Günümüzdeki veri ihlallerinin çoğunun temel nedeni insan hatasıdır. Verizon’un 2024 Veri İhlali Araştırmaları Raporu (DBIR), 2023’te tüm ihlallerin %68’inin kötü niyetli olmayan bir insan unsuru içerdiğini buldu. Bu veriler, işletmelerin dijital varlıkları güvende ve emniyette tutmak için siber riskin insan unsurunu azaltma konusundaki kritik ihtiyacını vurgulamaktadır.
Siber tehditlerin sıklığı ve karmaşıklığı artmaya devam ederken ve insan faktörü siber güvenlik için bir tehdit olmaya devam ederken, her zamankinden daha fazla CISO (%80), özellikle ihmalkar çalışanlar olmak üzere insan riskini önümüzdeki iki yıl içinde önemli bir siber güvenlik endişesi olarak görüyor.
Siber suçlular ayrıca insan unsurunun sistemlere sızmak ve hassas iş bilgilerine erişmek için bir geçit olabileceğinin de farkındadır. Kötü niyetli kişiler, insan zaaflarından faydalanmak için tasarlanmış bir dizi kötü amaçlı yazılım, kimlik avı, sosyal mühendislik ve parola saldırısıyla çalışanları hedef almaktadır. Fortinet tarafından yapılan araştırma, kuruluşların %81’inin geçen yıl çoğunlukla kullanıcıları hedef alan kötü amaçlı yazılım, kimlik avı ve parola saldırılarıyla karşı karşıya kaldığını ortaya koymuştur.
İnsanların işletmelerin siber güvenliği için kritik öneme sahip olduğuna şüphe yok. Bu nedenle, kuruluşlar çalışanlarını siber güvenlik zaafından siber güvenlik gücüne dönüştürmek için insan unsurunu veri güvenliği stratejilerine entegre etmelidir.
Siber riskin insan unsurunu azaltmak için işletmelerin siber güvenliğe yönelik proaktif, insan merkezli bir yaklaşım benimsemeleri gerekir; bu yaklaşım şunları içerir:
Çalışan farkındalık eğitimine yatırım yapmak
Çalışanlara kimlik avı, kötü amaçlı yazılım ve sosyal mühendislik gibi yaygın tehditler hakkında eğitim veren ve siber güvenlikte en iyi uygulamaları öğreten düzenli siber güvenlik eğitimi sağlamak, insan hatası riskini azaltır ve çalışanların hassas şirket verilerini ve bilgilerini korumak için proaktif adımlar atmasına yardımcı olur. National Cybersecurity Alliance’a göre bu eğitime yatırım yapmak, siber güvenliği artırmanın en ucuz ve en kolay yoludur.
Düzenli eğitim oturumları, çalışanları siber tehditleri tespit etmek ve bunlarla mücadele etmek için ihtiyaç duydukları araçlar ve bilgilerle donatmalıdır. Eğitim, şüpheli bağlantıları ve ekleri nasıl belirleyeceğiniz, güçlü parolalar oluşturmanın gerekliliği, güvenlik politikalarına uymanın önemi ve güvenlik olaylarını derhal bildirmek için uygun prosedürler gibi konuları ele almalıdır.
Siber güvenlik eğitiminin etkinliğini artırmak için, işletmeler eğitimi role özgü hale getirerek daha alakalı ve etkili hale getirmeli, kullanıcıların gerçek dünyadaki saldırıların nasıl göründüğünü anlamalarına yardımcı olmak için kimlik avı simülasyonları yürütmeli ve herkesin kuruluşu siber açıdan güvenli tutmada kritik bir rol oynadığını vurgulamalıdır.
Net politikalar belirlemek ve uygulamak
Net siber güvenlik politikaları oluşturulduğunda, iletildiğinde ve uygulandığında çalışanlar bir organizasyondaki en etkili güvenlik kontrollerinden biri haline gelebilir. Bu politikalar gölge BT’nin (kurumsal BT departmanı tarafından izlenmeyen ve yönetilmeyen onaylanmamış uygulamaların kullanımı) kullanımını yasaklamalı ve BYOD (kendi cihazını getir) için kabul edilebilir kullanımı tanımlamalıdır.
Gölge BT kullanımını yasaklayan politikaların, çalışanların farkında olması ve anlaması özellikle önemlidir. Çalışanların güvenli olmayan mesajlaşma uygulamaları gibi gölge BT’yi kullanmasının tehlikesi, BT kontrolünün eksikliğinde yatmaktadır. BT ekipleri, bilmedikleri şeyleri kontrol edemezler ve bu da bir kuruluşun BT altyapısına yetkisiz erişime yol açabilir. Gölge BT kullanımını yasaklayan politikaların belirlenmesi ve uygulanması, çalışanların veri ihlalleri ve uyumluluk ihlallerine yönelik kurumsal risk maruziyetini artırabilecek uygulamaları ve araçları kullanmaktan kaçınacakları anlamına gelir.
BYOD’nin getirdiği siber risklerle mücadele etmek için güvenlik liderleri, hangi cihazların ve uygulamaların izin verilebilir olduğu da dahil olmak üzere kabul edilebilir kullanımı tanımlayan BYOD politikaları oluşturmalı ve uygulamalıdır. Bu politika ayrıca güçlü parolalar oluşturma, çok faktörlü kimlik doğrulamayı etkinleştirme, genel Wi-Fi’den kaçınma ve cihazları asla gözetimsiz bırakmama gibi uyulması gereken güvenlik protokollerini de özetlemelidir.
