Siber suçlular yalnızca çalışanlarınızı hedef almıyor; şimdi onlar da C-suite’in peşindeler. Rapor edilen veri ihlallerinin sayısı bu yıl katlanarak artmaya devam etti, 2020’den itibaren %17 artış. Daha da endişe verici olan, bu saldırıların artan bir kısmının üst düzey hesaplara yönelik olmasıdır. En bilgili kurbanları bile kandırmak için ustaca hazırlanmış kurumsal e-posta güvenliği dolandırıcılığı artıyor ve FBI’ın İnternet Suç Raporuna göre 2020’de 1,8 milyar dolar kayıpla sonuçlandı ve o zamandan beri benzeri görülmemiş seviyelere ulaştı. Hesap devralma girişimleri şaşırtıcı bir şekilde %671 arttı Bir bulut e-posta güvenlik sağlayıcısı tarafından yapılan bir araştırmaya göre, 2021’in üçüncü çeyreğinde.
İş e-posta güvenliğini aşma saldırıları, genellikle bu hesaplarla ilişkilendirilen ek ayrıcalıklar nedeniyle C-suite’e ulaştıklarında özellikle zarar verici olabilir. Bu yöneticilere genellikle bir şirketin en hassas bilgilerine güvenilir ve iletişimlerine güvenilir. Örneğin, bir siber suçlunun CEO’nun e-posta hesabına erişmesinin ve doğrudan CFO’ya sahte bir fatura göndermesinin ve bunun karşılığında bağlantılı bir banka hesabına para göndermesinin sonuçlarını düşünün.
Bu, hem hassas hesapların güvenliğini sağlamakla hem de yöneticileri bu saldırılar konusunda eğitmekle görevlendirilen güvenlik uzmanları için benzersiz bir zorluk teşkil ediyor. Geleneksel olarak, güvenlik bilinci eğitimi, ağırlıklı olarak, bir kurumun güvenlik ağına açılan ana geçitlerden biri olmaya devam eden şirket çalışanlarına odaklanmıştır. Bununla birlikte, iş e-postalarından ödün verme ve sosyal mühendislik saldırılarındaki artış, CEO’nun bile eğitime ihtiyacı olduğu gerçeğini pekiştiriyor.
Yönetici düzeyinde etkili bir güvenlik bilinci planı oluşturmak, engellerin üstesinden gelmek için farklı taktikler gerektirir. İşte başlamanız için dört ipucu.
Örnek Olarak Güvenli
Güvenlik kültürü yukarıdan aşağıya inşa edildiğinden, yöneticilere şirketin geri kalanı için örnek olduklarını hatırlatın. Bu nedenle, tüm organizasyon için olumlu siber hijyen alışkanlıklarının modellenmesinde önemli bir role sahiptirler. Onlar en önde gelen çalışanlardır ve kurallara uymuyorlarsa başkalarından beklemek daha zordur. C-suite’te siber güvenlik eğitimi zor olabilir, çünkü özellikle kişisel cihazları iş amacıyla kullanmak gibi şeyler söz konusu olduğunda, istisnalar yapabileceklerini düşünmeye daha yatkındırlar. Şirketi güvende tutmak istiyorlarsa örnek olarak liderlik etmeleri gerektiğine dair daha fazla hatırlatmaya ihtiyaçları var.
Gerçek Dünya Senaryolarını Kullanın
Yöneticileri karşılaşabilecekleri çok özel tehditler konusunda eğitin. Sosyal mühendislik girişimleri daha ayrıntılı hale geliyor. C-suite’i, onları bir dizi gerçek hayat senaryosu üzerinde çalışmaya zorlayan etkileşimli eğitim alıştırmalarıyla hazırlayın. Özellikle, bir kimlik avı e-postasını gösterebilecek yanlış yazımları, sözdizimi sorunlarını ve yanlış yerleştirilmiş karakterleri belirleme gibi şeyler üzerinde çalışmalılar. Ayrıca, CEO’dan bile gelen acil taleplerin doğrulanması ve şüpheli görünen her şeyin güvenlik ekibi için işaretlenmesi gerektiği de güçlendirilmelidir.
Kişisel Cihazları Unutmayın
Uzaktan çalışmanın artmasıyla birlikte, çalışanlar ofise her girdiklerinde ve dizüstü bilgisayarlarını şirket ağına yeniden bağladıklarında ve buna CEO da dahil olmak üzere potansiyel bir risk oluşturuyor. Uzaktan çalışırken VPN kullanımı her çalışan için teşvik edilmelidir. Ancak siber suçlular, kişisel e-posta hesapları ve hatta sosyal medya aracılığıyla üst düzey yöneticileri kolayca hedef alabilir. Tüm çalışanlar, yalnızca şirket tarafından verilen cihazlardan iş hesaplarına giriş yapmaya teşvik edilmeli ve kişisel cihazlarını özel hesaplar için tutmalıdır. C-suite yöneticileri de, ihlali önlemek için her hesaba özel karmaşık şifreler seçme konusunda ekibin geri kalanıyla aynı eğitimi almalıdır.
Riskin Dilini Konuşun
C-suite’in dilini konuşarak katılım hakkı kazanın. CISO’lar, maddi olmayan bir yatırım gibi göründüğü için siber güvenlik girişimleri konusunda diğer yöneticilerden destek almayı genellikle zor buluyor. Şirket yöneticilerinin siber güvenlik ve güvenlik bilinci eğitimlerine dikkat etmelerini sağlamanın anahtarı, yatırım getirisini kanıtlamaktan geçiyor. Kimse saldırıya uğrayıp uğramayacağını bilmediğinde bu zordur, ancak her iş lideri, işlerinin bir noktada hedef olacağını varsaymalıdır. Sadece bir saldırı on milyonlarca dolara mal olabilir ve önleme çok daha ucuzdur. Güvenlik ihlalleri, herhangi bir işletme için doğrudan bir finansal riski temsil eder. İnsan riskinin maliyetini ölçmek ve yöneticilerin eğitime harcarlarsa muhtemelen görecekleri yatırım getirisini göstermek, onları gemiye alma ve kurallara uyma olasılıklarını artıracaktır.
Pek çok kişinin uzaktan çalıştığı günümüzün giderek artan dijital dünyasında, C-suite’i risksiz tutmak, tüm şirketi güvende tutmak için çok önemlidir. Yöneticileri artan tehditler konusunda eğitmek için bir planla başlayın ve şirketin finansal refahının pozitif siber hijyene bağlı olduğunu vurgulayın.