BETHESDA, Dr. (PRWEB) 24 TEMMUZ 2023 — Yapay zeka (AI), kimlik avı, vishing ve smishing saldırılarının karmaşıklığını ve erişimini artırdıkça, insan siber risklerini anlamak ve yönetmek giderek daha hayati hale geldi. Siber güvenlik eğitiminde dünya lideri olan SANS Enstitüsü, bu konuyu ele alarak, ‘İnsan Riskini Yönetme’ başlıklı SANS 2023 Güvenlik Farkındalık Raporu®’nun yayınlandığını duyurmaktan gurur duyar. 80 ülkeden yaklaşık 2.000 katılımcının deneyimlerine dayanan rapor, özellikle dünya çapındaki kuruluşların %20’sinin geçen yıl uzaktan çalışanların dahil olduğu güvenlik olaylarını bildirdiği bir dönemde, insan siber risklerindeki artan riskin altını çiziyor.
SANS Güvenlik Farkındalığı Direktörü ve raporun ortak yazarı Lance Spitzner, “Dijital dünya hızla genişliyor ve bununla birlikte, siber güvenliğin insan unsuru küresel olarak siber tehditler için birincil hedef olarak geliştikçe her zamankinden daha önemli hale geliyor” diyor. “Rapor, kuruluşlara insan siber risklerini yalnızca anlamakla kalmayıp aynı zamanda proaktif bir şekilde yönetmeleri konusunda rehberlik eden bir pusula görevi görüyor. Dünya çapında binlerce katılımcıdan alınan verileri birleştirerek, kuruluşları insani risk ortamlarını dönüştürme konusunda güçlendirebilecek kalıpları ve pratik yaklaşımları ortaya çıkardık.”
Rapor, güvenlik profesyonellerinin farkındalık programlarını olgunlaştırmaları, kariyerlerini ilerletmeleri ve Güvenlik Farkındalığı Olgunluk Modeli® kullanarak programlarını küresel olarak kıyaslamaları için derinlemesine bir analiz ve eyleme geçirilebilir adımlar sunuyor. Araştırma, güçlü ekipler ve liderlik desteği ile öne çıkan olgun güvenlik programlarının, Güvenlik Farkındalık Ekiplerinde en az üç tam zamanlı çalışana sahip olmasıyla karakterize edildiğini buldu.
Önemli bulgular:
Başlıca İnsani Riskler: Birincil tehditler arasında Kimlik Avı/Vishing/Smishing saldırıları; Gelişmiş araçlar tarafından hafifletilen Parola/Kimlik Doğrulama riskleri; etkili Tespit/Raporlama için bir güvenlik kültürü geliştirmenin zorluğu; ve özellikle karmaşık bulut ortamlarında BT Yöneticisi Hatalı Yapılandırma riski.
Liderlik Perspektifi: Önceki yıllarda olduğu gibi, güvenlik bilinci, kuruluşlar içinde ağırlıklı olarak yarı zamanlı bir taahhüt olarak kabul edilmeye devam etmektedir. Güvenlik farkındalığı uygulayıcılarının kayda değer bir %70’i, bu yıl çalışma sürelerinin yarısını veya daha azını buna ayırdıklarını açıkladı. Bu içgörü, kuruluşların günlük operasyonlarında sürekli siber güvenlik farkındalığının önemini artırmaya yönelik süregelen zorluğun altını çiziyor.
Tazminat: İlk kez, verilerimiz insani risk yönetiminde uzman profesyonellerin daha geniş güvenlik rollerinde emsallerine göre %5’e kadar daha fazla kazandığını ortaya koyuyor. Bu, endüstride bu beceri setleri için artan talebin ve değerin altını çiziyor.
Program Başarısını Arttırmak İçin Temel Eylem Öğeleri:
Risk Açısından Konuşun: Liderlik ve Güvenlik Ekipleri genellikle güvenlik farkındalığını güvenliğin bir parçası olarak değil, risk yönetimiyle çok az ilgisi olan bir uyumluluk çabası olarak algılar. Bu tür algıları değiştirmeye yardımcı olmak için, insan riski yönetimine odaklanın ve bu açıdan konuşun. İnsan riskinin çoğu kuruluşun stratejik güvenlik öncelikleriyle uyumlu olması, liderliğin desteğini kazanması ve bir Güvenlik Ekibinde yankı uyandırması çok daha olasıdır. Güvenlik Ekibi üyelerinizin onlara nasıl yardım ettiğinizi anlamalarına yardımcı olun ve en önemli insan risklerini ve bu riskleri yöneten temel davranışları belirlemek için onlarla birlikte çalışın. Etkili iletişim, eğitim ve katılımın bu temel davranışları nasıl değiştirdiğini ve insan riskini azalttığını gösterin. Güvenlik Operasyonları Merkezi, Olay Müdahale ve Siber Tehdit İstihbarat Ekipleri ile yalnızca işlerini öğrenmek için değil, aynı zamanda insan riskleriyle ilgili zorluklarını çözmelerine nasıl yardımcı olabileceğinizi onlara göstermek için ortak olun.
Liderlik Desteği: Güvenlik Farkındalığı Programınızın etkisi ve değeri hakkında ölçümler toplamak ve bu değeri liderliğe iletmek için ayda iki ila dört saat ayırın. Bu bilgiler, liderliğin programınızın sağladığı değeri daha iyi anlamasını ve düzenli olarak görmesini sağlamak için resmi olmayan ölçütleri, yerleşik temel performans göstergelerini ve hatta başarı öykülerini içerebilir.
Ekip Büyüklüğü: Teknik güvenlik, kuruluşlar için bir odak noktası olsa da, güvenliğin insani yönü genellikle göz ardı edilmiştir. Bu dengesizlik, işgücünü siber saldırılar için çekici bir hedef haline getiriyor. 49’u teknolojiye odaklanan 50 kişilik bir güvenlik ekibinin, insan riskini yönetmek için yalnızca bir kişiyi bırakması alışılmadık bir durum değil. İnsan odaklı güvenliğe yapılan bu yetersiz yatırım, insan siber risklerinin öne çıkmasına katkıda bulunuyor. Bu boşluğu doldurmaya başlamak için teknik ve insan odaklı güvenlik profesyonellerinin 10’a 1 oranında bir başlangıç noktası öneriyoruz.
Spitzner, “Geleneksel yıllık uyum odaklı eğitim modeli, günümüzün siber tehdit ortamında yetersiz kalıyor, bu nedenle raporun tamamına pratik, eyleme geçirilebilir tavsiyeler ekledik” dedi. “Verilerimize göre e-posta kimlik avını içeren en önemli insan risklerini ele almaktan, yeterli kaynakları ve bütçeyi güvence altına alma konusundaki ortak zorluğun üstesinden gelmeye kadar, kuruluşları insan riski yönetimi stratejilerini iyileştirmek için gerekli araçlarla donatmayı ve kuruluşların siber güvenlik risklerinin insani boyutunu güçlü bir şekilde ele almak için personele, kaynaklara ve araçlara proaktif bir şekilde yatırım yapmalarına yardımcı olmayı amaçlıyoruz.”
Raporun tamamını okumak ve programınızı endüstri standartlarına göre kıyaslamak için SANS 2023 Güvenlik Farkındalık Raporu® “İnsan Riskini Yönetme”yi indirin Burada.