Analist Gartner, 2021 yazında Güvenlik farkındalığı bilgisayar tabanlı eğitim için pazar rehberi. Veri ihlallerinde insan unsurunun (%85) birincil katalizör olmaya devam ettiğini ve ihlallerin %36’sını kimlik avının oluşturduğunu bildirdi.
Pazarlama otomasyonu platformu sağlayıcısı Intuit Mailchimp’te Ocak 2023’te manşetlere çıkan yakın tarihli bir saldırı meydana geldi.
Şirketin baş teknoloji sorumlusu (CTO) Eric Muntz, kullanıcıları eğitme ve koruma konusundaki zorlukları tartışırken şöyle diyor: “İnsanları sosyal mühendislik saldırılarına karşı korumak gerçekten zor. Diğer liderleri her şeyden önce bu konu hakkında konuşmaya ve bunu alışma ve eğitimin bir parçası haline getirmeye teşvik ediyorum.”
Mailchimp, saldırı tarzlarını göstermek için konuşmacıların davet edildiği “kahve saati” sırasında gösteriler yürütür. Muntz, “Bu eğitimle ilgili” diyor.
Pandemi sonrası uzaktan çalışma uygulamalarının büyümesi, kuruluşların sosyal mühendislik saldırıları tarafından tehlikeye atılma risklerini artırdı.
İyileştirilmiş motivasyon ve daha fazla esneklik dahil olmak üzere çok sayıda avantaj sağlamasına rağmen, BT uzmanlarının yaklaşık beşte biri, çalışanların uzaktan çalışırken güvende olmadığını söylüyor. İnsanlar izole bir şekilde çalışma eğilimindedir ve iş arkadaşlarıyla iletişim kurmak için işbirliği araçlarını kullanabilseler de, e-posta yine de dahili iletişim için kullanılmaktadır. Statista’dan alınan veriler, e-posta mesajlarının sayısının 2025 yılına kadar dünya çapında 376 milyara çıkacağını gösteriyor.
Siber güvenlik stratejisindeki eğitim unsuru
Bu nedenle, uzaktan çalışanların karşı karşıya olduğu mevcut güvenlik risklerini ve kuruluşların bunları azaltmak için personeli nasıl eğitebileceğini anlamak önemlidir.
GigaOm’un en son yazarı olan BT güvenlik uzmanı Jamal Bihya Güvenlik bilinci ve eğitimi rapor, iş liderlerinin “insan güvenlik duvarlarında” ne kadar güvenlik gerektiğini değerlendirmeleri gerektiğine inanıyor.
“Fikir, güvenliğin genel çalışanı hedef alan eğitimi garanti etmesidir” diyor.
“Slogan, kolay yolu güvenli hale getirmek ve güvenlik ilkelerini mevcut iş akışlarına yerleştirmek için tasarımı gereği güvenliği kullanmaktır”
William Candrick, Gartner
Kuruluşların, kullanıcıları hedef alan bu saldırı vektörlerinin %100’ünü ortadan kaldırmak için yeterli eğitimi vermesi pek olası olmasa da Bihya, kuruluşların BT güvenliği farkındalığını personeli arasında bir “refleks eylem” haline getirmeyi hedeflemesi gerektiğine inanıyor.
Ancak Gartner’da yönetici analist olan William Candrick’e göre, geleneksel eğitimin zorluğu, e-posta kimlik avı ve sosyal mühendislik saldırıları gibi çok yıllık sorunları ele almaya çalışmasıdır.
Gartner’ın araştırmasına göre veri ihlallerinin %82’si insan hatası içerirken, çalışanların %69’u siber güvenlik rehberliğini atlıyor. Ayrıca, %93’ü eylemlerinin siber risk oluşturduğunu biliyor.
Candrick, eylemlerinin kötü niyetli olmadığını savunuyor ve %29’u kuruluşlarının uyguladığı siber güvenlik önlemlerini aşmanın nedeni olarak hız ve kolaylığı gösteriyor. Gartner’ın araştırması, bu kişilerin %18’inin iş hedeflerinin siber güvenliğe olan etkisinden daha ağır bastığına inandığını gösteriyor.
Candrick, “Slogan, kolay yolu güvenli yol haline getirmek ve güvenlik ilkelerini mevcut iş akışlarına yerleştirmek için tasarım gereği güvenliği kullanmaktır” diyor.
