Son kullanıcılar, güvenlik konusunda kötü bir şöhrete sahiptir – bunun iyi bir nedeni vardır. Belgelenmiş bir istatistiksel zayıf bağlantı olarak, Verizon’un “2022 Veri İhlali Araştırmaları Raporu”na göre tüm önlenebilir ifşa olaylarının %82’sini oluşturuyorlar. Bir veri ihlalinin en yaygın nedeninin çalıntı veya zayıf kimlik bilgileri olduğu göz önüne alındığında, bu noktayı tartışmak zor.
İnsanlar duygusal, hata eğilimli bireylerdir. Bunlar ayrıca güvenlik açıklarının, ihlallerin veya büyük olayların istatistiksel kalbidir ve genel kurumsal uyum için çok az şey yapar. İnsanlar hala iş yapmak zorunda olduğundan, kuruluşların bir olayın olasılığını azaltmak için proaktif eylemde bulunmaları zorunludur. Ancak bu proaktif eylem nasıl bir biçim almalıdır?
Geleneksel olarak, hevesli teknoloji uygulayıcıları, bir araç satın alarak insan doğasının zayıflıkları ile manuel hata arasında köprü kurmaya çalışmakta hızlı davrandılar, ancak bu boşlukların ve risklerin devam ettiğini gördüler. Son kullanıcı eğitimi ve iyi süreçler olmadan uygulanan teknoloji, güvenliklerini artırmadı veya tehdit düzeylerini azaltmadı.
Tek başına eğitim de cevap değildir. Gerçekçi olmayan iş yükleriyle de mücadele eden yetkili son kullanıcılar, doğal olarak riskleri artıran hatalara eğilimlidir.
Sürdürülebilir başarı için kazanan reçete, hem stratejik kullanıcı eğitiminin hem de iyi yapılandırılmış süreçlerin taktiksel otomasyonunun bir kombinasyonunu gerektirir.
Bilgi Boşluğu
Telefon kullanımı, çevrimiçi bankacılık, fatura ödeme, mal ve hizmet satın alma, yiyecek veya seyahat lojistiği, okul (ebeveyn, öğretmen veya öğrenci olarak) veya kredi kartı olan sıradan bir tüketici olarak, çoğu insan her gün iletişim kurar. teknoloji. Bu nedenle, günlük potansiyel bir ihlal riski vardır.
Tüketiciler, kişisel bilgilerine veya günlük işlemlerini tamamlamak için paylaşmaktan çekinmedikleri şeylere bir dereceye kadar özen gösterirler. Ancak, tamamlamak istedikleri işlemin türüne bağlı olarak, herkesin bu verilerle (Sosyal Güvenlik numarası, doğum tarihi, adres veya kredi kartı numarası gibi) ilgili farklı bir rahatlık düzeyi vardır. Tüketicilerin çoğu, küçük işlemlerin (bakkaliye, gaz, dışarıda hızlı bir yemek) çok az kişisel bilgi gerektirmesi gerektiğini veya hiç kişisel bilgi gerektirmemesi gerektiğini kabul eder ve büyük satın alımların (yeni bir ev veya araba) yürütülmesi için önemli ölçüde daha fazla kişisel veri gerektirebileceğini kabul eder. Çoğu tüketici, kişisel verilerinin paylaşılmasıyla ilgili risklerin farkındadır ve birçoğu kendilerini korumak için proaktif adımlar atmaktadır.
Buna karşılık, kurumsal kullanıcılar (çalışanlar ve üçüncü taraflar), işverenlerinin kuruluş dışında paylaşma konusunda rahat oldukları konusunda akıcı bir anlayışa sahip değil gibi görünmektedir. Şirket adına korumaları gereken en kritik bilgi türleri (finansal tahminler, fikri mülkiyet ve sözleşme koşulları gibi) konusunda bilgili değiller. Çoğu zaman, işverenlerinin hangi bilgileri hassas veya gizli olarak değerlendirdiğini bilmezler. Net veri sınıflandırması ve kullanıcı eğitimi kampanyaları olmadığında, kullanıcılar büyük olasılıkla hassas şirket bilgilerini, bunun hassas olduğunun farkında olmadıkları için paylaşabilirler.
Kötü aktörler, bu kullanıcı bilgisi boşluğunun gayet iyi farkındadır, bundan düzenli olarak yararlanmaya çalışır ve başarılı olur. Yaygın bir örnek: gizli veya hassas şirket bilgilerini isteyen kimlik avı e-postası. Bir kullanıcı, yaygın kimlik avı tekniklerini ve bunların nasıl tespit edileceğini anlamadan, potansiyel riski belirleyip ikincil bir inceleme düzeyi aramak yerine, işverenine zarar verebilecek bilgileri paylaşabilir.
Kalıcı Sonuçlar İçin Bilgi ve Otomasyonu Birlikte Kullanın
Otomasyon, güvenlik bulmacasının kritik bir parçasıdır. Ancak, sallantılı bir temel üzerine uygulandığında (kullanıcı anlayışı eksikliği ve kötü süreçler), güvenliği ve uyumluluğu artırmaz veya riski azaltmaz.
Erişim yönetimi, yetkilendirme ve kimlik doğrulama alanlarındaki dijital dönüşüm ve otomasyon, sürdürülebilir güvenlik için temel ihtiyaçlardır. Ancak şirketler, kullanıcı topluluğuna neden veya neyi korumaya özen göstermeleri gerektiğini öğretmek için bunları proaktif eğitimle birleştirmelidir. Bilgisiz araçlar, tanımlanmış süreçleri atlatmak için büyük bir davettir. Koruma için temel değerlerin ve temel kriterlerin duyurulması, doğal olarak kullanıcı eğitimini geliştirir. Ayrıca, tüm kurucu popülasyonda (çalışanlar, üçüncü taraflar, bağlı kuruluşlar ve daha fazlası) daha yüksek bir uyum düzeyi sağlar.
İnsanları neyi korumaları gerektiği ve neden korumaları gerektiği bilgisiyle donatmak, uyma isteklerini artırır. Uyumluluk ihlallerini azaltır ve güvenlik girişimleri için bir destek kültürü oluşturur.
Bir kuruluş sürdürülebilir güvenliği sağladığında, artan finansal sonuçlardan ve verimlilikten yararlanır. Bu çabalara katkıda bulunmaları ve önlenebilir olaylardan kaynaklanan ihlalleri veya suç faaliyetlerini azaltmaları için çalışanları finansal ikramiyeler veya teşviklerle ödüllendirmek akıllıca olacaktır. Çalışanlar güvenlik çabalarına daha fazla katkıda bulunduğunda, kuruluşların teknolojik yardıma nerede gerçekten ihtiyaç duyduklarına karşı çalışanlarının tam olarak neleri halledebileceklerini daha iyi belirlemelerine yardımcı olur. Bu netlik düzeyi, potansiyel güvenlik açıklarını önlemek için proaktif güvenlik süreçleri, gelişmiş algılama ve önleyici tedbirler yoluyla etkin otomasyonun devreye alınmasını kolaylaştırmaya yardımcı olur.
Karmaşık bir girişime basit bir çözüm oluşturarak başlayın. Sıfır güvenin yapı taşlarını tanımlayın ve tanımlayın Nasıl Ve Ne önemsemek Ne zaman. Ardından iletin, hakkında konuşun ve kullanıcıların anladığından emin olun. Güvenlik için son kullanıcı sorumluluğunun yanı sıra bunu geliştirmeye yönelik araçlar ve koruma yöntemleri oluşturmak, bir başarı ortamı yaratır. Aynı zamanda bu% 82’de yongalamaya başlar.