Son derece deneyimli bilgi güvenliği ekibi mevcut mu? Kontrol etmek.
Lider uç nokta tespit yazılımı ve izleme sistemi mevcut mu? Kontrol etmek.
Tüm ortam giriş noktalarında çok faktörlü kimlik doğrulama etkin mi? Kontrol etmek.
Her bakımdan, ağ bütünlüğünü sağlama hikâyesinin sonu en son teknoloji ve vasıflı siber güvenlik kaynakları olmalıdır, değil mi? Keşke bu kadar basit olsaydı. Yakın zamanda yapılan bir araştırma, siber olayların %74’ünün bir tehdit aktörünü harekete geçirmek için insan bileşenini içerdiğini ortaya koyarken, bir şirketin siber güvenlik kültürünü sağlamak ve organizasyonunu korumak için daha fazlasını yapması gerekiyor.
Peki ne işe yarar Daha gibi görünmek?
Daha Güvenli Bir Organizasyon
Daha fazlası, var olduğunu anlamakla başlar Her zaman Bu, bir siber güvenlik riskidir ve sonuçta, organizasyonun tüm seviyelerinde bu riski kolektif olarak azaltmaya kararlı, yerleşik bir kültürle sona erer. Bu kültürün ve dolayısıyla daha güvenli bir organizasyonun oluşturulmasına yardımcı olabilecek birkaç yaklaşımı gözden geçirelim.
- En tepeden başlıyor: Yukarıdan aşağıya bir kültür oluşturmak yeni bir kavram değil, ancak kuruluşlar içindeki siber güvenlikle ilgisi hak ettiği ilgiyi kazanıyor. Temel düzeyde, bir organizasyonu yeterince koruyacak teknik uygulamalara ve deneyimli personele sahip olmak için, elinde çanta olan kişilerin de yanınızda olması gerekir. Olayların haberlerde yer alması, görünürlüğün artması ve üst düzey yöneticilerin benzer konumdaki kuruluşların siber saldırılara kurban gittiğini görmesi nedeniyle satışlar son birkaç yılda muhtemelen daha kolay hale geldi. Günün sonunda, bir kuruluşun liderliğinden gelen mesajın yüksek ve net olması gerekir: a) şirketimize yönelik gelişen siber güvenlik riskini anlıyor ve takdir ediyoruz; ve b) işimizi korumak için çevremizin güvenliğine (hem teknik hem de teknik olmayan açıdan) yatırım yapmaya hazırız.
- Siber güvenliğin önemli olduğunu gösterin: Konu siber güvenlik kültürü oluşturmak olduğunda bir kuruluşun liderliğinden çok şey talep ediyormuşuz gibi görünebilir ve bu doğru olabilir. Ancak bir kuruluş içinde herhangi bir türde kültür oluşturmak, liderliğin bir fikri benimsemesi ve ardından konuyu kabul edip onunla ilgilenmeye devam etmesiyle başlar. Bu bağlamda siber güvenliği bir kuruluşun sözlüğünün bir parçası haline getirmek ve şirket için önemini sürekli olarak ortaya koyacak doğru fırsatları bulmak anlamına gelir. Bir kuruluşun bunu nasıl yapmaya karar vereceği, genel olarak diğer önemli konularda iş gücüyle nasıl iletişim kurduğuna bağlı olabilir, ancak bazı basit seçenekler şunları içerir: 1) Bilgi güvenliği sorumlusunun gönderdiği bir e-posta bülteni aracılığıyla siber güvenlik konularıyla düzenli olarak yeniden etkileşime geçmek ( CISO) — yalnızca şirketin teknik açıdan ne yaptığını değil, aynı zamanda tüm kuruluşların gelişen tehditlerle (örneğin yapay zeka) karşı karşıya kaldığı zorlukları ve CISO’nun her çalışanın nasıl yardımcı olabileceği konusundaki yaklaşımını vurguluyor; ve 2) CEO veya COO liderliğindeki şirket çapındaki aramalarda siber güvenliğin tartışılması ve güçlü bir siber güvenlik kültürünün işletmenin uzun ömürlülüğü ve başarısı açısından öneminin vurgulanması. Liderlik, siber güvenlik kültürünün önemini ne kadar çok tartışırsa, çalışanlar da bu riski kabul edecek ve sonuçta kuruluşun siber güvenlik güvenliğine yönelik bir düzeyde sorumluluk kabul edecektir.
- Eğitin (ve ardından tekrar test edip test edin): Ben Franklin bir defasında şöyle demişti: “Bilgiye yapılan yatırım en iyi getiriyi sağlar” ve bir olayın dünya çapındaki ortalama maliyeti 4 milyon doları aştığında, Siber güvenlik söz konusu olduğunda bu kesinlikle doğru gibi görünüyor. Hiç şüphe yok ki, siber güvenlik konusunda bilgili bir çalışan tabanını eğitmek ve oluşturmak için yapılan yatırım, gerçek Bir kuruluş için ekonomik değer. Bu eğitim, çalışanların bir dizi siber tehdide karşı son savunma hattı olarak hareket etmelerine olanak tanır; ancak belki de aynı derecede önemli olan, her çalışanın, bir kültürü desteklemek için dikkatli olmanın önemini meslektaşlarına hatırlatarak, kuruluş için bir siber güvenlik savunucusu olma yetkisini verir. siber güvenlik. Peki çalışanlarınızı nasıl eğitiyorsunuz? Bu, sağlam bir siber güvenlik eğitim programının uygulanmasıyla başlar (umarım hem eğitici hem de eğlenceli bir programdır) ve test amaçlı kimlik avı e-postaları (ve hatta kısa mesajlar) kullanarak çalışanlarınızı tetikte tutarak devam eder. Siber güvenliği ön planda tutmak için eğitim ve testlerin ardından gerekirse “yeniden eğitim” uygulanır. Kuruluşlar daha sonra bu test kimlik avı e-postalarının sonuçlarını tüm çalışanlarla (durağan çağrılarda veya CISO haber bültenlerinde) paylaşarak siber güvenliğin önemini gerçek verilerle konuşup pekiştirmeye yönelik başka bir önemli fırsattan yararlanabilir ve daha sonra bunun yollarını paylaşabilir. herkesin daha iyisini yapmasına yardımcı olun.
Günün sonunda, bir siber güvenlik kültürü oluşturmak, bunun öneminin kabul edilmesi ve bu mesajın sürekli olarak güçlendirilmesiyle başarılabilir. Amaç, insanların siber güvenlik hakkında sadece “başka bir eğitim” bağlamında veya rollerinden tamamen ayrı bir şey olarak değil, normal iş süreçlerinin bir parçası olarak düşünmelerini ve konuşmalarını sağlamaktır. Ekiplerinizin en son kimlik avı testi e-postası (ücretsiz Şükran Günü hindisi için) veya bir rakibi etkileyen yakın tarihli bir siber olay hakkında konuştuğunu gördüğünüzde, başarılı bir siber güvenlik kültürünün gerçek yansımasına tanık oluyorsunuz. Bir dakikanızı ayırıp takımınızın başarısını alkışlamalı ve ardından tabii ki bunu nasıl sürdüreceğinizi planlamalısınız.