Büyük bir ihlal manşetlerde bulunduğunda, etki verileri tehlikeye atılan bireylerin çok ötesinde dalgalanır. Tüketici güvenini sallar, personelden acil iç soruları tetikler ve CISO’nun omuzlarına kare olarak iner. Ve siber güvenlik liderleri uzun zamandır saldırıları önlemeye ve yanıtlamaya odaklanmış olsa da, birçok programdaki eksik parça teknolojik değildir. Davranışsal.
Veri güvenliği konuşmasında çok önemli bir ana ulaştık. Siber güvenlik araçlarına rekor kıran yatırımlara rağmen, denklemin en savunmasız kısmı, insan unsuru olan yetersiz olmaya devam ediyor.
Peki, bu modern CISO için ne anlama geliyor?
Odaklanmanın bir kısmını güvenlik duvarlarından ve çerçevelerden daha az ölçülebilir ancak aynı derecede kritik bir şeye kaydırmayı gerektirir: insanların riski nasıl düşündüğünü, hissettiğini ve tepki verdiklerinin derin bir anlayışı.
Algı ve Gerçeklik: Tüketici Güven Boşluğu
Nisan ayında, sonuçlarını yayınladık. Kimlik ve Siber Güvenlik Endişeleri (ICC) AnketiABD’li yetişkinlerin yakın zamanda yapılan bir anketi, bu bir çelişki ortaya çıkardı. İnsanların yüzde 87’si internete bağlı cihazları kullanarak kendilerini güvende hissettiklerini söylerken, neredeyse aynı yüzde-yüzde 85-hacklenmekten endişe duyuyor ve yüzde 88’i şifre uzlaşmasından endişe ediyor.
Bu kopukluk sadece bilişsel uyumsuzluktan daha fazlasıdır. Siber güvenlik liderlerine geleneksel güvenlik farkındalık çabalarının yankılanmadığının bir işaretidir. Güçlü şifreler ve siber hijyen etrafında yaygın mesajlaşmaya rağmen, on katılımcıdan sadece üçü önerilen tüm veri koruma uygulamalarını takip ettiklerini söyledi. Başka bir deyişle, tüketiciler kendinden emin olabilirler, ancak çoğu korumalarını önemli ölçüde güçlendirebilecek önemli kişisel adımlar atmıyor.
Bu boşluk, CISOS için hem bir meydan okuma hem de fırsat sunar. Zorluk, birçok güvenlik programının, kullanıcıların rasyonel ve sürekli olarak en iyi uygulamaları takip edecekleri varsayımı üzerine inşa edilmesidir. Gerçekte, kanıtlar bunun nadiren böyle olduğunu göstermektedir. Bu yanlış hizalama, en sofistike savunmaları bile zayıflatır-ve siber güvenlik için daha insan merkezli bir yaklaşıma ihtiyaç duyulur.
Ve burada fırsat yatıyor. Cisos, güvenlik programlarını nasıl değerlendirdiklerini ve siber güvenlik sağladıklarını yeniden değerlendirebilir. Bu programlar öncelikle sistemleri korumak veya onlara güvenen insanları desteklemek için tasarlanmış mı? Bu, kullanıcıların yaşanmış deneyimini, riski nasıl algıladıklarını, kararlarını neyin yönlendirdiğini ve sürtünme veya karışıklıkla nerede karşılaştıklarını düşünmek için teknik kontrollerin ve uyumluluk kontrol listelerinin ötesine geçmek anlamına gelir.
İnsan Davranış Mücadelesi
Sorun, tüketici (veya kullanıcılarınız) adına endişe eksikliği değildir. Anket, yüzde 91’inin siber saldırılarda yapay zekanın kullanımı konusunda endişeli olduğunu buldu. Yarısından fazlası, cihazlarını kullanırken sadece biraz güvenli hissettiklerini söylüyor ve kaygının yüzeyin altında kaldığını gösteriyor. Bu endişeye ve kimliklerine yönelik tehditlere rağmen, eylemsizlik bol miktarda bulunur.
Sebepleri, belirsiz rehberlikten uyanık yorgunluğa, siber korumanın çok karmaşık olduğu algısına kadar değişmektedir. Davranış değişikliğinin önündeki bu engeller genellikle mantık ve politikanın uyum sağlamak için yeterli olduğunu varsayan siber güvenlik ekipleri tarafından hafife alınır. Ancak güvenlik sadece teknik bir zorluk değildir; Bu psikolojik.
İnsanlar her zaman rasyonel kararlar almazlar, özellikle de kimlik hırsızlığı veya hesap devralmaları gibi soyut veya görünmez tehditler söz konusu olduğunda. Riski kabul edebilirler, ancak yine de şifreleri yeniden kullanabilirler. Bir ihlalin yerçekimini anladığını duyabilirler, ancak hesaplarını izlemek için adımlar atmazlar.
Örgütsel güvenlik programları, gerçek insanların nasıl davrandığını kabul edemediğinde, en güçlü teknolojik savunmalar bile içeriden zayıflatılabilir.
