeyse kaçınılmaz olarak, uzaktan çalışmanın yaygınlaştığı pandemik sonrası dünyada, aynı zamanda çalışmak için giriş yapmayı da içerir.
Bu sıradan eylemde gömülü, sık sık göz ardı ettiğimiz zamansız bir gerçektir. Her hibrit işçinin içgüdüsel olarak, kas hafızası gibi sessizce performans gösterdiği modern bir ritüelin bir parçası – her yerdeki kuruluşların iş bütünlüğünü korumak için her gün ve her gün güvendiği bir ritüel.
Göz alıcı değil. Nadiren sorgulandı. Ancak kurumsal güvenliğin cephe hattını tanımlar: şifre rutinidir.
Parola rutini kuruluşlar için önemli bir şey olsa da, çalışanlar için, sadece günlük eziyetin bir parçasıdır, takvim davetleri ve kahve yedekleri arasında sıkışmış, güvenlik sonuçlarının bilinçli bir şekilde anlaşılmasından daha fazla alışkanlıktan daha fazla yönlendirilir.
Bir şifre seçmenin ince sanatı
Öyleyse işte böyle gidiyor, değil mi?
Bir organizasyona katıldığınızda, kurumsal ağlarına eklenirsiniz. Hemen, uzaktan veya başka bir şekilde çalışmak için giriş yapmak için kullanacağınız bir şifre seçmeniz talimatı verilir.
Şimdi dürüst olalım, bu noktada, kaçımız organizasyonun güvenliğini günlük rahatlığımıza koyuyoruz?
Evet, karmaşık şifreleri seçmenizi talep eden organizasyon politikaları var. Ama yüzleşelim, çoğumuz hala en yakın zihinsel kısayolu seçiyoruz – yıllarca başka yerlerde kullandığımız parola, muhtemelen bir yere yazılmış çıplak minimum gereksinimleri karşılayacak kadar ayarladık.
Pekala, bunu bir şifreyi unutmanın bir güçlük olduğu organizasyonel rutinler için yapıyoruz, çünkü gezinmek, takip edilecek prosedürleri sıfırlamak ve dahil edilecek desteği desteklemek için uygunluk politikaları var. Böyle bir bürokratik çalışma ayarında, hatırlanması kolay bir şifreyi yeniden kullanmak belirli bir anlam ifade eder. Bununla birlikte, aynı davranışı kişisel yaşamlarımıza taşıyoruz, desteğin sınırlı olduğu ve bir ihlalin sonuçlarının çok daha kişisel olabileceği, ancak genellikle güvenlik üzerinden kolaylık seçiyoruz.
Parola yeniden kullanımının kötü olduğunu biliyoruz. Öyleyse neden hala yapıyoruz?
Kuruluşlar, bu temel davranış modelini göz ardı etme ve bunun yerine, zaten külfetli şifre rutinleri üzerinden uyum eğitimi ve katı güvenlik protokolleri katmanlarına birikerek yanıt veriyor. Bunun nedeni, genellikle bir bilgi problemi olarak işgücü ile şifre yanlış davranışını ele almayı seçmeleridir. Çalışanlar daha iyi biliyorlarsa, daha iyi şifre hijyeni uygulayacaklarını varsayarlar.
Bu sadece değil. Bu davranış, bizi tanıdık sınırların ötesine geçen herhangi bir şeye karşı savaşımızı ifade eden kararlar almaya yönlendiren derin kodlu bilişsel önyargılardan kaynaklanmaktadır.
Sınırlı rasyonalite
Yeterince yeterince iyi.
Kavram, insanlar zaman, bilgi ve bilişsel kaynaklar gibi sınırlarla sınırlandıklarında, mükemmel bir karar vermeye çalışmadıklarını, daha ziyade tatmin edici bir kararla yerleşmeyi seçtiklerini göstermektedir.
Güvenliği yanlış anlamaya çalışmıyoruz. Sadece işimizi halletmeye çalışıyoruz. Parolaları yönetmek zihinsel yorucudur, bu nedenle tarayıcı otomatik doldurma veya yeniden kullanılan şifreler gibi kısayollara razı oluruz. Tembellik değil. Bu sadece zihinsel maliyet fayda hesaplamamızda etkili bir değiş tokuş.
Kullanılabilirlik sezgiselliği
Hatırlarsam, doğru olmalı.
Bu bilişsel önyargı, insanların bir örnek veya bilgi parçasını haklı çıkarmak için ne kadar kolay hatırlayabileceklerine bağlı olarak bir şeyin bütünlüğünü veya gerçeğini doğruladıklarını göstermektedir. Ne kadar yeni veya kişisel olursa, gerçek kanıtlardan bağımsız olarak daha ayrılmaz veya güvenli insanlar hissederler.
