Şirketlerde siber güvenlik eğitim, strateji ve karşılıklı işbirliği yoluyla teşvik edilebilir. İşte bu konuda işinize yarayacak bazı tavsiyeler.
Organizasyonun büyüklüğü veya faaliyet gösterdiği alan ne olursa olsun, bu organizasyonları karmaşık siber saldırılara karşı korumak için CIO ve iş dünyasının liderlerinin bir numaralı görevi haline geldi.
Şirketlerde siber güvenliği teşvik etmenin yolları
2018 yılında CIO 100’e dahil olan organizasyonların yarısından fazlası, geçtiğimiz yıl güvenlik ihlali tespit ettiklerini bildirirken, yüzde 82’si siber saldırılara karşı daha fazla savunmayı oluşturmak için güvenlik bütçesinde bir artış beklediğini söyledi.
Büyük bir veri ihlalinin şirketlere finansal olarak verdiği zararlar ve çoğu zaman elde edilmesi onlarca yıl süren itibarları yok ettiği bilinen bir gerçek. 2019’da, güvenlik araştırmacısı Troy Hunt, 772 milyondan fazla e-posta adresi ve 21 milyon parola içeren 87 GB büyüklüğünde 12.000 dosyalık bir paket içeren, veri sızıntısını keşfettiğinde, bugüne kadar yaşanan en büyük veri ihlaline şahit olmuştuk.
CIO’lar genellikle çalışanlarını, müşterileri çevrimiçi tehditlerden korumanın yeni yollarını bulmakla görevlendirilir. Ancak CIO’lar çalışanları nasıl işe alabilir ve işgücü içinde siber güvenliği nasıl teşvik edebilir?
Güvenlik konularını vurgulamak ve genel farkındalığı artırmak kuşkusuz siber güvenliğe giden yolda ilk önemli adım olsa da, insanlara daha fazla güvenlik meraklısı olmalarını söylemek nadiren yeterlidir.
Bir CISO Kiralama
Geçen yıl, İngiltere’deki işletmelerin neredeyse yarısının bir siber saldırıya maruz kaldığı veya güvenlik ihlali yaşadığı açıklandı. Bu da işletmelere ortalama 3.100 £ maliyete mal oldu. Bu nedenle, birçok şirketin şu anda bir Baş Bilgi Güvenliği Görevlisi (CISO) işe alarak güvenliklerini güçlendirmek istemeleri şaşırtıcı değil.
Bir CISO, kuruluşun güvenlik stratejisini belirlemekten sorumludur. Ayrıca siber tehditlerin dönhüşerek farklı şekillere bürünmesi konusunda da tetikte olmalıdır. Bilgi ve tavsiyelerini yöneticiler ve çalışanlarla paylaşmak, etkin bir güvenlik planı oluşturmak ve güvenlik politikalarını uygulamaktan sorumludurlar. Ayrıca, IBM ve Ponemon Institute LLC tarafından yayınlanan bir raporda, bir CISO atamanın bir veri ihlali için kişi başına düşen ortalama maliyeti 6,50 ABD doları azalttığı tespit edildi.
Photobox CIO’su Richard Orme, bir CISO kiralamanın çalışanların güvenlik konusundaki tutumlarını değiştirmeye yardımcı olduğuna inanıyor. “Aslında soru basit: Bize yardımcı olmak için hangi araçları satın alabiliriz? Organizasyon olarak nasıl değişiyoruz? Kültürümüzü nasıl değiştiriyoruz? İşte CISO’mız Dinis’in çok güçlü olduğu yer. Mühendislik ekipleriyle birlikte oturacak ve onları eğitecek ve onlar için zorluklar yaratacaktır. Onlarla kod işleyecektir. Bu yüzden, gerçekten dillerini konuşuyor ve buna büyük tepki veriyorlar. ”
Bununla birlikte, bir CISO işa almanın net faydaları olmasına rağmen, işinizin bir siber saldırı tarafından etkilenmeyeceğini garanti etmediğini unutmamak önemlidir.
Eğitim verin
CISO’su olmayan kuruluşlar için siber güvenlik gündemini belirleme sorumluluğu CIO’ya düşer. En kötüsünün gerçekleşmesi ve şirketinizin veri ihlali olması durumunda, bu etkiyle nasıl başa çıkacağınız, kuruluşunuzu içinde yıllar içinde tanımlanacaktır. Yani her personel üyesinin aynı sayfada olması hayati önem taşır.
Eğitim, şirketinizdeki herkesin güvenlik stratejinizi anlamasını ve uygulamasını sağlamak, insan kaynaklı bir siber saldırı olasılığını en aza indirgemenin en iyi yoludur. Eğitim ayrıca tarayıcı güvenliği ve ağ güvenliği gibi konuların vurgulanmasına yardımcı olabilir ve çalışanlara güvenlik riskleri hakkında genel bir anlayış sağlar.
Dudley Group NHS Foundation Trust CIO’su Richard Stanton şunları söyledi: “Siber güvenlik çevresinde, BT’ye iyi uygulamalar koyuyoruz ve bizi korumaya yardımcı olmak için teknolojiye yatırım yapıyoruz, ancak en zayıf bağlantı her zaman işgücüne gidiyor. Eğitim, çalışanların yıllık olarak yapmaları gereken bir BT güvenlik modülü var. Bu sistemde kendi virüslerimizi oluşturup test ettiğimiz birçok farklı senaryo oldu. Çalışanlarımıza sahte virüsler içeren e-postalar gönderiyor ve bunlara kimin tıkladığını görüyoruz.”