Gerçekten de, bir CISO olarak, çalışanların önce insan olduğunu ve kişisel alışkanlıklarının işyerine geçtiğini kabul etmek önemlidir. Bu yüzden tartıştığımız daha geniş tüketici verileri sadece piyasa içgörüden daha fazlasıdır; Çalışan davranışının bir aynası ve uzatma gereği örgütsel risktir. Kişisel yaşamlarında güvenli alışkanlıkların teşvik edilmesi – kimlik korumasını bir çalışan yardımı olarak sunmak gibi – hem bireyi hem de işletmeyi koruyan bir güvenlik kültürünü güçlendirir. İnsanları güçlendiren, organizasyonu güçlendiren şey.
İhlallerin duygusal geçişi
Tekrarlanan ihlallerin ardından artan tüketici ilgisizliğinin ortak anlatılarına rağmen, anket sonuçlarımız farklı bir hikaye anlatıyor. Katılımcıların şaşırtıcı% 94’ü, hassas bilgilerinin bir veri ihlaline dahil olduklarına dair bir bildirim aldıkları takdirde endişe duyacaklarını ve% 75’inin son derece veya çok endişe duyacaklarını söylediklerini söyledi.
Bu önemli – çok. Tüketiciler ayarlamıyor ve kişisel güvenliklerini çok önemsiyorlar. İhlaller hala güçlü duygusal tepkileri tetikliyor.
Bir CISO olarak, ihlalleri talihsiz bir aksilik olarak görmemek önemlidir; Onlar derin kişisel ihlaller olarak deneyimlenirler ve güven güvenini yeniden inşa edebilir veya kalıcı olarak kırabilirler. Cisos, ihlalin arkasındaki duygusal parayı tanımalı ve stratejilerini buna göre tasarlamalıdır. Teknik iyileştirme, empatik iletişim, sonraki adımlar ve insanların tekrar güvende hissetmelerine yardımcı olmak için gerçek destek ile eşleştirilmelidir. Kısacası, ihlal tepkisini bir insan deneyimi (sadece teknik bir egzersiz değil) olarak ele alan kuruluşlar, uzun vadede sadakati koruyanlar olacaktır.
Cisos farklı yapabilir
Herkese uyan tek bir çözüm yoktur, ancak daha insan merkezli bir siber güvenlik stratejisi oluşturmaya başlamanın yolları vardır. İşte birkaç fikir:
- Güvenlik eğitimini sadece mantık değil, duygu etrafında yeniden şekillendirin. İnsanların hikayeler üzerinde istatistiklerden daha fazla hatırlama ve hareket etme olasılığı daha yüksektir. Gerçek hayat senaryolarına ve sonuçlarına yönlendirin.
- Müşteri Hizmetleri Gibi Anma sonrası yanıtı tedavi edin. Teknik sınırlamanın ötesine geçin. Anlamayı ve duygusal olarak destekleyici olmayı kolaylaştırın.
- Güvenlik açığı anlarına odaklanın. Müşterilerin en çok maruz kaldıklarını ve proaktif olarak koruma ve rehberlik sunduğunu belirleyin.
- İnsan deneyimini ölçün. Sadece teknik kurtarmayı değil, kullanıcıların nasıl hissettiklerini, kurtarmalarının ne kadar sürdüğünü ve kuruluşa tekrar güvenecek olup olmadıklarını da izleyin.
Güvenlik için insan merkezli bir gelecek
CISO’lar sadece altyapıyı savunmaktan sorumlu değildir. Ayrıca içinde yaşayan insan deneyimini korumaktan da sorumludurlar. Siber güvenliğin geleceği sadece daha akıllı araçlara değil, daha empatik stratejilere de bağlıdır.
İnsanları korumak, nasıl davrandıklarını, nasıl hissettiklerini ve işler yanlış gittiğinde nasıl tepki verdiklerini anlamak anlamına gelir. Deneyim boşluğunu kapatmak sadece iyi bir uygulama değildir; Bu temel liderliktir.
Yazar hakkında
Iris® General (Şirket) tarafından desteklenen Global Kimlik ve Siber Koruma Hizmetlerinin CEO’su olan Paige Schaffer, satış ve pazarlama stratejisi ve gelir büyüme girişimlerine, operasyonları yönetme ve küresel genişlemeye öncülük ediyor. Kimlik ve siber koruma ve restorasyon hizmetlerinde 15 yıldan fazla konu uzmanlığından yararlanarak, özellikle B2B2C yazılımına bir hizmet için geçerli oldukları için, Iris’in yenilikçi kimlik ve siber koruma hizmetlerinin yaratılmasının ve evriminin arkasındaki vizyonerdi. Onun rehberliğinde Iris, Fortune 500 şirketleri ile çok sayıda multimilyon dolarlık sözleşme sağladı ve Bayan Schaffer doğrudan yeni iş sattı ve uzun süreli sözleşme uzunluklarını müzakere etti ve böylece şirket için gelir akışlarını en üst düzeye çıkardı. General’ın web sitesi tarafından desteklenen iris https://www.irisidentityprotection.com/