Şifreleri anıları yönettiğimiz gibi yönetiyoruz: hatırlanması en kolay olana yaslanarak. Bu nedenle, aynı şifrenin varyasyonlarına bağlı kalıyoruz veya diğer hesaplardan yeniden kullanıyoruz. Bu şifreleri seçmiyoruz, çünkü güvenli değiller, ama bilişsel olarak mevcut oldukları için. Bu bizi daha savunmasız hale getirse bile, ezberlenebilirliği güvenlik ile eşitliyoruz.
Kayıptan kaçınma
Daha güvenli hale getirmekten ziyade erişimi kaybetmemeyi tercih ederim.
Bu bilişsel ilke, insanların kaybın acısını potansiyel kazançların zevkini hissettiklerinden daha canlı hissettiklerini ifade eder.
Birçok kullanıcı için, kilitlenme korkusu, bir siber saldırı riskinden daha acil hissediyor. Bu kaygı, şifreleri yazmak, kişisel hesaplardan şifreleri yeniden kullanmak veya sistem varsayılanlarını kullanmak gibi alışkanlıkları yönlendirir. İnsanlar riskleri anlamıyorlar. Kesintisiz erişim ihtiyacının genellikle uzun vadeli koruma vaadinden daha ağır basmasıdır.
Kusurlu koşullarda bir işgücünden mükemmel kararlar beklemek genellikle nafile olur. Güvenli davranış bir yük gibi hissediyorsa, sistemin akılda tutulmasıyla oluşturulmadığı anlamına gelir. Güvenlik uygulamaları bir eğitim videosu ile aşılanabilirken, kova burada bitmiyor.
Tanıdık ve güvenli arasındaki boşluğu doldurmak
Güvenli davranışı ölçekte gerçekten desteklemek için kuruluşlar, şifre yönetimi yükünü çalışanların elinden çıkarmalıdır. Kuruluşların insan hatası olasılığını azaltması ve şifre yorgunluğuna, yeniden kullanıma veya güvensiz depolamaya yol açan önyargıları atlamaları gerekir. Riskli şifre davranışını önlemenin en iyi yolu, şifre ihtiyacını tamamen kaldırmaktır.
Passeyler, SSO ve sihirli bağlantıların kullanılmasına izin veren kimlik doğrulama araçlarının benimsenmesi, kullanıcıların tipik olarak durduğu sürtünme noktalarını kaldırır.
Passeyler varsayılan davranışlarda bir değişimdir. Kullanıcıları kimlik bilgilerini hatırlamaya veya yönetmeye zorlamak yerine, passeyler, cihazlar arasında güvenli bir şekilde senkronize olan cihaza bağlı kriptografik anahtarları kullanır. Passeylerin uygulanamayacağı yerlerde, SSO çapraz örgütsel erişim için etkinleştirilebilir. SSO, tek bir kimlik bilgisi veya kimlik doğrulama temas noktası ile platformlar arasında erişimi kolaylaştırır. Giriş merkezileştirerek, kullanıcılar düzinelerce giriş noktasını dengelemiyor.
Parola yönetimine müdahale eden önyargıları daha da ortadan kaldırmak için kuruluşlar, birey tarafından şifre yönetimi ihtiyacını ortadan kaldıran passey özellikli tonozların kullanımından yararlanabilir. Bu sistemler yürürlüğe girdikten sonra, kuruluşlar, değere dayalı katılım sağlayan eğitim ile çalışanlara bu sistemlerin güvenliği nasıl verimlilikle el ele geçirdiğini gösterebilir.
Bu yükseltmeler, baskı altındaki erişimi yönetmenin zihinsel zorluğunu kaldırarak sınırlı rasyonaliteyi atladı, çünkü insanların vermesi daha az karar verirse, onları gün boyunca aldığı her şeye razı olma şansları ne kadar az şanslar. Ve hatırlanacak hiçbir şey olmadığında, kullanılabilirlik yanlılığının yanılsamasını çalıştıracak yeri yoktur. Seçim kaybolur, bu nedenle risk de kaybolur. İhlal etmekten daha fazla kilitlenmekten korkan kullanıcılar için bu önemli bir değişimdir, çünkü şimdi erişimden ödün vermeden güvenlik elde ederler.
Dolayısıyla, bir kuruluş, kullanıcının bilişsel önyargılarına bağımlılığı ortadan kaldıran bu tür kontrolleri benimsediğinde, sadece bir güvenlik önlemi dağıtmakla kalmaz. Davranışsal bir müdahale yapıyorlar. İşlerin ters gittiği karar noktalarını ortadan kaldırıyorlar, insanların doğru olanı değil, neyin kolay olduğunu seçtikleri.