Sıfır güven mimarisinin uygulanması
İşletmeler ayrıca, dijital iş yerinde insan siber risk faktörünü azaltmaya ve veri korumasını, kullanılabilirliğini ve yönetimini geliştirmeye yardımcı olmak için tüm kullanıcılar ve cihazlar için kimlik doğrulama ve kimlik doğrulamayı zorunlu kılan bir çerçeve olan sıfır güveni benimsemelidir. Sıfır güvenin bir parçası olarak, işletmeler çok faktörlü kimlik doğrulama ve yüz tanıma gibi biyometrik teknolojiler de dahil olmak üzere güçlü kimlik ve erişim yönetimi uygulamalıdır. Sıfır güven yaklaşımını uygulayarak, kuruluşlar yetkisiz erişim riskini en aza indirebilir, veri korumasını güçlendirebilir ve genel güvenliği artırabilir.
Güçlü bir güvenlik kültürü oluşturma
Siber riskin insan unsurunu azaltmak için güçlü bir güvenlik kültürü oluşturmak kritik öneme sahiptir, ancak birçok kuruluş bu alanda eksiktir. TechTarget’ın Kurumsal Strateji Grubu ve Bilgi Sistemleri Güvenlik Birliği’nin (ISSA) BT ve siber güvenlik profesyonelleri arasında yaptığı bir ankete göre, katılımcıların dörtte birinden fazlası (%27) kuruluşlarının siber güvenlik kültürünü orta veya zayıf olarak değerlendiriyor. Zayıf bir güvenlik kültürü, hassas iş bilgilerinin ifşa edilmesine yol açabilen kuruluşlar için önemli bir sorundur.
Bir organizasyonda güçlü bir güvenlik kültürü oluşturmak yalnızca eğitim değil, aynı zamanda çalışanların güvenliğin kurum genelinde paylaşılan bir sorumluluk olduğunu ve tüm çalışanların siber riski azaltmadaki rollerini anladıkları bir ortamın geliştirilmesini de içerir. Çalışanları kurumsal verileri ve bilgileri korumada ortak yapan bir kültürün geliştirilmesi, siber riskin insan unsurunu en aza indirmeye yönelik uzun bir yol kat eder.
Çalışanlara tasarım gereği güvenli işbirliği araçları sağlamak
Çalışanlara güvenli işbirliği araçları sağlandığında, kuruluşlardaki siber saldırı yüzeyini genişleten güvenli olmayan mesajlaşma ve işbirliği uygulamalarına yönelmeyeceklerdir. Günümüzde CISO’lar, kuruluşlarda bu araçların yaygınlaşmasıyla oluşan genişleyen saldırı yüzeyi konusunda giderek daha fazla endişe duymaktadır. Proofpoint’ten alınan verilere göre, CISO’ların %39’u Slack/Teams/Zoom/diğer işbirliği araçlarını kuruluşlarına risk getiren ilk üç sistemden biri olarak görmektedir.
Tasarım gereği güvenli mobil mesajlaşma teknolojisinin kullanılması, çalışanların güvenli olmayan iletişim ve iş birliği uygulamalarını kullanmasıyla oluşan güvenlik açıklarını kapatır ve bu da işletmeleri siber saldırılara ve veri ihlallerine karşı savunmasız bırakır. İşletmeler için tasarlanmış mobil mesajlaşma platformları uçtan uca şifreleme (E2EE) özelliğine sahiptir ve verileri hareket halindeyken ve hareket halindeyken korur, yalnızca gönderici ve alıcının mesajları okuyabilmesini sağlar. Bu platformlara yerleştirilen E2EE, veri güvenliğini ve uyumluluğunu her kanalda iş iletişimine yerleştiren sağlam yönetim kontrolleriyle birlikte saldırı yüzeyini azaltır ve hassas işletme verilerine erişmeyi amaçlayan kötü niyetli bilgisayar korsanları için hiçbir giriş noktası sağlamaz.
Güvenlik olaylarının bildirilmesinin teşvik edilmesi
İnsan olmak hata yapmaktır ve siber güvenlik hataları meydana gelecektir. Çalışanlar şüpheli bir bağlantıya tıklayarak veya sosyal mühendisliğin kurbanı olarak hata yaptıklarında, bu tür güvenlik olaylarını nasıl bildireceklerini anlamaları önemlidir. İşletmeler, olası güvenlik olaylarını veya şüpheli faaliyetleri bildirmek için prosedürler ve net iletişim kanalları oluşturmalıdır. Bu, kuruluşların yanıt sürecini daha hızlı başlatmasını ve bildirilen olaylar veya şüpheli faaliyetler konusunda farkındalık yaratmasını sağlar, böylece diğer çalışanlar bu saldırıların kurbanı olmaz.
Özetleme
Siber saldırıları etkili bir şekilde önlemek için insan unsurunun kritik olduğu konusunda şüphe yok. Günümüzde gerçekleşen siber ihlallerin %68’inin arkasındaki insan hatasını azaltmak için, işletmeler siber güvenliğe proaktif, insan merkezli bir yaklaşım benimsemelidir. Bu yaklaşım, çalışan farkındalık eğitimine yatırım yapmayı, net politikalar belirlemeyi ve uygulamayı, sıfır güven mimarisini uygulamayı, güçlü bir güvenlik kültürü oluşturmayı, çalışanlara tasarıma göre güvenli iş birliği araçları sağlamayı ve güvenlik olaylarının bildirilmesini teşvik etmeyi içermelidir.
Reklam