Gartner’ın araştırması, HornetSecurity’nin uzak personelin %74’ünün uzaktan çalışırken kritik verilere erişimi olduğunu tespit eden bir anketine yansıdı. Bunun da ötesinde, çalışanların kişisel bilgisayarlar, tabletler ve akıllı telefonlarda iş hesaplarında oturum açmasına olanak tanıyan bulut sistemleri ile iş artık tek bir cihazla sınırlı değil. HornetSecurity’ye göre çalışanların %15’i işle ilgili görevleri yerine getirmek için kendi cihazlarını kullanıyor.
HornetSecurity CEO’su Daniel Hofmann, iş ve özel yaşam arasındaki bu bulanıklığın, gizli belgelerin korunmasız ağlarda kaydedilmesini ve paylaşılmasını kolaylaştırdığı konusunda uyarıyor. Örnek olarak şöyle diyor: “Geçen yıl Suella Braverman, kişisel e-posta adresinden bir milletvekili arkadaşına resmi bir belge gönderdiğini kabul ettikten sonra içişleri bakanlığı görevinden istifa etti.”
Hofmann, WhatsApp gibi özel sohbet hizmetlerinin genellikle ticari iletişim için kullanıldığına ve gizli belgelerin bu tür uygulamalar aracılığıyla sıklıkla paylaşıldığına dikkat çekiyor.
Hofmann’ın deneyimine göre, dosya paylaşımı hızla siber güvenlik olaylarının yaygın bir kaynağı haline geldi. “Kişisel veya harici ağların güvenliği üzerinde genellikle herhangi bir kontrole sahip olmadıkları için kuruluşlar için benzersiz bir risk oluşturuyor” diyor.
Eğitim, sağlam ve esnek bir siber güvenlik ekosisteminin oluşturulmasında önemli bir role sahiptir. Hofmann, daha kapsamlı ve kapsayıcı bir düzeyde siber güvenlik eğitimi uygulayarak, uzak çalışanların mevcut tehdit ortamı ve eylemlerinin kuruluşu nasıl bir ihlal riskine sokabileceği konusunda daha bilinçli olacağına inanıyor.
“Çalışanlar arasındaki siber güvenlik bilgi eksikliğini gidermek, sağlam bir güvenlik sistemi oluşturmak için çok önemlidir” diyor. “Ancak, artan eğitim yeterli değil. Önleme için sağlam e-posta güvenlik işlevselliği ve kurtarma için yedekleme yetenekleri içeren bir güvenlik çözümüyle daha iyi farkındalığın desteklenmesi gerekiyor.”
Başka bir rapor, Forrester Wave: Güvenlik bilinci ve eğitim çözümleri, 2022 1. Çeyrek, ayrıca eğitim sağlayıcıların BT güvenlik eğitimi ve farkındalığına yaklaşımında bir değişiklik bildirdi. Uzaktan veya fiziksel olarak çalışan çalışanlarla, güvenlik farkındalığı artık sınırsızdır. Analist firma, BT güvenlik liderlerinin kuruluşlarına “her yerde güvenlik” kültürünü yerleştirmelerini tavsiye etti.
Forrester raporu, birçok BT güvenlik eğitimi sağlayıcısının, yazarlarının “artık yalnızca insanları eğitmek için işlev görmeyen çözümler” olarak tanımladığı şeyleri yaratarak bu zorluğun üstesinden geldiğini ortaya koydu. Rapora göre, davranış ve kültür değişikliği BT güvenlik eğitimi pazarında bir gerçeklik haline geldi. Bunun, güncelliğini yitirmiş ve kullanıcılarla teması kesilmiş eski sağlayıcılarla dolu 2020 pazarından çok farklı olduğu belirtildi.
Raporu hazırlarken Forrester, analistlerinin eğitim sağlayıcılarla yaptığı konuşmaların “farkındalık, davranış ve kültür değişikliğine sözde bağlılık gösteren satıcılarla dolu” olduğunu fark etti. Analistler, birçoğunun davranışın nasıl değiştirileceği veya bir kültürün nasıl aşılanacağı konusunda sınırlı bir vizyona sahip olduğunu ve çalışan katılımını ve davranışını ölçmenin yolları olarak içeriklerini ve sınavları hızla açıklamaya geri döndüğünü bildirdi.
