Her ihlalden sonra insanlar şunları soruyor: Siber güvenlik politikaları varsa bu nasıl oldu? Gerçek şu ki, sadece onlara sahip olmak saldırıları durdurmaz. Sadece insanlar onları tanıyorsa ve önemli olduğunda onları takip ediyorlar. İşler sık sık bozulur. Politikalar, işin nasıl yapıldığını, modası geçmişin veya gerçek riskler yerine kurallara çok fazla odaklandıklarında başarısız olur.
Güvenlik kuralları yasal jargonla dolu olduğunda veya herkes için aynı şekilde yazıldığında, çalışanlar ne anlama geldiklerini veya bunları nasıl takip edeceklerini bilmekte zorlanırlar.
Siber güvenlik politikaları neden hala başarısız oluyor
Şifre Karmaşıklığı
Karmaşık şifre politikaları genellikle öngörülebilir kalıplar veya şifre yazan kullanıcılar gibi zayıf seçeneklere yol açar. NIST sık sık şifre değişiklikleri önermese de, bazı kuruluşlar hala 60 ila 90 günde bir şifreleri değiştirmesini gerektirebilir. Bu eski politikalar, riskli alışkanlıkları teşvik ederek kullanıcıları hayal kırıklığına uğratabilir ve güvenliği azaltabilir.
Daha iyi bir yaklaşım, uzlaşma kanıtı olmadığı sürece daha uzun parolaları teşvik etmek ve sıfırlamaları önlemek olacaktır. Parola yöneticileri sağlamak, ekstra güçlük çekmeden güçlü şifrelerin oluşturulmasına ve güvenli bir şekilde depolanmasına yardımcı olabilir.
İleriye baktığımızda, birçok şirket şifresiz kimlik doğrulama yöntemlerini araştırıyor.
StytCH CTO Julianna Lamb, “Şifresiz olarak, şirketler ihlal risklerini önemli ölçüde azaltabilir, kaydolma ve müşterileri için çok daha hafif bir asansör giriş yaparak önemli ölçüde azaltabilir” dedi.
MFA gümüş bir mermi değil
MFA önemli bir güvenlik katmanı ekler, ancak zayıf uygulama faydalarını zayıflatabilir. Sadece itme bildirimlerine güvenmek itme yorgunluğuna neden olur. Sürekli uyarılardan rahatsız olan kullanıcılar, giriş girişimlerini doğrulamadan onaylayabilir ve saldırganlara kolay bir yol verir.
Son saldırılar, bazı tehdit aktörlerinin korumaları atlamak ve hesaplara uzun vadeli erişimi sürdürmek için MFA sistemlerindeki zayıflıklardan yararlandığını göstermiştir.
Bunu ele almak için kuruluşlar, push bildirimlerine olan güveni azaltan donanım jetonları, biyometri veya kimlik doğrulayıcı uygulamaları gibi birden fazla MFA seçeneği sunmalıdır.
Yapışmayan güvenlik eğitimi
Siber güvenlik eğitim programları eğilimlere ayak uydurmalı ve çalışanlar için ilgi çekici olmalıdır. Aynı format her yıl sadece bir kutuyu kontrol etmek için tekrarlanırsa, gerçek bir etkiye sahip olması olası değildir. Eğitim sıkıcı olabilir ve çalışanlar muhtemelen önemli noktaları hatırlamıyor. Genellikle, sorun içeriğin kendisi değil, nasıl teslim edildiği.
Değiştirilmesi gereken genel yaklaşımdır. Eğitim, her bir kişinin gerçekleştirdiği özel rol için uyarlanmalıdır. Ayrıca daha ilgi çekici olmalı, genel sınavların ve modası geçmiş slaytların ötesine geçmeli ve dikkat çeken ve gerçek tehditleri yansıtan formatlara geçmelidir.
“Formatların bir karışımı kullanılarak sık ve ilgi çekici eğitim oturumları sağlanmalıdır: interaktif modüller, kimlik avı simülasyonları, gerçek dünya vaka çalışmaları, yüz yüze ve sanal olaylar ve bültenler, teknik olmayan roller de dahil olmak üzere izleyicilere göre uyarlanmış materyaller geliştirmek,” Emily Wienhold, cyber Wienhold, optive.
Güvenliği zayıflatan geçici çözümler
Aşırı katı veya modası geçmiş politikalar genellikle çalışanları riskli geçici çözümlere yönlendirir. Bunlar, yavaş erişim onaylarını atlamak, netlenmemiş SaaS araçlarını (gölge IT) kullanma veya şirket politikası dışındaki AI asistanlarını (Shadow AI) benimsemek için kimlik bilgisi paylaşımını içerebilir.
Cyberark, ofis çalışanlarının% 65’inin işlerini yapmak için siber güvenlik politikalarını atladığını kabul ederken, BT karar vericilerinin% 70’inin kuruluşlarında yetkisiz AI kullanımı tespit ettiğini tespit etti.
“AI kullanımınız sınıflandırıldıktan sonra, tüm kuruluşlarınız için kabul edilebilir bir kullanım politikası, tüm çalışanların onaylanmış AI özellikli uygulamalarla etkileşime girerken tam olarak neler yapabileceklerini ve yapamayacaklarını bilmelerini sağlamak için düzenlenmelidir” dedi.
Güvenlik politikaları, ekiplerin nasıl işlediğini yansıttıklarında en iyi şekilde çalışır. Bu, Frontline kullanıcılarından geri bildirim toplamak, pilot programları çalıştırmak ve istisnaların veya uyumsuzluğun nerede meydana geldiğini analiz etmek anlamına gelir.
Etkili güvenlik işle uyum sağlar
Siber güvenlik politikaları genellikle başarısız oldukları için başarısız olurlar. Çalışanlar kuralları rutin olarak atladığında, sorun farkındalık eksikliği değil, kötü tasarımdır. Güçlü politikaların gerçek riskleri ele alması, işle birlikte gelişmesi ve yola çıkmak yerine verimliliği desteklemesi gerekir.
Sadece uyumluluk gereksinimlerini karşılamak için oluşturulan kurallar geri tepebilir. Güvenliği artırmak yerine, çalışanları hayal kırıklığına uğratır, ekipleri yavaşlatır, bütçeleri zorlar ve karşılığında çok az gerçek koruma sağlarlar.
Buna karşılık, ekiplerin nasıl işlediğini yansıtan pratik politikalar, insanların daha iyi kararlar almalarına, riskli kısayollardan kaçınmasına ve uzun vadeli güvenliği destekleyen alışkanlıklar geliştirmelerine yardımcı olur.
Bu yaklaşımı benimseyen kuruluşlar, ihlalleri önlemekten daha fazlasını yapar. Güvenliğin ilerlemeyi desteklediği, güvenlik protokollerinin yararlı araçlar olarak görüldüğü ve işi korumanın ortak bir sorumluluk haline geldiği bir kültür oluştururlar.
Güvenliği gerçekten iyileştiren politikalar istiyorsak, bunları kullanan insanlar için tasarlamamız gerekir. Bir kutuyu kontrol etmekten gerçek koruma oluşturmaya böyle geçiyoruz.