06 Nis CISO Raporu: Siber güvenlik. Her Şey Kültürle İlgili.
Bloglarda, Videolarda
Marathon Petroleum CISO Mary Rose Martinez, küçük işletmeler için tavsiyelerle yanıt veriyor
– david kahverengi
Melbourne, Avustralya – 6 Nisan 2023
CISO Raporunun sponsorluğunu BilBe4.
Güvenlik araçları önemli olabilir, ancak kimlik avı simülasyon programları, çalışanlara kimlik avı e-postalarını tespit etme becerisi kazandırmada “önemlidir”, dünyanın en büyük petrol şirketlerinden birinin CISO’su güvenlik yöneticilerini güvenlik araçlarına bu kadar odaklanmamaları konusunda uyardı. insan unsurunu korumayı unutun.
Marathon Petroleum Corporation’ın başkan yardımcısı ve CISO’su Mary Rose Martinez, Cybercrime Magazine’e “Bu tür programları yürütme sıklığımız, eğitimin etkinliği ve karmaşıklık düzeyiyle doğrudan ilişkilidir” dedi.
“İstatistiklerin çoğu, ihlallerin çoğunun insan unsurunu içerdiğini ve insan unsurunun bu ihlallerinin çoğunluğunun kimlik avı ile ilgili olduğunu söylüyor” diye devam etti ve kuruluşların kimlik avı eğitimlerini sürekli olarak yeniden değerlendirmeleri ve içeriği buna göre ayarlamaları gerektiğini belirtti. sürekli değişen saldırı modellerini yansıtır.
Martinez, eğitimi belirli bir düzeyde bir kez yürütmek yerine, “kuruluş iyileştikçe, kimlik avı e-postalarının karmaşıklık düzeyini artırmamız gerekiyor” dedi.
Hedefin, “gerçek hayatta ne olacağını ve hangi değişikliklerin meydana geldiğini simüle etmek… kuruluşumuzun becerikli kalmasını ve tehdit ortamının neye benzediğinin daha fazla farkında olmasını sağlamaya devam etmek” olduğunu ekledi.
“Siber güvenlik eğitimi ve farkındalığı söz konusu olduğunda asla kayıtsız kalamayız.”
Fidye yazılımı ve diğer kimlik avı kaynaklı saldırılar, işletmeleri güvenlik teknolojilerini geliştirmeye ve çalışan güvenlik eğitimlerini güçlendirmeye zorlamaya devam ederken, bu tehdit ortamı her gün değişmeye devam ediyor.
Martinez, 2027 yılına kadar yıllık 10 milyar dolar değerinde olması beklenen bir pazarı besleyen bu eğitimin, bir kurumsal güvenlik kültürü oluşturmak ve sürdürmek için çok önemli olduğunu belirterek, böyle bir kültürün “ölçebileceğiniz bir şey değil” şeklinde aşama aşama geliştirildiğini belirtti. ama esasen gözlemlediğimiz bir şey.”
Siber güvenlik farkındalığı eğitimiyle kazanılan “bilgiyle başlar”, dedi, ardından bu eğitime göre harekete geçerek – kimlik avı e-postalarını belirlemek için öğrenilen teknikleri aktif ve bilinçli bir şekilde uygulayarak – ve nihayetinde “temelde sadece yaşadığınız eğitimde bilinçsizce hareket ederek” devam edin. BT.”
Martinez, “Bilmekten hareket etmeye ve olmaya geçiyorsunuz,” dedi, “ve o ‘varlığa’ çarptığınızda [phase] işte o zaman onu gerçekten bir organizasyonun kültürüne yerleştirmiş olursunuz.”
“Bana göre,” diye devam etti, “kültür, üzerinde eğitildiğiniz kavramları ve ilkeleri bilinçsizce yaşadığınız zamandır.”
