[By Perry Carpenter, chief evangelist and security officer, KnowBe4]
Hırsızlar her gün ön kapınıza girse, pencerelerinizi korumaya karar verir miydiniz? Siber güvenlik uygulayıcılarının yaptığı şey budur ve mantıklı değildir. Neredeyse yüzde 90 Siber olayların büyük bir kısmı insan hatasından kaynaklanmaktadır ve henüz yalnızca yüzde dört Siber güvenlik bütçelerinin yüzde 50’si eğitim ve geliştirme girişimlerine ayrılıyor.
Gerçek şu ki, insanlar siber güvenlik denkleminden çıkarılamaz; her şeyin işe yaraması için insanlara ihtiyacımız var. Peki siber güvenlik nasıl daha insan merkezli veya insan odaklı hale gelebilir?
1. Zihniyetinizi Değiştirin: Araçlar yerine çalışanlarınızın farkına varın
Siber güvenlik uzmanları olarak hepimiz daha önce bu gemide bulunduk. Yaparız büyük yatırımlar teknolojilerde ve yine de bu kırılganlık hissine sahibiz çünkü insanız çünkü bir hata penceresi olduğunu biliyoruz. Teknolojiyi inşa edenler insanlardır, dijital varlıklara ve bilgilere sahip olanlar insanlardır, insanlara ve sistemlere saldıranlar insanlardır ve bu saldırılara karşı koruma sağlayan siber savunmaları ve süreçleri inşa edenler insanlardır. Kullandığımız otomasyon veya yapay zeka türü ne olursa olsun, döngüde her zaman bir insan olacaktır.
2. Kök Sebeplere Odaklanın
Bir siber saldırı başarılı olduğunda bu bir insan sorunu mudur yoksa bir politika sorunu mudur? Teknolojik bir sorun mu? Muhtemelen bunların bir kombinasyonudur. Örneğin, çalışanları kolay şifreler kullandıkları için kesinlikle suçlayabiliriz. Ancak bu, aynı anda yalnızca tek bir kullanıcıyla ilgili sorunu giderir. Temel nedene ulaşmak daha iyi bir yaklaşım olmaz mıydı? Bu kadar çok parolanın yeniden kullanılmasına neden olan mevcut parola politikası veya uygulamasıyla ilgili nedir? Mevcut süreç veya politika yüksek bir bilişsel yük gerektiriyor mu? Yoksa bu sadece çalışanların yeterince eğitilmemesi veya yeterince hatırlatılmamasından mı kaynaklanıyor?
3. İletişim Sanatını Öğrenin
Siber güvenlikte, insanların en zayıf halka olduğu yönünde yaygın bir yanlış anlama ve yanlış anlatı vardır. Güvenlik ekipleri üstünlük kompleksine sahip olmaktan suçlu olabilir; Bizler kahramanız, en iyi şeyi yapmaya çalışıyoruz ve bunun sorumlusu başkaları. Bu, düşmanca bir “biz onlara karşı” zihniyeti yaratır. Hatta yetkin, teknik kıdemli insanlar Sosyal mühendislik saldırılarıyla dolandırılıyorlar. Bu mücadeleyi güvenlik ekipleri tek başına kazanamaz. Kullanıcıların bilinçli kararlar alabilmeleri için doğru bilgilerle donatılması gerekir. Bu bilginin yankı uyandıracak bir dille açıklanması gerekir.
4. İnsanları Anlamanın, Güçlendirmenin ve Motive Etmenin Yollarını Bulun
İnsanları eleştirmek yerine onları güçlendirin ve motive edin ki kendilerini güvende ve değerli hissetsinler; kendilerini çözümün bir parçası olarak görmeliler. Çok hızlı yargılamak yerine bakış açılarını anlamanıza yardımcı olmak için aktif dinleme alıştırması yapın. Belki mevcut süreçler işlerini yapmalarını engellediği için güvenlik konusunda işin kolayına kaçıyorlar. Onları heyecanlandırmak veya motive etmek için sunulabilecek teşvikler var mı? Bunu daha eğlenceli ve ilgi çekici hale getirmek için yarışmalar ve oyunlar düzenleyebilir misiniz? Siber güvenliğin yalnızca kurumu etkileyen bir şey olmadığını, aynı zamanda ailelerini de etkileyebileceğini açıklayın. Korkuya dayalı, cezalandırıcı bir yaklaşımdan kaçının.
