Tüm çalışanların kuruluşlarını güvende tutma sorumluluğu olsa da, bu önceliğin verimlilik pahasına gelmesi için hiçbir neden yoktur. Siber güvenlik bilinci ülke çapındaki şirketlerde daha yaygın hale geldikçe, bu benim adlandırdığım bir olguya yol açtı. tıklama felç – çalışanlar, kötü amaçlı yazılımlara tıklamaktan ve ağlarına bulaşmaktan, meşru ve güvenli içeriğe tıklamayı reddedecek kadar korktuklarında.
Siber güvenlik eğitiminin amacı, son kullanıcıları her şeyden korkutmak değildir; tehditleri ortaya çıktıklarında nasıl tanıyacaklarını ve onlardan nasıl kaçınacaklarını bilmelerini sağlamaktır. Çalışanlar bu hedefi gereksiz uç noktalara taşıdıklarında, sürekli uyum için caydırıcı unsurlar yaratarak siber güvenlik platformlarını baltalıyorlar. İnsanların herhangi bir işi yapmasını engelleyen siber güvenlik kurallarına kim uymak ister? Dijital içerikten ayrım gözetmeksizin kaçınarak kendilerini korumaya çalışan çalışanlar da ihtiyaç duydukları siber güvenlik becerilerini geliştirmekte başarısız oluyorlar – kapsamlı bir tıklamasız politika benimserlerse en iyi kararlarını kullanmıyorlar veya öğrendiklerini uygulamaya koymuyorlar.
Siber güvenlik, şirketlerin milyonlarca dolara mal olabilecek, müşterilerin güvenini kaybedebilecek ve operasyonları kesintiye uğratabilecek ihlallerden ve kapanmalardan kaçınmasına yardımcı olduğu için, aslında üretkenlik için bir nimettir. Ancak şirketin güvenliğini sağlamak için çalışanların korkuyla felce uğramasına gerek yok. Sadece tehditlerin nasıl göründüğünü ve onları nasıl durduracaklarını anlamaları gerekiyor.
Tıklama Felcini Önlemek İçin Kültürü Kullanma
Şirketinizde korku ve felç oluşmasını önlemenin bir yolu, bir açıklık kültürünü teşvik etmektir. Kuruluşların karşılaştığı önemli bir siber güvenlik sorunu, çalışanların potansiyel ihlalleri ve diğer olayları yöneticilerine bildirme konusunda hissettikleri endişedir. Bir PwC’ye göre anket, çalışanların sadece %26’sı bir olayı misilleme korkusu olmadan bildirebileceklerini söylüyor. Bu statüko, yöneticileri ve BT uzmanlarını kendi şirketlerinde neler olduğu konusunda karanlıkta tuttuğundan, siber güvenlik etrafında sağlıklı bir kültürün gelişimi için son derece aşındırıcıdır.
Hataları konusunda dürüstlerse misilleme yapmaktan korkan çalışanların, neye tıkladıkları konusunda da aşırı derecede endişe duymalarına şaşmamalı mı? Şirketler, bir yöneticiye olası bir siber saldırı hakkında bilgi verirlerse, raporu gönderen çalışanın sorumluluğu olsa bile, hiç kimsenin cezalandırılmayacağını açıkça belirterek bu sorunların her ikisini de aynı anda ele almalıdır. Aslında, çalışanlar hatalarını kabul ettikleri ve yol açabileceği zararı en aza indirecek adımlar attıkları için ödüllendirilmelidir.
Siber güvenlik bilinci tamamen kültürle ilgilidir. Şirketler, sorumlu davranışı güçlendirerek ve bir şeffaflık normunu koruyarak üretkenliği artıracak ve aynı zamanda kendilerini siber tehditlerden koruyacaklardır.
Önlemenin Anahtarı Çalışanlar
Siber suçluların taktikleri asla gelişmeyi bırakmaz. Siber güvenliğe yapılan yatırımlara rağmen yükselişte ve büyük saldırılar (Sömürge Boru Hattı’ndan SolarWinds’e ve Equifax’a) yıllardır manşetlerde bulunuyor, maliyet ve Sıklık siber saldırıların sayısı artmaya devam ediyor. Ancak siber suçlular ne kadar sofistike olurlarsa olsunlar, iyi eğitimli bir iş gücü, şirketlerin saldırılarını savuşturmak için sahip olduğu en iyi kaynaktır.
Bu gerçeğin basit bir nedeni var: Siber suçlular, diğer tüm değişkenlerden çok, insanların aldatılmasına ve manipülasyonuna hala daha fazla güveniyor. Verizon’a göre “2021 Veri İhlali Araştırmaları Raporu“Sosyal mühendislik, ihlallerle ilgili en önemli taktik olmaya devam ediyor. Bu, ihlallerin büyük çoğunluğunun önlenebilir olduğu anlamına geliyor – her durumda, çalışanların tehdidi tanımlama yeteneğine sahip olması gerekiyor.
Çalışanlar kaygının kararlarını dikte etmesine ve işlerin yapılmasını engellemesine izin verirse, başarılı bir saldırı olmasa bile siber suçluların şirkete zarar vermesine izin veriyorlar. Bu nedenle şirketler, olayları raporlamak için açık kanallar oluşturarak ve siber güvenlik bilincine sahip bir kültür geliştirerek çalışanları siber güvenliği kendi ellerine almaları için güçlendirmeye odaklanmalıdır.
Tehditleri Fark Etmek için Çalışanları Eğitmek
Şirketlerin, çalışanların siber güvenlik ve üretkenlik arasında bir denge bulmasına yardımcı olmasının birçok yolu vardır. Siber suçluların hangi stratejileri kullandığını (ve ihlallerin gerçek sonuçlarını) göstermek için siber güvenlik eğitim programınızda gerçek dünyadaki saldırılara atıfta bulunmak önemli olsa da, bu dersler her zaman yapıcı olmalıdır. Verebilecekleri muazzam hasara rağmen, siber suçlular doğanın bir tür durdurulamaz gücü olarak sunulmamalıdır – yapmak isteyeceğiniz en son şey çalışanları çabalarının bir fark yaratmayacağına ikna etmektir.
Bu nedenle siber saldırılarla ilgili her korkutucu hikayeye somut bir harekete geçirici mesaj eşlik etmelidir. Bir şirketin ağı bir kimlik avı planı tarafından ihlal edildiyse, ders hangi saldırı vektörünün istismar edildiğini ele almalı ve bunun nasıl önlenebileceğini göstermelidir. Örneğin, kötü amaçlı yazılım genellikle, çalışanların sahte olup olmadığını belirlemek için inceleyebilecekleri bozuk bir bağlantıya gömülür. İmleci bağlantının üzerine getirdiklerinde, URL hedefi erişmeye çalıştıkları meşru siteyle eşleşiyor mu? E-posta nereden geldi? Gönderici ile şahsen veya güvenli iletişim yoluyla teyit etmek mümkün müdür?
Teoride, her sosyal mühendislik saldırısı önlenebilir, çünkü insan davranışı sürecin bir aşamasında ayrılmaz bir bütündür. Bu gerçeği, siber saldırıların büyük bir kısmından çalışanların sorumlu olduğuna dair cesaret kırıcı bir hatırlatma olarak çerçevelemek yerine, şirketler bunu riski düşük maliyetli ve uzun vadeli bir şekilde büyük ölçüde azaltmak için bir fırsat olarak sunmalıdır. Bu, çalışanların öğrendiklerine daha fazla güvenmelerini sağlayacak, aynı zamanda siber saldırı ve tıklama felci riskini azaltacaktır.