07 Mart New York’un En Büyük Sağlık Hizmeti Sağlayıcısında Siber Güvenlik Kültürü
Bloglarda, Videolarda
Northwell Health Başkan Yardımcısı ve CISO’su Kathy Hughes, güvenlik farkındalığı eğitimi hakkında
– david kahverengi
Melbourne, Avustralya – 7 Mart 2023
CISO Raporunun sponsoru: BilBe4.
Yaklaşık 200 tesiste 83.000 çalışanı bulunan 15 milyar dolarlık bir sağlık kuruluşunun bilgi güvenliği sorumlusu (CISO) olarak Kathy Hughes, güvenlik araçları ve teknolojileri, tehdit yönetimi, güvenlik açığı yönetimi, kimlik ve erişim yönetimi, risk yönetimi, güvenlik yönetişimi ve politika ve prosedürlerin sürdürülmesi.
Bununla birlikte, ona sorumluluklarından hangisinin en önemli olduğunu sorun ve bir ritmi kaçırmaz.
Hughes, Cybercrime Magazine’e “Güvenlik bilinci ve eğitimi muhtemelen bir CISO’nun yapabileceği ve sorumlu olduğu en önemli şeydir,” dedi, “çünkü gerçekten yalnızca iki tür saldırı vardır: teknik bir güvenlik açığından yararlanabilen bir siber saldırı ve insanın kırılganlığını, yani kişiyi istismar eden bir sosyal mühendislik saldırısı.”
Bu, uygun siber güvenlik araçlarının önemini azaltmaz. “Bir kuruluşta ve ağda meydana gelen olayların hacmi göz önüne alındığında,” diye açıkladı, “bunu belirlemek ve olaylar olduğunda korumak ve müdahale etmek için araçlarınıza ve teknolojilerinize gerçekten ihtiyacınız var.”
“Ama bir siber saldırıda bile son savunma hattı klavyenin arkasındaki kişidir.”
Bunun nedeni, herhangi bir şirketin güvenlik teknolojilerine yaptığı tüm yatırımlara karşın, “bir kuruluşun gerçekten sakat kalması için tüm bu teknolojileri atlayan tek bir bağlantıya bir kişinin tıklaması yeterlidir” diye ekledi.
Hughes’un, 17.000 doktoru yılda yaklaşık 11 milyon hastaya hizmet veren New York eyaletinin en büyük sağlık hizmeti sağlayıcısı olan Northwell Health’teki yedi yıllık görev süresi, ona siber güvenlik sorunları hakkında yaygın bir farkındalık oluşturmanın ve sürdürmenin önemini öğretti.
Ancak çok fazla hareketli parçaya ve çok sayıda potansiyel insan güvenlik açığına sahip bir kuruluşta, son yıllarda siber güvenlik sorunlarının yüksek profili göz önüne alındığında daha iyi hale gelmesine rağmen, bu farkındalığı oluşturmanın kolay olmadığını kabul ediyor.
“Bir sosyal mühendislik saldırısıyla etkili bir şekilde mücadele etmenin tek gerçek yolu, güvenlik bilinci ve eğitimidir” diye açıkladı. “Ama o zamanlar kimse siber saldırıları veya güvenliği duymamıştı ve benimki gibi pozisyonlar bile yoktu.”
“Bu ilk farkındalığı gerçekten yaratmak çok zaman ve çaba gerektirdi, ancak çok verimli olan şey, artık insanlar için on yıl önceki kadar yabancı bir kavram olmaması.”
Farkındalık oluşturmak ve bunu sürdürmek
Northwell Health’in deneyimini yansıtan her sektördeki işletmeler, özellikle son yıllarda, şirket kurulları bilinçlendirme eğitimine aktif olarak yatırım yaparak ve teşvik ederek CISO’ların liderliğini takip ettiğinden, güvenlik farkındalığı eğitim programlarına büyük yatırımlar yapmaktadır.
