Siber risk yönetiminin birçok bileşeni vardır. Bunu iyi yapanlar, kapsamlı risk değerlendirmeleri yapacak, iyi belgelenmiş ve iyi iletilmiş süreç ve kontrolleri yürürlüğe koyacak ve izleme ve inceleme gerekliliklerini tam olarak uygulayacaktır.
Süreçler ve kontroller genellikle şirket teknolojisinin kabul edilebilir kullanımına ilişkin ayrıntılı açıklamaları içerecek politikalardan oluşur. Genellikle, başka birinin oturum açma bilgilerini kullanmak veya kendi bilgilerinizi paylaşmak gibi, özellikle izin verilmeyen etkinlik türlerine ilişkin örnekler olacaktır. Bunu “kalıcı” hale getirmek için neredeyse kesinlikle eğitim verilecek – bazıları “temel bilgiler” ve belirli sistemler hakkında, aynı zamanda diğer ilgili konularda da – örneğin veri koruma mevzuatının gereklilikleri hakkında.
Ancak tüm bu önlemlere rağmen insanlar yine de hata yapacaktır. Hiçbir düzeyde kontrol, süreç veya eğitim, insanların yanılabilir olduğu gerçeğinin üstesinden gelemez. Önlemler yalnızca olasılığı veya bizim düşündüğümüz gibi sıklığını azaltabilir. Bu neden?
Hataların olmasının bir nedeni süreçlerin ve kontrollerin yetersiz olmasıdır. Örneğin, orta derecede kararlı bir dolandırıcının bile markasının annesinin kızlık soyadını, doğum yerini veya doğum tarihini öğrenmesi çok kolaydır. Müşterilerinizin güvenlik amacıyla bunları kullanmasını hâlâ talep etmek uygun mudur? Peki bir dolandırıcı bu sorulara doğru yanıtlar vererek güvenlik önlemlerinden kaçabiliyorsa bu kimin hatasıdır? Kesinlikle süreci takip eden zayıf müşteri hizmetleri görevlisi değil.
Ve korkarım ki hepimiz, insan doğasının öngörülemeyen yönlerini istismar eden saldırıların yükselişinin fazlasıyla farkındayız: Yüksek vasıflı dolandırıcılar, iyi eğitimli sosyal mühendisler için kurnazlık ve yeterli miktarda hakikat unsuru kullanıyor.
Haberciyi vurmayın
Daha önce bahsedilen “iyi belgelenmiş ve iyi iletilmiş süreçler ve kontroller” sıklıkla “disiplin cezası” ve “ağır suiistimal” gibi sözcükleri içermektedir. Bunlar, kurallara uymayan herhangi bir kişi için olası sonuçlar olarak ayrıntılı olarak açıklanmıştır. Bana göre, birisi prosedürleri tam olarak takip ediyorsa ancak prosedürün kendisi kötü tasarlanmışsa (veya yeni saldırı türleri tarafından kuşatılmışsa), herhangi bir suçu bireye paylaştırmak hem adaletsiz hem de verimsizdir.
Gerçek ihmal veya kasıtlı eylemler uygun şekilde ele alınmalıdır; ancak suçun paylaştırılması ve cezanın verilmesi, objektif ve makul bir soruşturmanın son adımı olmalıdır. Kesinlikle varsayılan tepki olmamalıdır.
Buraya kadar çok makul, değil mi? Ancak işler bundan biraz daha karmaşıktır. “Bireyi suçlamayın, şirketi suçlayın” demek çok güzel bir şey. Aslında hiçbir “şirket” hiçbir şey yapmaz; sadece insanlar bunu yapar. Sizi hayal kırıklığına uğratan kontroller, süreçler ve prosedürler insanlar tarafından oluşturuldu; yalnızca farklı kişiler. Kontrollerin, süreçlerin ve prosedürlerin tasarımcılarını suçlarsak, sadece suçu başkalarına aktarmış oluruz ki bu da hâlâ verimsizdir.
Çözüm: Çevreyi değiştirin
Aşağıdaki örnekleri göz önünde bulundurun.
Görevi bilgi talepleri (RFI) veya teklif talepleri (RFO) ile ilgilenen bir satış elemanı düşünün. Bu tür soruların yanıtları genellikle bir bağlantı veya ek olarak gelir; dolayısıyla, ekleri açmak ve bağlantılara tıklamak aslında satış görevlisinin görevidir. Bir güvenlik ekibinin bu kişiden iyi huylu ve kötü niyetli eklentileri ayırt edebilmesini beklemesi makul müdür? Belki 10 yıl önce öyleydi. Günümüzde insanlar rutin olarak son derece yüksek kaliteli dolandırıcılıklara maruz kalıyor ve insanlar iyi ve kötü bağlantılar veya eklentiler arasında ayrım yapacak donanıma sahip değil. Satış elemanımızın bağlantılara tıklamamasını veya ekleri açmamasını talep eden politika ve kontroller, aslında onlara işlerini yapmamalarını söylüyor. Peki ne olur? Tam olarak şu anda olan şey: Satış elemanımız bu belgeleri açmaya devam edecek çünkü onlar (ve şirketleri) bu şekilde para kazanıyor.
