Yöneticiler hassas bilgilere erişimleri ve büyük para transferlerini onaylama yetkileri nedeniyle tehdit aktörleri için değerli bir hedef konumundalar. Buna karşın raporlar üst düzey yöneticilerin söyledikleri ile yaptıkları arasında önemli bir siber güvenlik "davranış boşluğu" olduğunu ortaya koyuyor.
Siber güvenlik şirketi ESET yöneticilerden kaynaklanan siber tehditleri ve bu tehditleri önlemenin yollarını inceledi.
BT yazılım ve araştırma şirketi İvanti’nin yayımladığı rapor üst düzey yöneticilerin söyledikleri ile yaptıkları arasında önemli bir siber güvenlik "davranış boşluğu" olduğunu ortaya koyuyor. Rapor, Avrupa, ABD, Çin, Japonya ve Avustralya'da 6.500'den fazla üst düzey yönetici, siber güvenlik uzmanı ve ofis çalışanıyla yapılan görüşmelerden elde edilen küresel bir nitelik taşıyor. Veriler iş dünyası liderlerinin söyledikleri ile gerçekte yaptıkları arasında büyük bir kopukluk olduğunu ortaya koyuyor. Örneğin yöneticilerin neredeyse tamamı (%96) "kurumlarının siber güvenlik görevini en azından orta düzeyde desteklediklerini veya bu konuya yatırım yaptıklarını" iddia ediyor, yüzde 78'i kurumun zorunlu güvenlik eğitimi verdiğini, yüzde 88'i "kötü amaçlı yazılım ve kimlik avı gibi tehditleri tanımaya ve bildirmeye hazır olduklarını" söylüyor. Buna karşın hatırlaması kolay parolalar kullanan yöneticilerin oranı yüzde 77, kimlik avı bağlantılarına tıklayanların oranı yüzde 35 ve iş uygulamaları için varsayılan parolaları kullanma oranı ise yöneticilerde yüzde 24 olarak ortaya çıkıyor.
KURULUŞLAR, YÖNETİCİLERİNİN YARATTIĞI SİBER RİSKLERİ NASIL AZALTABİLİR?
Geçtiğimiz yıl boyunca yönetici faaliyetlerine ilişkin bir iç denetim gerçekleştirin. Bu, internet faaliyetlerini, engellenen kimlik avı tıklamaları gibi potansiyel riskli davranışları ve güvenlik veya BT yöneticileriyle etkileşimleri içerebilir. Aşırı risk alma veya iletişimsizlik gibi kayda değer kalıplar var mı? Çıkarılan dersler nelerdir? Bu alıştırmanın en önemli amacı, yönetici davranış boşluğunun ne kadar geniş olduğunu ve kuruluşunuzda nasıl ortaya çıktığını anlamaktır. Üçüncü bir tarafın bakış açısını elde etmek için bir dış denetim bile gerekebilir.
Önce düşük seviyedeki asılı meyveyi ele alın. Bu, düzeltilmesi en kolay olan en yaygın kötü güvenlik uygulaması türleri anlamına gelir. Erişim politikalarını herkes için iki faktörlü kimlik doğrulamayı (2FA) zorunlu kılacak şekilde güncellemek veya belirli materyalleri belirli yöneticiler için sınırların dışına çıkaran bir veri sınıflandırma ve koruma politikası oluşturmak anlamına gelebilir. Politikayı güncellemek kadar önemli olan bir diğer husus da, yöneticilerin karşı karşıya gelmesini önlemek için politikanın düzenli olarak iletilmesi ve neden yazıldığının açıklanmasıdır. Süreç boyunca odak noktası, otomatik veri keşfi, sınıflandırma ve koruma gibi mümkün olduğunca müdahaleci olmayan kontrolleri uygulamaya koymak olmalıdır.
Yöneticilerin güvenlik hataları ile iş riski arasındaki noktaları birleştirmelerine yardımcı olun. Bunu yapmanın olası bir yolu, yöneticilerin kötü siber hijyenin etkisini anlamalarına yardımcı olmak için oyunlaştırma tekniklerini ve gerçek dünya senaryolarını kullanan eğitim oturumları düzenlemektir. Örneğin, bir kimlik avı bağlantısının büyük bir rakibin ihlaline nasıl yol açtığı açıklanabilir. Ya da bir iş e-postası ele geçirme saldırısının bir yöneticiyi dolandırıcılara milyonlarca dolar havale etmesi için nasıl kandırdığı. Bu tür egzersizler sadece ne olduğuna ve operasyonel açıdan ne gibi dersler çıkarılabileceğine değil aynı zamanda insani, finansal ve itibar üzerindeki etkilerine de odaklanmalıdır. Yöneticiler, bazı ciddi güvenlik olaylarının meslektaşlarının görevlerinden ayrılmak zorunda kalmalarına nasıl yol açtığını duymakla özellikle ilgileneceklerdir.
(Haber Merkezi)
ABDULVAHİT GÜRASLAN
