1992 ABD başkanlık seçimleri öncesinde, Bill Clinton’ın kampanyasının genel merkezlerinde “Sorun ekonomi, aptal” yazan büyük bir tabela vardı. En önemli mesajının sürekli bir hatırlatıcısıydı. 2023’ün dördüncü çeyreğine girerken, birçok CISO’nun konferans salonlarına asılan “Sorun halk, aptal” yazan benzer bir tabeladan faydalanacağını düşünüyorum.
2023’ü tamamlayan ve 2024’ü sabırsızlıkla bekleyen makaleler henüz gelmedi (bazıları benden de dahil), ancak 2023’ün savaş, yeni kötü amaçlı yazılım kampanyaları, sektör birleşmeleri ve üretken yapay zeka nedeniyle büyük dikkat dağıtıcı unsurlarla dolu bir yıl olduğunu rahatlıkla söyleyebiliriz. yönetici ilgisinden paylarını talep ettiler. Ancak bu gelişmelerin yöneticilerin dikkatini kurumsal altyapılarına saldıran, kullanan ve savunan insanlardan uzaklaştırmaması önemlidir.
Çabayı Çoğaltmak
Yöneticilerin üretken yapay zekanın teknik güvenlik personelinin çabalarını artırmadaki önemini tartıştıklarını duymak cesaret verici. İş dünyasının diğer bazı kısımlarında, personelin yerini yapay zekanın alması konuşuluyor, ancak siber güvenlikte beceri eksikliği fikri artık tartışmanın bir parçası haline gelmiş gibi görünüyor ve yapay zekaya dair daha gerçekçi bir görüş ortaya çıkıyor.
Siber güvenlik personelinin gördüğü gibi aynı çarpım, geniş kullanıcı popülasyonu için geçerli değil, ancak yine de bir dizi dikkat dağıtıcı unsurun, yöneticilerin çalışanların siber güvenlikte oynadıkları rol hakkında yanlış sonuçlara varmasına yol açması tehlikesi var. Yöneticiler, hem iç hem de dış tehdit ve saldırılara bakarken, çoğu zaman çalışanların ilk savunma hattı olduğu şeklindeki yaygın yanılgıya kapılıyorlar. Bu ancak siber güvenliklerinin çok kötü tasarlanıp uygulanması durumunda geçerlidir.
Aslında çalışanlar son Siber güvenlik savunma hattı. Kötü amaçlı bir verinin, suça yönelik URL’nin veya sahte mesajın çalışana ulaşması için öncelikle birden fazla ekran, filtre ve savunma katmanından geçmiş olması gerekir. Ancak çalışanlar son savunma hattı olduğundan, kurumsal ekranlara ulaşan tehditleri tanıyacak ve bunlara uygun şekilde yanıt verecek şekilde eğitilmeleri kritik önem taşıyor. Eğitim, uygulama ve yeniden eğitim, bu son savunma hattının kuruluşu mümkün olduğunca eksiksiz korumaya hazır olmasını sağlamak için önemli araçlardır.
Suçlular da İnsandır
Kötü amaçlı yazılım yüklerine, sistem açıklarına ve kötü amaçlı kampanyalara odaklanmak doğaldır ve hepsi de kötü değildir, ancak bunu yaparken yöneticiler önemli bir gerçeği unutabilir: Bunların tümü insanlar tarafından başlatılıyor veya bunlardan faydalanılıyor. Bu insanların hedefleri vardır, hatalar yaparlar ve tıpkı diğer insanlar gibi anlaşılabilirler. İnsanları anlamaya çalışırken onların teknolojisini ve taktiklerini yenmek daha kolay hale gelebilir. Bu ek bilgi olmalıdır – taktikleri ve teknolojiyi göz ardı etmenizi önermiyorum – ancak güvenli bir şekilde göz ardı edilemez.
İnsanları siber güvenlik planlamasında ön saflarda tutmak, sorunları başarıyla istismar edilmeden önce düzelten Proaktif Güvenlik türünün uygulanmasını mümkün kılar. Ayrıca, kuruluşa saldırmayı bekleyen suçlu insan saldırganların kullandığı teknolojiler ve taktiklerdeki değişikliklere dayanabilen başarılı siber güvenlik stratejileri oluşturmak için kritik bir bağlam sağlar.