Siber Farkındalık, Şirketlerin Esg Yükümlülüklerini Karşılamasına Yardımcı Olabilir
NINJIO CEO’su Shaun McAlmont tarafından
Özel sektördeki en önemli trendlerden biri – öncelikle halka açık şirketler arasında, ancak giderek küçük ve bağımsız şirketler arasında da – iş uygulamalarının çevresel, sosyal ve yönetişim (ESG) konuları merceğinden analizidir. Sadece “sonuç”un ötesinde şirketlerden, günlük faaliyetlerinin dört duvarın ötesindeki yaşamı olumlu veya olumsuz nasıl etkilediğini dahil etmek için başarı ölçütlerinin açıklığını açmaları isteniyor. Tüketiciler, şirketlerin kendi çıkarlarına uygun olup olmadığı konusunda giderek daha fazla endişe duymaya başlarken, diğer kilit paydaşlar (yatırımcılardan firmaların faaliyet gösterdiği toplulukların liderlerine kadar) kamu yararına daha fazla önem verilmesini istiyor.
Siber güvenlik, özellikle ürün yönetişimi açısından, herhangi bir şirketin ESG stratejisinin kritik bir bileşenidir. Hassas müşteri bilgilerinin korunmasından veri gizliliğiyle ilgili yasa ve yönetmeliklere bağlılığa kadar, temel ESG kriterlerini karşılamak için sağlam bir siber güvenlik platformu vazgeçilmezdir. Pek çok şirket siber güvenliğin tamamen BT ekipleri, güvenlik duvarları ve dijital altyapı ile ilgili olduğuna inanırken, iyi eğitimli bir iş gücü aslında bir şirketin en önemli siber güvenlik varlığıdır. Bunun nedeni, siber saldırıların büyük çoğunluğunun sosyal mühendisliğe dayanmasıdır: bir kuruluşa sızmak için insanların kandırılması ve manipüle edilmesi.
ESG’nin dünyanın en büyük kuruluşları için önemli bir odak ve raporlama alanı olduğu ve tüketicilerin kişisel verilerinin nasıl kullanıldığı konusunda endişe duyduğu bir zamanda, çeşitli saldırı vektörlerine ilişkin farkındalık hiç bu kadar hayati olmamıştı. Yöneticiler de dahil olmak üzere güvenlik sektörünün dışındaki çoğu kişinin genellikle fark etmediği şey, ihlallerin yüzde 85’inin insan unsuru içerdiğidir (Verizon’un 2021 Veri İhlali Araştırmaları Raporuna göre). İyi haber: Çalışanlar doğru bilgilerle donatılırsa çoğu saldırı önlenebilir. Bu nedenle, etkili bir güvenlik farkındalığı eğitimi (SAT) programı, kuruluşlarının dijital altyapısına daha az (veya sıfır) saldırı bildirmek isteyen büyük veya küçük tüm şirketler için olmazsa olmazdır.
Tüketici ilişkilerinde yeni bir dönem
2022 Edelman raporuna göre, kurumsal yatırımcıların yüzde 88’i “ESG’yi operasyonel ve finansal hususlarla aynı incelemeye tabi tutuyor.” Çoğu şirket için siber güvenliğin nasıl uygulandığı ve önceliklendirildiği, veri güvenliğini ve gizliliğini, hizmet ve teknolojinin sürekliliğini ve ağlarının ve sistemlerinin operasyonel bütünlüğünü doğrudan etkilediği için genel yönetişimlerinin temel bir parçasıdır.
Geniş yönetişim uygulamalarının ötesinde, siber güvenlik, tüketicilerin kişisel verilerinin nasıl toplandığı, saklandığı ve kullanıldığı konusunda son derece endişeli olduğu bir zamanda özellikle önemlidir. Pew Araştırma Merkezi’ne göre Amerikalıların yüzde 81’i, kendileriyle ilgili bilgi toplayan şirketlerin potansiyel risklerinin faydalarından daha fazla olduğunu söylerken, yüzde 79’u şirketlerin topladıkları verileri nasıl kullandıkları konusunda endişe duyduklarını söylüyor. Bu, şirketlerin kapsamlı ve şeffaf veri gizliliği ve güvenlik politikalarının yanı sıra şirketi güvende tutabilecek bir SAT programına sahip olması gerektiğini güçlü bir şekilde hatırlatır.
Siber güvenlikle ilgili girişimler hakkında ESG raporlaması, yalnızca yatırımcılar arasında güven oluşturmakla ve kamu kayıtları için bir düzeyde şeffaflık sağlamakla kalmaz, aynı zamanda tüketici verilerinin korunmasına ilişkin uyumu da sağlar. Artan sıklık ve yıkıcı siber saldırılardan devlet destekli siber savaşın yarattığı tehdide kadar, şirketlerin benzeri görülmemiş ve sürekli gelişen bir siber tehdit manzarasıyla karşı karşıya olduğunu görmek için tek yapmanız gereken manşetlere bakmak. Çalışanlar arasındaki siber güvenlik bilinci, tüm bu siber saldırılara karşı insani savunma sağlar ve bu da şirketlerin savunmasızlığını büyük ölçüde azaltır.
