Yönetici kaynaklı siber tehdidi önlemenin 5 yolu

Durmadan anlattığınız şeyi, hedef siz olduğunuzda uygulayamamak acı bir deneyim olur. Kurumsal siber güvenlik söz konusu olduğunda, liderlik etmek önemlidir. Evet, her çalışanın güvenlik kültüründe kendi rolünü oynaması da önemlidir. Ancak yönetim kurulu ve üst düzey liderlik temel siber hijyeni öğrenmek için zaman ayıramıyorsa, şirketin geri kalanı neden ayırsın? 

Daha da kötüsü, yöneticiler hassas bilgilere erişimleri ve büyük para transferlerini onaylama yetkileri nedeniyle tehdit aktörleri için oldukça değerli bir hedeftir. Dolayısıyla vaaz ettiklerini uygulamamak önemli mali ve itibar kaybına yol açabilir.

Nitekim Ivanti’nin yeni bir raporu, üst düzey yöneticilerin söyledikleri ile yaptıkları arasında önemli bir siber güvenlik “davranış boşluğu” olduğunu ortaya koymaktadır. Bu açığın kapatılması tüm kuruluşlar için acil bir mesele olmalıdır. 

Davranış boşluğu

Rapor, Avrupa, ABD, Çin, Japonya ve Avustralya’da 6.500’den fazla üst düzey yönetici, siber güvenlik uzmanı ve ofis çalışanıyla yapılan görüşmelerden elde edilen küresel bir nitelik taşıyor. Rapor, diğer hususların yanı sıra, iş dünyası liderlerinin söyledikleri ile gerçekte yaptıkları arasında büyük bir kopukluk olduğunu ortaya koymaktadır. Örneğin: 

• Neredeyse tamamı (%96) “kurumlarının siber güvenlik görevini en azından orta düzeyde desteklediklerini veya bu konuya yatırım yaptıklarını” iddia ediyor
• 78’i kurumun zorunlu güvenlik eğitimi verdiğini söylüyor 
• 88’i “kötü amaçlı yazılım ve kimlik avı gibi tehditleri tanımaya ve bildirmeye hazır olduklarını” söylüyor

Buraya kadar her şey yolunda. Ancak ne yazık ki hikayenin tamamı bu değil. Aslında, birçok iş lideri de

• Geçtiğimiz yıl bir veya daha fazla güvenlik önlemini atlatmayı talep etti (%49)
• Hatırlaması kolay parolalar kullanın (%77)
• Kimlik avı bağlantılarına tıklayın (%35)
• İş uygulamaları için varsayılan parolaları kullanma (%24)

Yönetici davranışları genellikle kabul edilebilir güvenlik uygulamalarının çok gerisinde kalır. Normal çalışanlarla kıyaslandığında da bu durum dikkat çekicidir. Çalışanların yalnızca %14’ü varsayılan parolaları kullandıklarını söylerken, bu oran yöneticilerde %24’tür. Rapora göre, ikinci grubun iş cihazlarını yetkisiz kullanıcılarla paylaşma olasılığı üç kat daha fazla. Yöneticilerin BT güvenliği ile geçmişte yaşadıkları bir etkileşimi “garip” olarak tanımlama olasılığı iki kat daha fazla ve kimlik avı bağlantılarına tıklamak gibi hataları bildirirken “kendilerini güvende hissetmediklerini” söyleme olasılıkları %33 daha fazla.

Yönetici kaynaklı siber tehdidi azaltmaya yönelik adımlar

Bu durum, üst düzey liderlerin bir kuruluşta tipik olarak sahip oldukları erişim hakları nedeniyle önemlidir. Bu durum, zayıf güvenlik uygulamaları ve “yönetici istisnacılığı” ile birleşince – ki bu da birçok kişinin normal çalışanların reddedeceği geçici çözümler istemesine yol açıyor – onları cazip bir hedef haline getiriyor. Rapor, yöneticilerin %47’sinin geçtiğimiz yıl içinde bilinen bir kimlik avı hedefi olduğunu iddia ederken, bu oran normal ofis çalışanlarında %33’tür. Çalışanların sadece %8’ine kıyasla %35’i kötü niyetli bir bağlantıya tıklamış ya da para göndermiştir.

Güvenlik uzmanları genellikle en iyi uygulamalar ve siber hijyen bilincinin tüm kuruma nüfuz ettiği, tasarım gereği güvenlik veya güvenlik merkezli bir kültüre duyulan ihtiyaçtan bahseder. Üst düzey liderlik aynı değerleri benimsemiyorsa bunu başarmak neredeyse imkansızdır. 

Peki kuruluşlar, yöneticilerinin yarattığı siber riskleri azaltmak için ne yapabilirler?

