Araçların tüm dijitalleşmesine ve otomasyondaki ilerlemelere rağmen, insanlar genellikle siber güvenlikte en önemli unsur olarak tanımlanıyor ve bunun iyi bir nedeni var.
Cuma günü Las Vegas’ta CES’te konuşan T-Mobile Kıdemli Başkan Yardımcısı, CSO ve ürün güvenlik sorumlusu Timothy Youngblood, “Güvenlik bir insan işidir” dedi.
“Bu konudaki tüm ortaklarıma insan güvenlik duvarlarım diyorum çünkü günün sonunda tek bir kişinin yanlış karar vermesi yeterli” dedi.
Daha önce McDonald’s, Kimberly-Clark ve Dell’de CISO olarak görev yapmış olan Youngblood, dünyanın en büyük kuruluşlarının karşı karşıya olduğu risklerin son derece farkındadır. Mobil ağ operatörü bir sorun yaşamadan yaklaşık dört ay önce T-Mobile’a katıldı. büyük veri ihlali Ağustos 2021’de, yaygın olarak kaydedilen en büyük taşıyıcı ihlali olarak kabul edildi.
Siber saldırı, Temmuz 2022’de en az 76,6 milyon kişinin ve T-Mobile’ın kişisel verilerini açığa çıkardı. 500 milyon dolar ödemeyi kabul etti olaydan kaynaklanan bir toplu davayı halletmek için.
Youngblood’a göre siber güvenlik, çoğu büyük şirket için ilk üç risk arasında yer alıyor.
Bir yemi simüle etmek
T-Mobile, amansız tehdidi kurumsal düzeyde göstermek için, rakiplerin şirket varlıklarının peşine ne sıklıkla geldiğini görmek için internete bir bal küpü koydu. “Günde 65 milyon kez saldırıya uğradığını keşfettik. Bundan daha gerçek olamaz” dedi.
“Yalnızca ihlal edilmiş şirketleri ve ihlal edildiğini henüz bilmeyenleri biliyorum” dedi.
Youngblood, T-Mobile’daki bu olayların etkisini ve sıklığını, şirketin güvenlik duruşunu birden fazla etkinlik ve bireyselleştirilmiş çabalar genelinde güçlendirerek sınırlamaya çalışır.
Saha teknisyenleri, yönetici asistanları, perakende personeli ve veritabanı yöneticileri veya mimarları gibi belirli çalışanlar için özel olarak hazırlanmış kişi tabanlı eğitim, bu kişilerin nasıl çalıştığını ve ortamlarında meydana gelebilecek güvenlik etkilerini dikkate alır.
Youngblood, etkinlik açısından sürekli olarak test edilen aylık kimlik avı kampanyaları gibi gerçek zamanlı öğretilebilir anların, T-Mobile iş gücünün potansiyel olaylara nasıl tepki vereceğini anlamasına yardımcı olduğunu söyledi.
“Geçen yıl 160.000 kimlik avı kampanyası yaptık ve T-Mobile’daki herkesin doğru şeyi yapıp yapmadıkları konusunda test edildiğinden emin olmak istedik” dedi.
T-Mobile’ın siber eğitim rejimi, mevcut tehditleri ve olayları açıklayan bir risk ölçüm sürecine dayanmaktadır. Şirket, ilgi çekici hale getirmeye çalışıyor ve en dirençli çalışanları ödüllerle ödüllendiriyor.
“En büyük şikayetlerden biri – ve siber dünyadaki herkes size söyleyecektir – [is] insanların eğitimle dolup taştığını. Ve biz de bu açıdan yaratıcı olmaya çalışıyoruz,” dedi Youngblood.
Siber güvenlik profesyonelleri için bu, genel suçluların (zayıf parolalar, güvenliği ihlal edilmiş hesaplar, sistem hijyeni ve yama uygulanmamış sistemler) her zaman sorunlara neden olması gerçeğiyle karmaşık bir hal alıyor.
“Kabul edelim, bu siber güvenlik açısından çok yüksek riskli ve yoğun bir iş. Çok fazla baskı var ve bence bu pozisyonda olan ekip üyelerine kendi başlarına bu işin içinde olmadıklarını ve yardım istemenin sorun olmadığını bilmelerini sağlamanın önemli olduğunu düşünüyorum,” dedi Youngblood.
“Mükemmel olmadığınızı anlıyoruz, bu yüzden mükemmel olmanız gerektiğini düşünmeyin,” dedi. “Yardım isteyebileceğinizden emin olun. Tükenmiş hissediyorsanız ve dinlenmeye ihtiyacınız varsa, o zaman bunu size verebileceğimizden emin olalım.”