Politikanın teknolojiye ayak uydurmasını sağlamak
Gerçekten güvenli bir işletmeye geçiş sadece teknolojiye güvenemez. Ayrıca bir politika düzeyinde de yansıtılmalıdır. Kritik sistemlere ayrıcalıklı erişim söz konusu olduğunda geleneksel erişim paylaşımı genellikle boşluklar bırakır. Örneğin, kritik alan uç noktalarında gerçekleştirilecek planlanmış bakım görevlerinin olduğu durumlarda, çalışanlar paylaşılan kimlik bilgilerine veya manuel onay süreçlerine güvenmektedir, burada bilişsel kısayolların aşırı hizmete ve durgun erişim haklarına yol açar.
Buna karşı koymak için kuruluşlar, ayrıcalıklı erişim yönetimi çözümleri aracılığıyla giderek daha fazla şifresiz erişim paylaşımına yöneliyor. Bu çözümler, önceden tanımlanmış politikalara dayalı olarak erişimi otomatik olarak vererek, iptal eder ve denetleyerek süreci kolaylaştırmaktadır. PAM çözümleri, her erişimin tam zamanında ve hassas bir şekilde kapsamlı olmasını sağlar ve insan müdahalesine duyulan ihtiyacı ortadan kaldırır.
Yine de en iyi teknik çözümler bile yanlış hizalanmış bir politikanın üstesinden gelemez.
Bu bağlamda yapay zeka, politika katmanında önemli bir kolaylaştırıcı olarak devreye girer. Ayrıcalıklı erişimi denetlemeyi amaçlayan BT yöneticileri de insandır ve aynı zamanda benzer bilişsel önyargılardan geçer ve bu da önceki örneklere dayalı erişim tahsis eder. Bununla birlikte, bazen ayrıcalıklı kullanıcıların hiç kullanmadıkları, radarın altında kayabilecek ve ayakta ayrıcalıklara yol açabilecek izinleri olabilir.
Gerçek zamanlı risk değerlendirmelerine dayanan dinamik ayrıcalıklı erişim politikaları önermek ve anormal davranışı tespit etmek için bu kavşakta yapay zeka getirildiğinde, bu gereksiz bilişsel müdahalelere eğilimlidir.
Kurumsal şifre yönetiminde saçmalıkları tanımak
Sisyphus efsanesinde Albert Camus, sonsuza dek yokuş yukarı bir kaya itmek için kınan bir adamın saçma bir hikayesini anlatıyor, sadece her seferinde geri dönmesini izlemek için. Camus, bu görüntüyü tekrarlayan ve görünüşte anlamsız görevlerde bile amacı aradığımızı araştırmak için kullanıyor.
Birçok yönden, şifreler, giriş istemleri, kimlik avı tatbikatları ve uyum kontrol listeleri olsun, güvenlik protokolleri ile günlük etkileşimlerimiz, Sisyphus’un yüküne çok benziyor. Uyarıcı kalmamız, büyüyen bir kural listesini takip etmemiz ve gerçek çalışmalarımıza ayak uydurmamız bekleniyor. Ancak insanlar sürekli baskı altında iyi çalışmazlar. Zamanla, yorgunluk devreye girer, alışkanlıklar devralır ve umursamadığımız için değil, insan doğası olduğu için geçici çözümler ararız.
Çözüm daha fazla karmaşıklık eklemek değildir; Sistemi yeniden düşünmek. Passkeys, SSO, Pam ve AI gibi araçlar sadece güvenliği artırmakla kalmaz. Onlar felsefi düzeltmeler. Bu saçmalıkların bireyini rahatlatırlar. Bunu yaparken, kaya yok olur ve geriye kalanlar, insanların düşünce süreçlerinin ve bilişsel kapasitelerin gerçekliğini yansıtacak bir sistemdir.
__
Yazar Biyografisi
Niresh Swamy, Zoho Corporation’ın Kurumsal BT Yönetim Bölümü olan ManageEngine’de bir işletme evangelistidir. Mevcut rolünde, teknoloji, BT ve siber güvenlik manzarasını araştırıyor, endüstriler hakkındaki yıkıcı haberleri ortaya çıkarıyor ve araştırmasını düşünce liderlik içeriğine dönüştürüyor. İş yerinde değilken Niresh, yaratıcılığını varoluşsal şiire kanalize eder, spekülatif bilimkurgu romanlarında kendini kaybeder ve her şeyi sinema yutar.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!