Kültür kurumsal sınırı aştığında
İşletme içindeki çalışanları eğitmenin tüm önemi ve karmaşıklığına rağmen – Martinez ve ekibinin odaklanacak yaklaşık 18.000 çalışanı var – hem bir düzeyde taahhüt gerektiren hem de bir dereceye kadar işbirliğini mümkün kılan güvenlik kültürü ihtiyacının sektör genelinde yaygın olduğuna inanıyor. bu, diğer birçok endüstride basitçe bulunmaz.
“Kariyerim boyunca pek çok görevde bulundum,” diye açıkladı – özgeçmişinde Halliburton ve Shell gibi şirketlerle onlarca yıllık enerji sektörü deneyimi var – “ancak siber topluluk sınırları, kuruluşları, sektörleri, kamu veya özel sektörleri aşan bir topluluktur.” ”
“Çok işbirlikçi,” diye devam etti, “ve bu konuda gerçekten zevk aldığım şeylerden biri de bu. Akranlarımla konuşuyorum ve onların müşteri ya da rakip olmaları önemli değil, çünkü hepimiz bu mücadelede birlikteyiz. Ve bu bana umut veren şeylerden biri de bu tehditle mücadele etmeye çalışan topluluk.”
Martinez, yıllık geliri 177 milyar dolar olan bir petrol devinin önemli kaynaklarına erişirken, siber güvenlik çıtasını yükseltmenin aynı zamanda kendi siber güvenlik kültürlerini geliştirmesi gereken milyonlarca küçük işletmenin katılımını gerektirdiğini de biliyor.
Ayrıca, daha büyük şirketlerin çalışan farkındalık eğitimi ve kimlik avı testi uzmanlarına sahip özel siber güvenlik ekiplerine sahip olabileceği durumlarda, daha küçük işletmelerin etkili bir siber sistem oluşturmak için CISA’nın Küçük İşletmeler için Siber Rehberliği gibi kendilerine sunulan birçok kaynağı kullanarak durumu telafi etmesi gerektiğini söyledi. göreli kaynak eksikliklerine rağmen kültür ve yetenekler.
Gerçekten de, bir güvenlik kültürü oluşturmak, Martinez gibi kuruluş genelinde düzenli iletişim, iş hedefleriyle uyumlu “anlamlı” güvenlik hedefleri ve güvenliğin “‘günlük’ bir etkinlik olarak konumlandırılması için çağrıda bulunan CISA’nın listesindeki ilk öğedir. Ara sıra değil.”
“Bildiğimiz beş alanı – herkesin potansiyel olarak kendilerini korumak için yapabileceği tüm kontrolleri – alıyorlar ve bunu bazı temel engelleme ve mücadeleye indirgiyorlar,” diye açıkladı.
Sonuç olarak, her büyüklükteki işletmenin, ‘Tehdit profilim nedir?’ ‘Ne kadar risk almaya razıyım?’
“Dışarıdaki rehberliği almalısın,” dedi, “ve bunu risk iştahın ve tehdit profilinle dengele.”
– david kahverengi Avustralya’nın Melbourne kentinde yaşayan ödüllü bir teknoloji yazarıdır.
David’in Cybercrime Magazine makalelerinin tamamını okumak için buraya gidin.
KnowBe4 sponsorluğunda
KnowBe4, devam eden sosyal mühendislik sorununu yönetmenize yardımcı olan, dünyanın en büyük güvenlik farkındalığı eğitimi ve simüle edilmiş kimlik avı platformunun sağlayıcısıdır. Fidye yazılımı, CEO dolandırıcılığı ve diğer sosyal mühendislik taktikleri hakkında farkındalığı artırarak, güvenlik konusunda bilinçlendirme eğitimine yeni bir okul yaklaşımıyla güvenliğin insan unsurunu ele almanıza yardımcı oluyoruz. Sizinki gibi on binlerce kuruluş, son kullanıcılarınızı son savunma hattınız olarak harekete geçirmek için bize güveniyor.