Siber güvenlik: insanları risk azaltma sürecine nasıl dahil edebiliriz?
Cefriel, risklerin azaltılmasına yönelik yeni bir yaklaşım için insan unsuru ile siber güvenlik arasındaki bağlantıların nasıl analiz edileceğine ve anlaşılacağına derinlemesine bir bakış sunan “Siber Güvenlik ve İnsan Unsuru” teknik incelemesini sundu.
Milano, 4 Temmuz 2024 – Politecnico di Milano tarafından kurulan dijital inovasyon merkezi Cefriel, Avrupa projeleri CYRUS ve SEC-AIRSPACE kapsamında, “Siber Güvenlik ve İnsan Unsuru – İnsanlardan başlayarak riskler ve hafifletme müdahaleleri” adlı yeni teknik incelemesini yayınladı. Metin – Yazan: Enrico Frumento, Cefriel Siber Güvenlik Araştırma Lideri – insanların neden kurumsal savunma ve koruma mekanizmalarındaki rollerinin farkında olmaları gerektiğini ve siber saldırıların önlenmesi ve hafifletilmesine aktif olarak katılabilmeleri için nasıl müdahale etmeleri gerektiğini açıklıyor.
Yapay zeka ile ilgili ortaya çıkan tehdide, özellikle tedarik zinciri ile OT ve IoT ortamlarında siber yönetimde henüz tam olarak doldurulmamış bazı boşluklar eşlik ediyor. Çeşitli sektörlerdeki olgunluk düzeyi ile 2023’ün ilk yarısında Avrupa ve İtalya’da kaydedilen siber saldırıların yüzdesi arasındaki karşılaştırma, saldırıların %19’unu kaydeden Kamu Yönetimi sektörünün hâlâ siber saldırılardan en çok etkilenen sektör olduğunu gösteriyor. İtalya’da ve Avrupa’da %23. Ayrıca sayısı da önemli Sanayi sektörünün uğradığı saldırılar (%17)Bu oran Avrupa ortalamasının (%7) iki katından fazladır ve siber güvenlik konusunda endüstriler için hala yapılacak çok şey olduğunu göstermektedir. Netconsulting raporuna göre müdahale gerektiren kritik faktörler özellikle eğitim Ve BT güvenliği yatırımlarına ayrılacak kaynaklar. Kaynaklar her ne kadar yılda %12’den fazla artmasına rağmen her zaman yeterli olmuyor.
Siber güvenlik stratejilerinde neden insan unsurundan başlamalısınız?
Şu anda siber güvenlik pazarının büyük bir kısmı bir saldırının teknik yönüne odaklanırken, “insan unsuru” olarak adlandırılan konu üzerinde çok az çalışma yapılıyor. Dünya Ekonomik Forumu’nun Küresel Risk Raporu’na göre, insanların davranışlarıyla ilgili risklerin toplam miktarın neredeyse %95’ini oluşturduğu göz önüne alındığında, bu sonuncusu merkezi bir rol oynuyor.
Enrico Frumento, Cefriel Siber Güvenlik Araştırma Lideri şöyle açıklıyor: “Siber güvenlikte, bir siber olay meydana geldiğinde insanlar, sanki ilgilenilmesi gereken başka bir siber risk kaynağıymış gibi sıklıkla suçlanıyor. Ancak insanlar bilgisayar sistemleri değildir, dolayısıyla özel çözümlere ihtiyaç duyarlar. İnsanlar üzerinde tehdit analizi nasıl yapılabilir, bir şirket bir kişiye ilişkin siber riski nasıl hesaplayabilir, bunu azaltmanın kaç etkili yolu vardır diye kendimize sorarak başlamalıyız. Genel olarak güvenliği insan unsurundan yola çıkarak nasıl yeniden düşünebilirsiniz? Bu tanıtım yazısını yazarken biz de bunu düşündük.”
İşletmenizi savunmak ve korumak için nasıl bir yaklaşım izlemelisiniz?
Teknik incelemede de incelendiği gibi, nihai hedef olarak insanların kurumsal savunma ve koruma sürecinin ayrılmaz ve aktif bir parçası olması gerekir. İnsanlarda istikrarlı bir davranış değişikliği. Bunun için siber güvenliğin “insan unsuru” konusunun çok kültürlü ve bütünsel bir yaklaşımla ele alınması, insan faktörünü, beşeri bilimleri, yönetişimi ve teknolojileri de kapsayacak şekilde ele alınması, hem ekonomik hem de teknolojik açıdan zaman içinde sürdürülebilir siber güvenliğin sağlanması, süreçler, insanlar ve beceriler.
Frumento şöyle açıklıyor: “Bir saldırganın amacının her zaman aynı olduğu göz önüne alındığında, bir BT sistemi yerine bir kişiye saldırmak, sosyal mühendislik ve insan bilimlerinin katılımıyla saldırı taktiklerinin değiştirilmesini gerektiren farklı bir süreç anlamına gelir. psikoloji veya davranış bilimleri ve insan hatalarının yönetimi ve modellenmesi ile ilgili teoriler”.
Sosyal Odaklı Güvenlik Açığı Değerlendirmeleri, herhangi bir Güvenlik Açığı Değerlendirmesi veya Sızma Testi gibi, birçok değişken değiştiğinde geçerliliğini kaybeden siber riskin doğaçlama bir örneklemesidir. Bu nedenle, bir başlangıç yapabiliriz İnsan Riski Yönetimi insanlardan başlayarak sürekli güvenlik paradigmasına girmeyi amaçlayan bir model. Bundan yararlanmak, eğitimi profesyonel bir eğitim veya yeniden eğitim aracından, kuruluşların dayanıklılığını artırabilecek bir siber risk azaltma aracına dönüştürmek anlamına gelir.