Bu kuruluşun Microsoft Windows kullandığını varsayalım. Satış elemanımız kötü amaçlı bir eklentiye tıklarsa, kötü amaçlı bir şey yüklenmiş olabilir. Şanslılarsa bu yalnızca tek bir cihazda olacak; Şanssızlarsa bu durum tüm organizasyona yayılarak kaosa neden olabilir. Bu spesifik örnekte ortamı değiştirmek, Windows cihazlarını iPad veya Chromebook’larla değiştirmek kadar basit olabilir. Birdenbire satış elemanı hâlâ işini yapabiliyor çünkü kullandıkları araçların çoğu web tabanlı olacak. Satış elemanımız kötü amaçlı olabilecek eki tıklayıp açtığında hiçbir şey olmuyor.
Başka bir örneği ele alalım. Birçok büyük işletme belirli araçların kullanımını yasaklamaktadır. Bir kuruluşun Dropbox kullanımına izin vermediğini düşünelim. Elbette bunun kullanımına karşı bir politika olacaktır ve evet, bazı teknik kontroller de olabilir. Çoğu zaman personele şunu söyleyen politikalar ve bazı eğitimler vardır: “Bunu yapma.” Ancak, bu kuruluşta bir tasarımcı olduğunuzu ve seçtiğiniz aracın, büyük verileri veya büyük dosyaları kuruluşunuzun dışındaki biriyle veya kuruluşla düzenli olarak paylaşmanızı gerektirdiğini varsayalım, çünkü – tahmin edin ne oldu! – bu işinizin bir parçası. Dropbox’ı kullanmaya aşinasınız ve dahili olarak sağlanan araç yetersiz; peki ne yaparsınız? “Güvenlik”, işinizin ne olduğunu anlamayarak, ne tür araçlara ihtiyacınız olduğunu bildiklerini varsayarak işinizi yapmanızı zorlaştırır. Ancak işinizi yapmak için işe alındınız ve sizi politikayı çiğnemeye zorladınız; bunun için suçlanıyorsunuz.
Bunun yerine ne yapabilirlerdi? Dışarı çıkıp size şunu sorabilirler: “Hangi araçları kullanıyorsunuz? Neden resmi olarak onaylananlar değil de bunlar?”
Bazen size yine de hayır denilir ve daha önce anlatıldığı gibi sonuçlarla tehdit edilirsiniz. Ancak giderek artan sayıda CISO, şu soruyu farklı bir gerekçeyle sormaya başlıyor: Onaylanan araçları değiştirirsek ne olur? Bu sizin “doğru şeyleri” yapmanızı kolaylaştıracak mı? Belki tasarımcımız Dropbox’ın yerini alacak.
Siber harcamalarınızı yeniden dengelemenin zamanı geldi mi?
Mevcut araştırmalar, siber güvenlik olaylarının %95’inin insan hatasından kaynaklanabileceğini göstermektedir. Bunun durumu ifade etmenin berbat bir yolu olduğunu bir kenara bırakırsak – kusur ve suçlamayı ima ederek – bu rakam, güvenlik bütçelerinin %85’inin teknolojiye, %12’sinin politikalara ayrıldığını öne süren başka bir istatistikle hiç de uyumlu değil. ve sefil bir %3’lük kısım insanlara gidiyor.
Saf değilim ve harcamaların tam orantılı olması gerektiğini söylemiyorum. Ama bana göre bariz bir denge eksikliği var. Onlar için zor olduğu gerçeğini göz ardı etmek yerine, bu teknoloji harcamalarının bir kısmını çalışanların işi yapmasını kolaylaştırırken aynı zamanda doğru şeyleri de yapmaya yönlendirmek çok daha iyi olacaktır.
Yöneticiler, çalışanların faaliyet gösterdiği çalışma ortamını gerçekten nasıl değiştireceklerini ve işlerini güvenli ve pratik bir şekilde yapmalarını nasıl kolaylaştıracaklarını bulmak için ek kaynakları kullanmalıdır. Yöneticiler, sorunsuz, daha güvenli bir ortam yaratmak, olumlu ve suçlamadan çalışmak için döngüsel, işbirliğine dayalı bir yaklaşım uygulamalıdır. Bu adımlar, uygulanması zor politikalarla çalışanları yavaşlatmaktan ve ardından onları güvenlik politikasına uymamakla suçlamaktan çok daha verimlidir.
Sorun şu ki: bu yeni bir yaklaşım değil. Aslında 60 yaşında ve İnsan Süreçleri Teknoloji Çerçevesi olarak adlandırılıyor. Yaygın olarak kabul görmeye ve yaygın olarak kullanılmaya devam ediyor ve teknolojinin ve dijital dönüşümün artan yaygınlığı nedeniyle günümüzde daha da alakalı. Belki de güvenlik ekiplerinin bu konuda kendilerini yeniden tanımaları veya faydalarını kendilerine hatırlatmaları gerekir, böylece suçlama oyunundan uzaklaşabilir ve insanların karıştığı olayları önleme konusunda daha iyi bir iş yapabiliriz.