Güvenlik Önerileri

Şirketler İçin Siber Güvenlikte Kapsamlı Eğitim Stratejilerinin Önemi

Bilgi Güvende

tarafından

24 Nisan 2020

tarihinde yayımlandı

Siber tehditlerin olası etki alanı milyarlarca dolarlık şirketlerden home-office çalışan bireylere kadar geniş bir skalada görülebilir. Üstelik etki alanı ne kadar büyük olurlarsa olsun tehditlere karşı yeterince hazırlıklı değildir. Çünkü ayrılan devasa bütçeler bile güvenliğin tam anlamıyla sağlandığını garanti edemez. Zira bazı tehdit kaynakları teknolojik olmaktan öte merak, bilgisizlik, özgüven, umursamazlık gibi ‘zihnin içerisindeki’ insana özgü nedenlerden ileri gelir. En tehditkâr kötü amaçlı yazılımlarla aynı seviyede risk unsuru barındıran bu insani haller, boyut ayırt etmeksizin tüm işletmelerde görülebilir.

Bu nedenle şirketlerin siber saldırılara karşı yükseltmeye çalıştıkları bariyeri teknoloji eksenindeki ‘caydırıcı’ öğelerle birlikte ‘insan odaklı savunma’ stratejileri ile dengelemeleri gerekir.

Güvenliğe dair ihtiyaç duyulan asıl unsur hızlı karar alınabilen proaktif liderlik yaklaşımı. Çünkü siber tehditler internetle bağlantılı hemen her şeyde olduğu gibi günümüz yönetim kurullarının da temel gündem maddelerinden biri. Ünlü yatırımcı Warren Buffett’in dediği gibi, ‘siber risk, insanlığın önündeki en vahim kaygılar arasında…’

Teknoloji, dinamik siber tehditlerle mücadelede tek başına yeterli değil ve şirketler söz konusu risklerin evrimleştiğini kabul etmek durumunda. Bu bağlamda bazı gerçekleri hatırlatmakta yarar olabilir.

Can sıkıcı ama gerçek…

1- Savunma, saldırıdan daha zor bir iş. Siber korsanların zarar verebilmesi için tek bir başarılı saldırı yeterli. Oysa ki savunma, ardı arkası kesilmeyen bir elzem.

2- Bir diğer konu sabır ve gizlilik. Şirketler, mevcut savunma stratejilerinin sağladığı özgüvenle rehavete kapılabilirler. Çağımızın milyon dolarlık hedefine ulaşmış ürpertici siber korsanlık hikayelerinin çoğunun arka planında da bu yatar. Tehlike, kapsamı geniş ve güçlü savunma hatlarının riskleri alt edebileceğinin ‘sanılmasından’ kaynaklanır. Bu nedenle savunmanın, sanıldığı kadar eksiksiz olamayacağı bilinmeli ve çalışanlar da bu yönde bilgilendirilmeli. Aslında buna basitçe ‘risk çevikliği’ diyebiliriz. Çünkü çevik bir işletmede çalışanlar, bilgilendirildikleri siber güvenlik politikalar gereği kendilerinden ne beklendiğinden haberdardır. Kötü niyetli ya da şüpheli durumları fark edecek kadar eğitildikleri için genellikle belirlenen güvenlik politikalarına göre hareket etme eğilimi taşırlar.

3- Organizasyonların siber güvenlik yetilerini güçlendiren temel faktörlerden biri de yönetim ekibindekilerin değil, ‘herkesin’ gerekli ölçüde bilgilendirilmesi. Nedeni açık; siber tehditlerle alakalı sezgi ve harekete geçme konsepti, çoğu zaman işe yarar. Örneğin geçtiğimiz yıllarda Almanya’daki bir bankaya yönelik büyük ölçekli siber saldırı, banka memurunun fark etmesi sonucunda başlatılan güvenlik adımları ile atlatıldı.

Tüm çalışanların risk çevikliğine sahip olması önemli. Siber dünyadaki en büyük saldırıların önemli bir kısmının şirketlere erişimi bulunan üçüncü kişiler nedeniyle amacına ulaştığını da hatırlatalım. Dolayısıyla sadece yöneticiler, hissedarlar ve çalışanlar değil; danışman, yüklenici, satıcı gibi dışarıdan şirket ağlarına erişimi bulunup hizmet veren diğer birimler de eğitime tabi tutulabilir.

Özetle;

Siber tehditler değişir ve dönüşür. Sürekli evrim halindedirler. Teknoloji ile yakalanmaya çalışılan bu değişimlerle baş edilmesi eğer insan faktörü de devreye girerse mümkün olabilir.
‘Sadece teknoloji yetmez.’
Şirketlerin bütün çalışanlarını, hatta üçüncü kişileri siber güvenlik ekseninde bilgilendirmesi, onlara şüpheli durumlarda ne yapılması gerektiğini anlatması öneriliyor.

Pahalıya mal olmaz mı?

Şüpheli yöneticilerin kullandığı soru kalıplarından biri olan ‘pahalıya mal olmaz mı’, siber güvenlikle ilgili temel sorunların da başında geliyor. İnsan odaklı siber güvenlik zaaflarının temel nedenini eğitim programlarına yeterince önem verilmemesi, diğer deyişle yeterince bütçe ayrılmaması oluşturuyor.

Bu yöndeki önemli göstergelerden biri olan 2016 tarihli CSO Dergisi ve Carnegie Mellon Üniversitesi araştırmasına göre, şirketlerdeki gizli ve hassas bilginin açığa çıktığı vakaların yüzde 50’sinin nedenini ‘iç kaynaklar’ oluşturuyor. Yani iyi niyetli de olsa yeterli siber güvenlik bilgisine sahip olmayan şirket çalışanları, oltalama saldırılarına takılmak gibi nedenlerle gizli ve hassas bilginin ele geçirilmesinin nedenini oluşturabiliyor.

Güncel güvenlik teknolojilerine sahip otomobilin kaza yapmasının nedenini, kırmızı ışıkta geçmeye çalışan kötü eğitim almış bir sürücü oluşturabilir. Burada bahsi geçen yatırım, sürücünün eğitilmesidir. En nihayetinde şirketlerin ‘hazırlık’ düzeyinin geliştirilmesi, bunun için de yatırım gerekiyor.

Bu arada son dönemde bazı ülkelerdeki yasal yaptırımların şirketleri, çalışanlarını siber güvenlik alanında düzenli aralıklarla eğitmeye yönlendiriyor olması da sevindirici bir gelişme. Örneğin ABD/New York’ta bu kapsamda bir yasa yürürlüğe girmişti.

Yapay zeka, otonom sürüş gibi teknolojilerin önemli olduğuna şüphe yok. Ancak unutulmamalı ki teknoloji insan tarafından kullanılıyor. Bu nedenle şirketlerin insanı siber savunmanın merkezinde konumlandıran stratejilerin önemini anlaması ve bu yönde alacağı kararlar büyük önem taşıyor.

İlginizi çekebilir > Şirketler Gelişmiş Sürekli Tehditlere (APT) Karşı Hangi Önlemleri Almalı?