Şikayet etmemek önemlidir. Sadece çalışanlarınıza güvenlik eğitimi verdiğiniz için, işinizin bittiği anlamına gelmez. Siber tehditler geliştikçe, çalışanlar ne tür kötü niyetli içeriklerin aranacağına dair hazırlıklı ve farkında olmaları için güncel tutulmalıdır.
En iyi yetenekleri işe al
Teknoloji endüstrisindeki beceri açığı bilinen bir gerçek. Uzmanlar, sektörün küresel çapta 2030 yılına kadar 4,3 milyon çalışan açığıyla karşı karşıya kalacağını öngörüyor . Ne yazık ki, bu yetenek açığı siber güvenlik endüstrisinün önünde en önemli engellerden biri. Cybersecurity Ventures raporları ile 2021 yılına kadar 3,5 milyon işin boş kalacağını öngörüyor.
Sonuç olarak, siber güvenlik açığını mümkün olan en iyi yeteneğe bağlamak isteniyorsa, şirketlerin geleneksel işe alım yöntemlerinin ötesine bakmaya başlaması gerekir. Örneğin, geleneksel niteliklerin ötesine bakmak, yetenek havuzunu genişletmenin bir yoludur; çünkü birçok genç, geleneksel bir derecede okumak için çalışmayı tercih ediyor ve bunun yerine stajlar veya çıraklıklar yoluyla gerçek dünya deneyimi kazanıyor.
Parlak, yeni bir güvenlik ekibi istihdam etme bütçeniz yoksa, mevcut çalışanlarınıza siber güvenlik sertifikaları almak ve şirketinizin güvenlik savunmasının zayıflayabileceği alanlarda uzmanlaşma fırsatı sunmak iyi bir seçenek olabilir. Bu sadece işinize fayda sağlamakla kalmayacak, çalışanlarınızın moralini de artıracak ve profesyonel gelişimine yatırım yapmak isterlerse şirkette kalma olasılıkları artacaktır.
Kurum çapında bir güvenlik stratejisi uygulamak
Sadece BT departmanınızı en iyi güvenlik uygulamalarına sahip olmayı sağladığımızda bu kuruluşunuzun artık güvende olduğu anlamına gelmez. İK departmanınız bir parolanın tekrar kullanılmasının tehlikelerini biliyor mu? CMO’nuz hala kişisel telefonlarını ticari amaçlarla mı kullanıyor? Bu yeni Ops çalışanı kimlik avının ne olduğunu biliyor mu?
Bir güvenlik stratejisinin başarılı olması için, şirketinizin her üyesi tarafından, yani CEO ve yürütme ekibinden, sadece iki hafta boyunca şirkette olan henüz çok yeni çalışana kadar anlaşılmalı ve uygulanmalıdır.
Güvenlik tehditlerine karşı korunmanın en etkili yollarından biri, içinde güvenlik bilinci bulunan bir işyeri kültürü geliştirmektir. İşletmeler, çalışanların çevrimiçi olarak güvende olmalarına ve siber saldırıları çevreleyen uyarıcı uyarıları tanımalarına yardımcı olabilecek bir güvenlik kültürünü teşvik etmelidir.
TalkTalk COO’su Duncan Golding, 2015 siber saldırısı sonrasında 400,00 £ para cezasına çarptırıldıktan sonra en iyi güvenlik uygulamalarının önemini daha iyi anladı
“TalkTalk, siber saldırı sonrası iş dünyasında güvenliğin ne anlama geldiğinin kültürel bir kabulünden geçiyor” dedi. “[Strateji] her toplantıda tartışılıyor ve güvenliğin yaptığımız her şeye, süreçten ve piyasaya sürdüğümüz yeni ürünlerden günümüze kadar her şeye dahil edildiği tartışılıyor.”
Şeffaf ol
Herhangi bir güvenlik stratejisinin büyük bir kısmı güvendir. Hiçbir kuruluş veri ihlalinde bulunmak istemez, ancak en kötüsü olması halinde müşterilerinizle şeffaf olmak, çalışanlarınız ve paydaşlarınız itibarınızı yeniden kazanmada fayda sağlayacaktır.
CISO olarak ilk 100 gün
McAfee’nin APAC Teknoloji Baş Yöneticisi Ian Yip, CIO ASEAN’a şunları söyledi: “Tarihsel olarak bakarsanız, olayları ele almanın en iyi yolu ne kadar şeffaf olursanız, güven seviyesini o kadar fazla koruyabilirsiniz. Bir olay olduğu zaman, organizasyonunuza güveniniz azalır. Fakat şeffaf ve iletişime açık şirketler bu olayın finansal etkisini azaltabilir”
Ayrıca, tüm C-suite yöneticilerini, departman başkanlarını ve kilit paydaşları olası güvenlik riskleri ve genel güvenlik stratejisindeki değişikliklerin farkında olmasını sağlayarak organizasyonunuzdakilerle şeffaf kalmanızı sağlamalısınız.
Comments