Yöneticinin söylediğini yap yaptığını yapma
Yöneticiler hassas bilgilere erişimleri ve dev para transferlerini onaylama yetkileri nedeniyle tehdit aktörleri için kıymetli bir maksat konumundalar. Buna rağmen raporlar üst seviye yöneticilerin söyledikleri ile yaptıkları ortasında kıymetli bir siber güvenlik “davranış boşluğu” olduğunu ortaya koyuyor.
Siber güvenlik şirketi ESET yöneticilerden kaynaklanan siber tehditleri ve bu tehditleri önlemenin yollarını inceledi.
BT yazılım ve araştırma şirketi İvanti’nin yayımladığı rapor üst seviye yöneticilerin söyledikleri ile yaptıkları ortasında değerli bir siber güvenlik “davranış boşluğu” olduğunu ortaya koyuyor. Rapor, Avrupa, ABD, Çin, Japonya ve Avustralya’da 6.500’den fazla üst seviye yönetici, siber güvenlik uzmanı ve ofis çalışanıyla yapılan görüşmelerden elde edilen global bir nitelik taşıyor. Bilgiler iş dünyası başkanlarının söyledikleri ile gerçekte yaptıkları ortasında büyük bir kopukluk olduğunu ortaya koyuyor. Örneğin yöneticilerin neredeyse tamamı (%96) “kurumlarının siber güvenlik vazifesini en azından orta seviyede desteklediklerini yahut bu mevzuya yatırım yaptıklarını” argüman ediyor, yüzde 78’i kurumun mecburî güvenlik eğitimi verdiğini, yüzde 88’i ” olumsuz am toksuzlı yazılım ve kimlik avı üzere tehditleri tanımaya ve bildirmeye hazır olduklarını” söylüyor. Buna rağmen hatırlaması kolayçe parolalar kullanan yöneticilerin oranı yüzde 77, kimlik avı ilişkilerine tıklayanların oranı yüzde 35 ve iş uygulamaları için varsayılan parolaları kullanma oranı ise yöneticilerde yüzde 24 olarak ortaya çıkıyor.
Kuruluşlar, yöneticilerinin yarattığı siber riskleri nasıl azaltabilir?
Geçtiğimiz yıl boyunca yönetici faaliyetlerine ait bir iç kontrol gerçekleştirin. Bu, internet faaliyetlerini, engellenen kimlik avı tıklamaları üzere potansiyel riskli davranışları ve güvenlik yahut BT yöneticileriyle etkileşimleri içerebilir.yeterli risk alma yahut iletişimsizlik üzere kayda bedel kalıplar var mı? Çıkarılan dersler nelerdir? Bu alıştırmanın en kıymetli maksadı, yönetici davranış boşluğunun ne kadar geniş olduğunu ve kuruluşunuzda nasıl ortaya çıktığını kulak vermektır. Üçüncü bir tarafın bakış acıkmışısını elde etmek için bir dış kontrol bile gerekebilir.
Önce düşük düzeydeki asılı meyveyi ele alın. Bu, düzeltilmesi en kolayçe olan en yaygın hoşgörüsüz güvenlik uygulaması çeşitleri manasına gelir. Erişim siyasetlerini herkes için iki faktörlü kimlik zenginlamayı (2FA) güçunlu kılacak formda güncellemek yahut makul gereçleri makul yöneticiler için hudutların dışına çıkaran bir bilgi sınıflandırma ve muhafaza siyaseti oluşturmak manasına gelebilir. Politikayı güncellemek kadar değerli olan bir öteki konu da, yöneticilerin karşı karşıya gelmesini önlemek için siyasetin nizamlı olarak iletilmesi ve neden yazıldığının iştahlııklanmasıdır. Süreç boyunca odak noktası, floraomatik bilgi keşfi, sınıflandırma ve muhafaza üzere mümkün olduğunca müdahaleci olmayan denetimleri uygulamaya koymak olmalıdır.
Yöneticilerin güvenlik kusurları ile iş riski ortasındaki noktaları birleştirmelerine yardımcı olun. Bunu yapmanın muhtemel bir yolu, yöneticilerin ziyanlı siber hij yepyenin tesirini anlamalarına yardımcı olmak için oyunlaştırma tekniklerini ve gerçek dünya senaryolarını kullanan eğitim botanikurumları düzenlemektir. Örneğin, bir kimlik avı kontağının büyük bir rakibin ihlaline nasıl yol kahvaltı sofrasıtan ölmetığı toksuzıklanabilir. Ya da bir iş e-postası ele geçirme saldırısının bir yöneticiyi dolandırıcılara milyonlarca dolar havale etmesi için nasıl kandırdığı. Bu çeşit antrenmanlar yalnızca ne olduğuna ve operasyonel acıkmışıdan ne üzere dersler çıkarılabileceğine değil tıpkı vakitte insani, finansal ve prestij üzerindeki tesirlerine de odaklanmalıdır. Yöneticiler, kimi önemli güvenlik olaylarının meslektaşlarının misyonlarından ayrılmak zorunda kalmalarına nasıl yol iştahlıtığını içine sindirmekla bilhassa ilgileneceklerdir.
Üst seviye başkanlarla karşılıklı inanç oluşturmak için çalışın. Bu, kimi BT ve güvenlik önderlerini konfor alanlarından çıkaracaktır. Odak noktası, bireyleri ayırmak yerine yanlışlardan ders çıkarmak olmalıdır. Çalışanlar hareketlerinin sonuçlarını anlamalı fakat bunu her vakit daima gelişim ve öğrenme çerçevesinde yapmalıdırlar.
Üst seviye önderler için bir “beyaz eldiven” siber güvenlik programı düşünün. Yöneticilerin güvenlikle etkileşimlerinin garip olduğunu söyleme mümkünlüğü olağan çalışanlara nazaran daha yüksektir. Siber hijyenleri daha kirlicüldür ve tehdit aktörleri için daha muazzam bir hedeftirler. Tüm bunlar, üst seviye önderlerden oluşan bu nispeten bebek zümreye özel ilgi göstermek için ülkü nedenlerdir.
Yöneticilerle etkileşimler için özel bir irtibat noktası ve özel olarak tasarlanmış eğitim ve işe alma yahut çıkarma süreçleri düşünün. Am muhtaç inanç ve en kusursuz uygulamaları oluşturmak ve güvenlik olaylarını bildirmenin önündeki pürüzleri azaltmaktır.
Kaynak: (BYZHA) Beyaz Haber Ajansı