Farkındalık, davranış ve kültür değişikliğinde iyileşme sağlamak için Forrester, baş bilgi güvenliği görevlilerini (CISO’ları) insan riskini azaltmayı hedefleri haline getirmeye teşvik ediyor. Raporda, “İnsan riski ölçümü sunan ve riski sınav ve simülasyon puanlarına göre değil, gerçek kullanıcı davranışına dayalı olarak hesaplayan satıcılar arayın” deniyor.
Forrester, eğitim tamamlama oranları, sınav performansı ve katılım ölçütleri gibi geleneksel ölçütlerin temelde kusurlu olduğu konusunda uyardı: “En iyi ihtimalle, bu girdi ölçütleri size yalnızca eğitimi nasıl geliştireceğinizi söyler, davranışı nasıl iyileştirebileceğinizi, kültürü nasıl aşılayabileceğinizi veya siber güvenlik duruşunuzu nasıl güçlendirebileceğinizi göz ardı eder. ”
Çalışanlarınızın insani risk puanını ölçmenize yardımcı olabilecek tedarikçileri seçin. Bir kişinin veya departmanın risk profilini öğrendikten sonra, eğitiminizi ayarlayabilir ve güvenlik programınızı nerede geliştireceğiniz konusunda değerli bilgiler edinebilirsiniz.
Güvenlik bilinci oluşturma
Gartner’ın yazarları, siber güvenlik eğitiminin ve öğretiminin en iyi nasıl geliştirileceğine bakarken Güvenlik farkındalığı bilgisayar tabanlı eğitim için pazar rehberi CISO’ları güvenlik bilincini kimlik avı simülasyonu ve bilgisayar tabanlı eğitimle sınırlamaktan kaçınmaya çağırdı. Rapor, önde gelen eğitim platformlarının, çalışanları eğitmek ve davranışları değiştirmek için çok kanallı, bağlama özel ve çalışan merkezli bir yaklaşımın uygulanmasını artırdığını tespit etti.
Gartner’a göre, güvenlik farkındalığı programlarının başarısı, açıkça tanımlanmış hedeflere, sürdürülen yönetici sponsorluğuna ve kuruluş çapında kolektif katılıma bağlıdır. Gartner’ın araştırması, BT güvenliği eğitimi sağlayıcılarının, kuruluşların insan riski unsurunu ölçmelerine ve daha kişiselleştirilmiş güvenlik farkındalığı programı içeriği sunmalarına yardımcı olmak amacıyla puanlama metodolojilerini giderek daha fazla kullandığını ortaya çıkardı.
Güvenlik farkındalığı programlarına kendini adamış çalışanların yokluğunda, kuruluşlara eğitimin birçok unsurunu düzenlemede yardımcı olan, güvenlik farkındalığı eğitiminin yönetilen hizmet sağlayıcılarına da artan bir ilgi var.
Son olarak, siber güvenlik eğitim platformlarında ortaya çıkan bazı yeni teknolojilere bakıldığında, Gartner’dan Candrick, davranış biliminin gelişmekte olan bir eğitim alanı olduğunu söylüyor. Bu, eğitimi güvenlikle başlamak yerine psikolojik ve akademik bir bakış açısıyla başlatır. Çalışanların siber güvenlik farkındalığını artırmak için “dürtme teorisi” ve davranışsal ekonomi gibi teknikleri kullanır.
Candrick, kurumsal güvenlik politikasını ihlal eden bir şey yapmaya çalıştıklarında kullanıcıları dinamik olarak eğitmek için otomasyonun izleme araçlarıyla birleştirilebileceğini söylüyor. Araştırmadan ve Computer Weekly’nin konuştuğu uzmanlardan net olan şey, mevcut siber güvenlik eğitiminde son birkaç yılda çalışma uygulamalarında meydana gelen değişiklikleri göz ardı eden bir boşluk olduğu.
Dürtme teorisi yeni görünebilir ve Gartner’dan Candrick’in tanımladığı siber güvenlik entegrasyonu tarzı fazla müdahaleci sayılabilir. Yine de bunlar, CISO’lara, çalışanları hibrit çalışma kalıpları için en iyi güvenlik becerileri seti ile donatmak için siber güvenlik eğitiminde ileriye dönük bir yol sunabilir.