Siber farkındalığa sahip bir iş gücü oluşturmak için sorumluluk almak
Sosyal mühendislik sayısız biçim alabilir, bu da birçok farklı organizasyona sızmak için çok yönlü bir taktik olduğunun kanıtlanmasının nedenlerinden biridir. Siber suçlular, “acil” eylem talep eden e-posta konu satırları, yasal ve mesleki sonuçları tehdit eden zorlayıcı mesajlar veya devlet görevlilerinin (özellikle kolluk kuvvetleri ve IRS) kimliğine bürünme gibi manipülatif teknikler kullanır. Şirketler iyi eğitimli çalışanlara sahip olmadığında, çalışanları, müşterileri ve onlarla ilişki kuran diğer paydaşlar için doğrudan risk oluşturan bu aldatmacalara karşı özellikle hassastırlar.
Son iki yılda, salgın nedeniyle çok büyük bir siber dolandırıcılık akışı oldu; bu, siber suçluların savunmasızları sömürme fırsatlarına dayalı olarak sosyal mühendislik stratejilerini her zaman güncellediklerini açık bir şekilde hatırlatıyor. Örneğin, ABD hükümeti ücretsiz COVID-19 testleri dağıtacağını duyurduktan sonra, siber suçlular covidtests.gov gibi meşru kaynaklara benzer alan adlarına sahip sahte web siteleri kurdu. Sayısız plan var: hassas ödeme bilgileri karşılığında teşvik çekleri sunan sahte web siteleri, mucizevi tedaviler vaat eden e-postalar, güncellenmiş COVID politikaları veya İK departmanlarından geldiği iddia edilen tazminatlar hakkında sahte mesajlar vb. Proofpoint’e göre, salgınla ilgili kimlik avı saldırıları geçen yaz yüzde 33 arttı.
Siber suçlular arasında gelişen taktikler ve artan başarılı saldırı oranları, şirketlerin hassas bilgileri koruma ve sistemlerinin tehlikeye atılmamasını sağlama konusunda her zamankinden daha fazla sorumlu olduğu anlamına geliyor. CEO’lara yönelik 2021 KPMG anketi, siber güvenlik riskini büyümeye yönelik en büyük tehdit olarak gördüklerini ortaya çıkardı; bu risk, tüketiciler ve yatırımcılar her geçen gün daha fazla ciddiye alıyor. Bu arada, pek çok şirketin hâlâ uzaktan çalışmaya bel bağladığı bir zamanda – ki bu, güvenli olmayan ev ağları ve IoT cihazlarının kullanımından halka açık WiFi kullanımının risklerine kadar bir dizi siber güvenlik sorunu ortaya çıkarıyor – şirketlerin siber güvenliğe daha önce hiç olmadığı kadar öncelik vermesi gerekiyor.
Şirketler, kârla birlikte kamu yararını da gözetme konusunda hiç bu kadar baskı altında olmamıştı ve hassas tüketici verilerinin ve temel dijital hizmetlerin bütünlüğünü korumak, ÇSY çabalarının önemli bir parçası olmalıdır. Bu nedenle şirket liderleri, SAT performanslarını çalışanlarını, müşterilerini ve paydaşlarını nasıl koruduklarının kritik bir göstergesi haline getirmelidir.
yazar hakkında
Sean McAlmont, NINJIO’nun CEO’su ve ülkenin önde gelen eğitim ve öğretim yöneticilerinden biridir. Stride, Inc.’de Kariyer ve İşgücü Eğitimi Başkanı olarak görev yaptı, Başkan ve CEO olduğu Lincoln Eğitim Hizmetlerinde on yıllık bir görev süresine sahipti ve ayrıca Neumont Bilgisayar Bilimleri Koleji’nde CEO ve Alta Kolejleri Başkanı olarak görev yaptı. Çevrimiçi Öğrenme Bölümü. İş gücü ve eğitim teknolojisi deneyimi, Stanford ve Brigham Young Üniversitelerindeki erken dönem öğrenci geliştirme rolleriyle desteklenmektedir. Eski bir NCAA ve uluslararası sporcudur ve BorgWarner ve Lee Enterprises yönetim kurullarında görev yapmaktadır. Yüksek öğrenimde doktora derecesini Pennsylvania Üniversitesi’nden, yüksek lisans derecesini San Francisco Üniversitesi’nden ve lisans derecesini BYU’dan üstün başarıyla aldı. Sean’a çevrimiçi olarak ([email protected], @ShaunMcAlmont Twitter’da ve LinkedIn sayfasında) ve ayrıca NINJIO’nun web sitesinde: ninjio.com.