1. Geçtiğimiz yıl boyunca yönetici faaliyetlerine ilişkin bir iç denetim gerçekleştirin. Bu, internet faaliyetlerini, engellenen kimlik avı tıklamaları gibi potansiyel riskli davranışları ve güvenlik veya BT yöneticileriyle etkileşimleri içerebilir. Aşırı risk alma veya iletişimsizlik gibi kayda değer kalıplar var mı? Çıkarılan dersler nelerdir? 
   Bu alıştırmanın en önemli amacı, yönetici davranış boşluğunun ne kadar geniş olduğunu ve kuruluşunuzda nasıl ortaya çıktığını anlamaktır. Üçüncü bir tarafın bakış açısını elde etmek için bir dış denetim bile gerekebilir. 
2. Önce düşük asılı meyveyi ele alın. Bu, düzeltilmesi en kolay olan en yaygın kötü güvenlik uygulaması türleri anlamına gelir. Bu, erişim politikalarını herkes için iki faktörlü kimlik doğrulamayı (2FA) zorunlu kılacak şekilde güncellemek veya belirli materyalleri belirli yöneticiler için sınırların dışına çıkaran bir veri sınıflandırma ve koruma politikası oluşturmak anlamına gelebilir. Politikayı güncellemek kadar önemli olan bir diğer husus da, yöneticilerin karşı karşıya gelmesini önlemek için politikanın düzenli olarak iletilmesi ve neden yazıldığının açıklanmasıdır. Bu süreç boyunca odak noktası, otomatik veri keşfi, sınıflandırma ve koruma gibi mümkün olduğunca müdahaleci olmayan kontrolleri uygulamaya koymak olmalıdır. Bu, güvenlik ve yönetici verimliliği arasında doğru dengeyi kurmaya yardımcı olacaktır.
3. Yöneticilerin güvenlik hataları ile iş riski arasındaki noktaları birleştirmelerine yardımcı olun. Bunu yapmanın olası bir yolu, yöneticilerin kötü siber hijyenin etkisini anlamalarına yardımcı olmak için oyunlaştırma tekniklerini ve gerçek dünya senaryolarını kullanan eğitim oturumları düzenlemektir. Örneğin, bir kimlik avı bağlantısının büyük bir rakibin ihlaline nasıl yol açtığı açıklanabilir. Ya da bir iş e-postası ele geçirme saldırısınınbir yöneticiyi dolandırıcılara milyonlarca dolar havale etmesi için nasıl kandırdığı. Bu tür egzersizler sadece ne olduğuna ve operasyonel açıdan ne gibi dersler çıkarılabileceğine değil, aynı zamanda insani, finansal ve itibar üzerindeki etkilerine de odaklanmalıdır. Yöneticiler, bazı ciddi güvenlik olaylarının meslektaşlarının görevlerinden ayrılmak zorunda kalmalarına nasıl yol açtığını duymakla özellikle ilgileneceklerdir.
4. Üst düzey liderlerle karşılıklı güven oluşturmak için çalışın. Bu, bazı BT ve güvenlik liderlerini konfor alanlarından çıkaracaktır. Raporda açıklandığı üzere, bir çalışan hata yaptığında genellikle bunu takip eden “kınama veya küçümseme” yerine “dürüstlük ve dostça destek” anlamına gelmelidir. Odak noktası, bireyleri ayırmak yerine hatalardan ders çıkarmak olmalıdır. Evet, çalışanlar eylemlerinin sonuçlarını anlamalı, ancak bunu her zaman sürekli gelişim ve öğrenme çerçevesinde yapmalıdırlar. 
5. Üst düzey liderler için bir “beyaz eldiven” siber güvenlik programı düşünün. Yöneticilerin güvenlikle etkileşimlerinin garip olduğunu söyleme olasılığı normal çalışanlara göre daha yüksektir. Siber hijyenleri daha kötüdür ve tehdit aktörleri için daha büyük bir hedeftirler. Tüm bunlar, üst düzey liderlerden oluşan bu nispeten küçük zümreye özel ilgi göstermek için iyi nedenlerdir. Yöneticilerle etkileşimler için özel bir irtibat noktası ve özel olarak tasarlanmış eğitim ve işe alma/çıkarma süreçleri düşünün. Amaç güven ve en iyi uygulamaları oluşturmak ve güvenlik olaylarını bildirmenin önündeki engelleri azaltmaktır.

Bu adımların çoğu kültürel değişim gerektirecek ve bu da doğal olarak zaman alacaktır. Ancak yöneticilere karşı dürüst davranarak, doğru süreçleri ve kontrolleri uygulamaya koyarak ve onlara kötü siber hijyenin sonuçlarını öğreterek büyük bir başarı şansına sahip olacaksınız. Güvenlik bir takım sporudur, ancak kaptanla başlamalıdır.