5. İnsanlar Üzerindeki Yükü Azaltın ve Kullanılabilirliği Artırın
Kullanılabilirlik göz önüne alındığında, bunun sonradan akla gelmesi yaygındır. Bir ürün veya süreç geliştiriyoruz ve yalnızca sonuna doğru, çoğunlukla güvenlik ekibinden birkaç kişi onu inceliyor. Ancak ürünü veya süreci başından itibaren kullanacak veya etkilenecek paydaşların katılımını sağlamak daha faydalı olacaktır. Kullanılabilirlik testleri yoluyla yalnızca teknolojiye değil aynı zamanda güvenlik politikaları ve iletişimlere ilişkin düşüncelerini ve geri bildirimlerini toplamak, kullanıcı deneyimini iyileştirebilir. Bunu küçük bir temsilci kullanıcı grubuyla paylaşarak ve geri bildirimlerini isteyerek değerli bilgiler elde edilebilir. Teknolojinin belirli iş yüklerini insanlardan daha iyi gerçekleştirebileceğinin bilincinde olarak tekrarlanan görevleri otomasyona aktarın. Bu, kimlik avı e-postalarının kullanıcılara ulaşmasını engellemenin yollarını bulmayı da içerir.
Siber Güvenlik, İnsanların Günlük Tehditleri Yönlendirmesine Yardımcı Olur
Daha önce, ön kapılarımızı açık bırakmanın pek endişe yaratmadığı bir toplumda yaşıyorduk. Artık kapı zilleri, ev güvenlik alarmları ve diğer koruma katmanları yerine dijital kameralar kuruyoruz. Benzer şekilde, dünyaya gelen çocukların çevrimiçi ortamda güvende olma ve doğal olarak iyi güvenlik kararları verme konusunda varsayılan bir zihniyete sahip olduğu siber alanında da iki nesil uzaktayız.
Bugün yetişkinler de kendilerini bu gerçeği kabul etmeleri, onunla birlikte çalışmaları ve gerekli ayarlamaları yapmaları gereken benzer bir konumda buluyorlar. Hiç şüphe yok ki, siber güvenliğin yalnızca bir BT riski değil aynı zamanda bir iş, insanlar ve gizlilik riski olarak kabul edilmesiyle kamuoyunun farkındalığında büyük bir değişim yaşandı.
Hepimiz tıp alanında uzman olmasak da çoğumuz temel ilk yardım bilgisine sahibiz. Bu bilgiyi çeşitli durumlarda uygulayarak hayatımız boyunca yanımızda taşıyoruz. Benzer şekilde, eğer bireyler nişanlı güvenlikte farkındalık programları ve kimlik avı simülasyon alıştırmaları sayesinde sosyal mühendisliğin tehlike işaretlerine aşina olma olasılıkları daha yüksektir. Eleştirel düşünme becerileri ve güvenlik içgüdüleri, yeni ve gelişen tehditlere hızla uyum sağlamalarını sağlayacaktır.
Ancak insanları bu riskler konusunda eğitmek veya hatırlatmak için hiçbir çaba gösterilmezse, görev bunaltıcı ve külfetli hale gelebilir. Kullanıcıların aşırı yüklenmesini önlemek için, bilgi ve becerilerini, belirli ihtiyaçlarına göre uyarlanmış ve beklenen kullanılabilirlik düzeyine uygun olarak yönetilebilir artışlarla düzenli olarak desteklemek faydalıdır. Güvenlik programlarını teknolojiye aşırı bağımlı olmak yerine daha insan odaklı hale getirin.
yazar hakkında
Perry Carpenter şu kitabın ortak yazarıdır:Güvenlik Kültürü Başucu Kitabı: Riski Azaltma ve İnsani Savunma Katmanınızı Geliştirmeye Yönelik Yönetici Kılavuzu.” [2022, Wiley] Konuyla ilgili ikinci Wiley kitabı yayını. O, baş müjdeci ve güvenlik görevlisidir. KnowBe4dünya çapında 65.000’den fazla kuruluş tarafından kullanılan güvenlik farkındalığı eğitimi ve simüle edilmiş kimlik avı platformları sağlayıcısı.
E-posta: [email protected]
X: @PerryCarpenter
LinkedIn: https://www.linkedin.com/in/perrycarpenter/
Reklam