Yöneticinizin söylediğini yapın, yaptığınızı değil.
Yöneticiler, hassas bilgilere erişimleri ve büyük para transferlerini onaylama yetkileri nedeniyle tehdit aktörleri için değerli bir hedeftir. Ancak raporlar, üst düzey yöneticilerin söyledikleriyle yaptıkları arasında önemli bir siber güvenlik “davranış farkı” olduğunu ortaya koyuyor. Siber güvenlik şirketi ESET, yöneticilerin oluşturduğu siber tehditleri ve bunları önlemenin yollarını inceledi. BT yazılımı ve araştırma firması Ivanti tarafından yayınlanan rapor, üst düzey yöneticilerin söyledikleriyle yaptıkları arasında siber güvenlik açısından önemli bir “davranışsal uçurum” olduğunu ortaya koyuyor. Rapor küreseldir ve Avrupa, Amerika Birleşik Devletleri, Çin, Japonya ve Avustralya’daki 6.500’den fazla üst düzey yönetici, siber güvenlik uzmanı ve çalışanla yapılan görüşmelerden elde edilmiştir. Veriler, iş dünyasının liderlerinin söyledikleriyle gerçekte yaptıkları arasında büyük bir kopukluk olduğunu ortaya koyuyor. Örneğin, yöneticilerin neredeyse tamamı (%96) “kuruluşlarının siber güvenlik misyonunu desteklediğini veya en azından orta düzeyde yatırım yaptığını”, %78’i kuruluşlarının zorunlu güvenlik eğitimi sağladığını ve %88’i “kötü amaçlı yazılım ve kimlik avı gibi tehditleri koruduklarını” söylüyor ” Bunu tanımaya ve bildirmeye hazır olduklarını söylüyorlar. Öte yandan, yöneticilerin %77’si hatırlanması kolay şifreler kullanıyor, %35’i kimlik avı bağlantılarına tıklıyor ve %24’ü iş uygulamaları için varsayılan şifreleri kullanıyor. Kuruluşlar yöneticilerinin yarattığı siber riskleri nasıl azaltabilir? Geçtiğimiz yıl boyunca idari faaliyetlerin iç denetimini gerçekleştirin. Bu, İnternet etkinliğini, engellenen kimlik avı tıklamaları gibi potansiyel olarak riskli davranışları ve güvenlik veya BT yöneticileriyle etkileşimleri içerebilir. Aşırı risk alma veya iletişim eksikliği gibi dikkate değer modeller var mı? Öğrenilen dersler nelerdir? Bu alıştırmanın en önemli amacı, yönetici davranış farkının ne kadar geniş olduğunu ve bunun kuruluşunuzda nasıl kendini gösterdiğini anlamaktır. Üçüncü bir tarafın bakış açısını elde etmek için dış denetim de gerekli olabilir. Önce alçakta asılı olan meyveyi ele alın. Bu, en yaygın kötü güvenlik uygulamalarının düzeltilmesi en kolay olanlar olduğu anlamına gelir. Bu, erişim politikalarının herkes için iki faktörlü kimlik doğrulama (2FA) gerektirecek şekilde güncellenmesi veya belirli materyalleri belirli yöneticilerin erişimine kapatan bir veri sınıflandırma ve koruma politikası oluşturulması anlamına gelebilir. Politikayı güncellemek kadar önemli olan, politikanın düzenli olarak iletilmesi ve neden yöneticilerle çatışmayı önlemek için yazıldığının açıklanmasıdır. Süreç boyunca odak noktası, otomatik veri tespiti, sınıflandırma ve koruma gibi mümkün olduğunca müdahalesiz kontrollerin uygulanması olmalıdır. Yöneticilerin güvenlik hataları ve iş riskleri arasındaki noktaları birleştirmesine yardımcı olun. Bunu yapmanın olası bir yolu, yöneticilerin zayıf siber hijyenin etkisini anlamalarına yardımcı olmak için oyunlaştırma tekniklerini ve gerçek dünya senaryolarını kullanan eğitim oturumları düzenlemektir. Örneğin, bir kimlik avı bağlantısının nasıl büyük bir rakibin ihlaline yol açtığını açıklayabilir. Ya da kurumsal e-posta gizliliğinin bir yöneticiyi dolandırıcılara milyonlarca dolar aktarması için nasıl kandırdığını. Bu tür tatbikatlar yalnızca ne olduğuna ve operasyonel açıdan hangi derslerin alınabileceğine değil, aynı zamanda insani, mali ve itibara ilişkin etkilere de odaklanmalıdır. Yöneticiler, bazı ciddi güvenlik olaylarının meslektaşlarını nasıl işlerini bırakmaya zorladığını duymakla özellikle ilgileneceklerdir.Üst düzey liderlerle karşılıklı güven oluşturmaya çalışın. Bu, bazı BT ve güvenlik liderlerini konfor alanlarının dışına itecek. Odak noktası bireyleri dışlamak yerine hatalardan ders çıkarmak olmalıdır. Çalışanlar, eylemlerinin sonuçlarını anlamalıdır ancak her zaman sürekli iyileştirme ve öğrenme çerçevesinde olmalıdır. Üst düzey yöneticiler için bir “beyaz eldiven” siber güvenlik programı düşünün. Yöneticilerin güvenlikle olan etkileşimlerinin utanç verici olduğunu söyleme olasılığı sıradan çalışanlara göre daha fazladır. Siber hijyenleri zayıftır ve tehdit aktörlerinin daha sık hedefi olurlar. Bunların hepsi, üst düzey liderlerden oluşan bu nispeten küçük çevreye özel ilgi gösterilmesi için iyi nedenlerdir.
Yöneticilerle etkileşimler ve özel olarak tasarlanmış eğitim ve işe alma/işten çıkarma süreçleri için özel bir iletişim noktası düşünün. Amaç, güven oluşturmak ve en iyi uygulamaları oluşturmak ve güvenlik olaylarını bildirmenin önündeki engelleri azaltmaktır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
—–Sponsorlu Bağlantılar—–
