Ivanti’ye göre, tehdit aktörlerinin en çok hedef aldığı çalışan grubu olan üst düzey yöneticilere sıklıkla değerli veri kaynaklarına ve ağ bağlantılı varlıklara sınırsız erişim sağlanıyor.
Yöneticiler yetkisiz iş verilerine erişiyor
Liderlerin %96’sı en azından orta düzeyde destekleyici olduklarını ve kuruluşlarının siber güvenlik yetkisine yatırım yaptıklarını söylese de gerçek şu ki, CEO’ların %49’u geçtiğimiz yıl bir veya daha fazla güvenlik önlemini atlama talebinde bulundu.
Güvenlik liderleri, yüksek erişime sahip yöneticilerin benzersiz bir güvenlik tehdidi oluşturduğunun farkında olmasına rağmen, araştırma, yönetici güvenliği istisnalarının ve düşük riskli zaman tasarrufunun çok büyük organizasyonel risklere yol açtığını ortaya koyuyor.
Raporda, güvenlik profesyonellerinin farkında olması gereken çeşitli yönetici siber güvenlik alışkanlıkları ve davranışları belirleniyor:
- Beş liderden biri iş şifresini şirket dışından biriyle paylaşıyor.
- %77’si doğum tarihleri veya evcil hayvan adları da dahil olmak üzere hatırlanması kolay şifre hackleri kullanıyor.
- CXO’ların iş cihazlarını arkadaşlar, aileler ve dışarıdan serbest çalışanlar gibi yetkisiz kullanıcılarla paylaşma olasılığı üç kat daha fazladır.
- Her üç yöneticiden biri, yetkisiz iş dosyalarına ve verilere eriştiğini itiraf ediyor ve neredeyse üçte ikisi, bu dosyalara/verilere erişirken bunları düzenlemiş olabileceklerini söylüyor.
Güvenlik profesyonelleri, yönetici siber güvenlik hijyeninin zayıf olmasını mazur görebilir
Ayrıca rapor, yöneticiler ile onları korumaktan sorumlu güvenlik ekipleri arasındaki kritik bir güven ve iletişim sorununu vurguluyor. Yöneticilerin, güvenlik kaygılarını paylaşırken güvenlikle geçmişteki etkileşimlerinin ‘garip’ veya ‘utanç verici’ olduğunu söyleme olasılıklarının iki kat daha fazla olduğu bildiriliyor.
Bu da yöneticilerin dışarıdan, onaylanmamış teknik desteğe başvurma olasılığının dört kat daha fazla olmasına yol açıyor. Rapor, bu konuyu ele almak için, güveni yeniden inşa etmenin ve güvenlik ekipleri ile yöneticiler arasında kınama veya küçümseme yerine dürüstlük ve dostane desteğe dayalı işbirliğine dayalı bir ilişki geliştirmenin önemini vurguluyor.
“Sınırlı bant genişliği nedeniyle, güvenlik uzmanları yönetici siber güvenlik hijyeninin zayıf olmasını mazur görebilir ve bunların oluşturduğu riski hafife alabilir. Ancak bulgularımıza göre bu grubun güvenliğini sağlamak için ekstra özen gösterilmesi gerekiyor” dedi Ivanti Güvenlik Müdürü Daniel Spicer. “Yöneticilere özel kimlik avında artış görülmesiyle birlikte odak noktası, pozitif bir güvenlik kültürü aşılamak ve ilgi çekici eğitim ve işbirliğine dayalı içgörüler yoluyla daha fazla yönetici uyumluluğu kazanmak olmalıdır.”
Raporda, işletmelerin ve güvenlik profesyonellerinin yönetimsel davranış açığını kapatmak için denetimler yapmak, en yaygın riskler için iyileştirmelere öncelik vermek, oyunlaştırılmış güvenlik eğitim oturumları düzenlemek ve “beyaz eldiven” güvenlik programları uygulamak da dahil olmak üzere kullanabileceği adımlar özetleniyor.