Teknik inceleme şu bağlantıdan ücretsiz olarak indirilebilir: https://www.cefriel.com/whitepaper-en/cybersecurity-how-to-involve-people-in-risk-mitigation/?lang=en
C hakkındaYRUS
CYRUS (Endüstriyel Sektörlerde gelişmiş CYbeR güvenliği becerileri için kişiselleştirilmiş, özelleştirilmiş, iş temelli bir eğitim çerçevesi) projesi, GA no. 101100733, ulaştırma ve imalat sektörlerindeki çalışanlar için yenilikçi bir siber güvenlik eğitim sistemi geliştirecek. Geleneksel eğitim kursları KOBİ’ler için zorlayıcı olabilir ancak CYRUS, her çalışanın rolüne, becerilerine ve yeteneğine dayalı etkili ve kişiselleştirilmiş eğitim kursları sağlamak için sanallaştırma, simülasyon ve iş tabanlı öğrenmeden yararlanır. Amaç, siber güvenlik için bir “inovasyon DNA’sı” oluşturmak, farkındalığı ve en iyi uygulamaları teşvik etmektir. CYRUS ile her seviyedeki çalışanlar, siber tehditleri tanımlamak ve bunlara yanıt vermek için gereken bilgi ve becerileri kazanarak işletmelerinin saldırılara karşı korunmasına yardımcı olabilir. Web sitesi: https://www.cyrus-project.eu/.
SEC-AI Hakkında RSPACE
SEC-AIRSPACE projesi (sanallaştırılmış AIRSPACE senaryolarında Siber GÜVENLİK Risk Değerlendirmesi ve paydaşların dayanıklı ATM oluşturma konusundaki farkındalığı), GA no. 101114635, sanallaştırma risklerini azaltmaya ve tüm ATM altyapı bileşenleri ve paydaşlar arasında veri paylaşımını artırmaya odaklanarak daha dayanıklı Hava Trafik Yöneticileri (ATM’ler) oluşturulmasına yardımcı olur. Proje, önde gelen siber güvenlik bileşenleriyle birlikte ATM’de halihazırda benimsenen güvenlik riski değerlendirme metodolojisinin son durumunu geliştirecek. Ayrıca proje, ATM organizasyonlarında siber güvenlik farkındalığını artırmak için Kişi Analitiği (PA) konseptinin uygulanma potansiyelini araştıracak. Proje sonuçları, paydaşların da dahil olduğu iki gerçekçi kullanım senaryosu aracılığıyla doğrulanacak ve gösterilecektir. Web sitesi: https://www.sesarju.eu/projects/sec-airspace/.
Cefriel, dijital yenilikçiÜlke kalkınmasının itici gücü olarak
Cefriel, teknolojiler ve dijital hizmetler alanındaki beceri ve bilgileri kullanarak ve genişleterek ülkenin işletmelerinin, toplumunun ve ekonomisinin büyümesine ve gelişmesine yardımcı olmak amacıyla 1988 yılında Milano Politeknik Üniversitesi tarafından kurulan, kar amacı gütmeyen bir dijital inovasyon merkezidir. Merkezin misyonu, araştırma, yenilik ve eğitimi organik olarak birleştirerek, araştırma dünyasından, şirketlerden ve kamu yönetiminden gelen beceri ve bilgiden yararlanarak ülkeye fayda sağlayacak dijital yenilik yapmaktır. Cefriel, 2023’ten beri dijital inovasyon yoluyla toplum, Ülke sistemi ve çevre üzerinde olumlu bir etki yaratmaya yardımcı olan bir Benefit Şirketidir. Cefriel’in faaliyetleri üç temel eylem alanına ayrılmaktadır: şirketin stratejik vizyonunun geliştirilmesi ve bunun yenilikçi hizmet ve teknoloji benimseme planları yoluyla uygulanması; yenilikçi ürün, hizmet ve süreçlerin tasarlanması ve geliştirilmesi; Şirketin pazarda başarılı bir şekilde faaliyet gösterebilmesi ve sorumlu ve sürdürülebilir bir şekilde büyüyebilmesi için şirketin bilgi birikiminin, organizasyonel modellerinin ve süreçlerinin geliştirilmesi. Cefriel, en son teknolojiye sahip uluslararası araştırma ve inovasyona dayalı yöntemler, yaklaşımlar, araçlar ve modeller kullanarak, şirketlerin ve kamu yönetiminin vizyonlarını tanımlamalarına ve dijital teknolojilerden yararlanma stratejilerini oluşturmalarına, yenilikçiliği keşfetmelerine ve değerlendirmelerine yardımcı olur. teknolojiler, ardından dijital inovasyon projelerinden oluşan bir portföy oluşturup yönetin.
Yazar Hakkında
Enrico Frumento, Cefriel inovasyon merkezinin Siber Güvenlik Araştırma Lideridir. Enrico siber güvenlik konusunda uzmandır ve bu alanda hem İtalya’da hem de diğer Avrupa ülkelerinde birkaç yıldır çalışmaktadır. Konuyla ilgili çalışmaları uluslararası dergi ve kitaplarda yayımlandı. Aynı zamanda siber güvenlikle ilgilenen önde gelen Avrupa kuruluşlarının da üyesidir. Kuruluşlardaki güvenlik açıklarının değerlendirilmesine yönelik alışılmadık güvenlik, siber suç istihbarat taktikleri, teknikleri ve teknolojisi, sosyal mühendislikle mücadele ve siber risk hesaplama sistemleri üzerine 20 yıldan fazla araştırma yürütmüştür.
Frumento’ya şu adresten çevrimiçi olarak ulaşılabilir: [email protected] ve şirketimizin web sitesinde https://www.cefriel.com/