Cybersecurity Ventures’a göre, bilgisayar tabanlı eğitim (SACBT) araçlarını içeren her türden güvenlik farkındalığı eğitimi pazarının, özellikle satıcılar önemli siber güvenlik kavramlarını aktarmanın yeni ve eğlenceli yollarını geliştirdikçe, 2027 yılına kadar yıllık 10 milyar doları bulması bekleniyor. ve çalışanların öğrendiklerini akıllarında tutmalarını sağlamak.
Hughes, başarılı bir güvenlik farkındalığı eğitim programının anahtarının onu canlı tutmak ve her türden çalışan için ilişkilendirilebilir kılmak olduğunu söyledi.
Hughes, “siber güvenlik herkesin sorumluluğundadır ve bu temel değeri iş gücümüze aşılamaya çalışıyoruz” dedi. “Farklı hedef kitleleri hedefleyen farklı bilinçlendirme ve eğitim yöntemleri kullandık ve tek beden herkese uymadığı için farklı mesajlar kullanıyoruz.”
“Gerçekten değiştirmek ve ayarlamak zorunda kaldık ve bu sürekli bir süreç,” diye devam etti.
“Kilit noktalara, insanların yalnızca profesyonel yaşamlarıyla değil, aynı zamanda kişisel yaşamlarıyla da ilgili buldukları bir şekilde vurduğunuzdan emin olmak ve bunu gerçeğe dönüştürmek ve gerçek hayattan örnekler sunmak yaratıcılık gerektirir. bir parçası olduklarını hissettirmek için.”
SACBT’nin doğru yapıldığında uzun vadeli değişim sağladığının olumlu kanıtı olarak Hughes, herhangi bir resmi güvenlik eğitimi almadıkları için senaryoda etkili bir şekilde kontrol görevi gören yeni işe alınanların “muhtemelen en yüksek riski oluşturduğunu” söyledi.
Bu yeni işe alınanlar etkilemek için can atıyorlar, ellerinden gelenin en iyisini ortaya koymaya çalışıyorlar ve meşru bir Northwell e-postasının neye benzediğini hala öğrenmediler – bu nedenle Hughes, çalışma sırasında kapsamlı eğitimden geçen yeni işe alınanlara SACBT’den ekstra yardım sağladı. oryantasyon.
Eğitim ekibinin birkaç hafta içinde yeni işe alımları takip ettiğini belirten Hughes, “Onlara eğitim sırasında onlara anlattıklarımız hakkındaki bilgilerini test etmek için hedefli bir kimlik avı tatbikatı yapacağımızı en başta söylüyoruz” dedi. ve bir ay sonra da.
“Bir kimlik avı saldırısının kurbanı olmaya yatkın olmadıklarından emin olmak için uygun eğitime ve araçlara sahip olduklarından emin olmaya gerçekten odaklandık” diye açıkladı.
“Güvenlik bilincini ve eğitimini herkesin DNA’sına ve kültürüne yerleştirmeye çalışıyoruz, böylece bu onlar için ikinci bir doğa haline geliyor ve bu, gerçekten düşünmeleri gerekmeyen bir şey.”
“Bu sadece yaptıkları bir şey ve ne zaman çevrimiçi bir şey yapsalar akıllarının gerisinde kalıyor.”
– david kahverengi Avustralya’nın Melbourne kentinde yaşayan ödüllü bir teknoloji yazarıdır.
David’in Cybercrime Magazine makalelerinin tamamını okumak için buraya gidin.
KnowBe4 sponsorluğunda
KnowBe4, devam eden sosyal mühendislik sorununu yönetmenize yardımcı olan, dünyanın en büyük güvenlik bilinci eğitimi ve simüle edilmiş kimlik avı platformunun sağlayıcısıdır. Fidye yazılımı, CEO dolandırıcılığı ve diğer sosyal mühendislik taktikleri hakkında farkındalığı artırarak, güvenlik konusunda bilinçlendirme eğitimine yeni bir okul yaklaşımıyla güvenliğin insan unsurunu ele almanıza yardımcı oluyoruz. Sizinki gibi on binlerce kuruluş, son kullanıcılarınızı son savunma hattınız olarak harekete geçirmek için bize güveniyor.