Posted by: bluesyemre | September 21, 2021

Çalışanlarınız Siber Saldırılara Karşı En İyi Savunmanız

Siber suçlular, FBI’a göre Ekim 2013 ile Temmuz 2019 arasında, aldatıcı ve manipülatif sosyal mühendislik tekniklerini kullanarak çalışanları ve bireyleri kimlik bilgilerini ifşa etmeye ve sonunda yetkisiz transferler veya fonlar yapmaya yönlendiren “İş E-posta Uzlaşması” dolandırıcılığıyla 26 milyar dolar dolandırdı. 2017 yılında, bir siber suçlu bir üniversite personelinin kimliğine bürünerek tedarikçilerinden birinin banka hesap bilgilerini değiştirmeyi talep ettiğinde, Kanada’daki MacEwan University yaklaşık 11,8 milyon dolar dolandırıldı. 31 ülkeyi (dünya nüfusunun yüzde 60’ını ve küresel GSYİH’nın yüzde 85’ini) kapsayan bir başka raporda, çevrimiçi dolandırıcılıkların 2019’daki mali kaybının 36 milyar euro olduğu öne sürülüyor.

Güvenlik temelli suçlar, doğrudan mali kayıplara ek olarak bir şirketin üretkenliğini ve kamu itibarını bozar. Örneğin, 2020’de tanınırlığı yüksek 130 Twitter hesabının saldırıya uğraması şirket tarihine utanç verici kara bir leke olarak kazındı. 17 yaşındaki birinden gelen düşük teknoloji saldırısı şirket güvenliği için şaşırtıcı bir zayıflıktı. Güvenlik açığı, şirketi gülünç duruma düşürdü ve hisse senedi fiyatının (geçici olarak da olsa) 1,3 milyar dolar düşmesine neden oldu. Durum çok daha kötü de olabilirdi: Güvenlik ihlalleri ayrıca yöneticiler ve üst düzey yöneticiler için yasal ve sorumlulukla ilgili sonuçlar doğurabilir.

Bireysel davranış hataları, tüm bu hacklerde önemli bir rol oynuyor. Saldırganlar, insanların belirli isteklere güvenme, dikkatsizce bağlantılara tıklama veya virüs yüklü ekleri açma konusundaki iyi niyetlerinden faydalanır. İhlallerin yüzde 99’unda insan faktörünün nihai saldırı hedefi olduğu varsayılır. Araştırmacılar, beş yıllık bir çalışmada yalnızca insan psikolojisini kullanarak bin bankanın güvenlik sistemlerinin yüzde 96’sına başarıyla sızdı.

Peki, iş liderleri bu insan temelli sorumluluğu nasıl azaltır? Liderler, bir kuruluşun bilgilerinin ve bunu yapmak için doğru araçlarla ilgili yatırım kararlarının güvence altına alınması söz konusu olduğunda doğal olarak güvenlik departmanlarına güvenirler. Fakat bu yetersiz bir yaklaşımdır. Gerçekten güvenlik bilincine sahip bir şirket kültürü için, topluluğun tüm üyeleri, çoğu şirketin zorunlu kıldığı bir ila iki günlük güvenlik eğitimini almanın ötesinde, bu eğitime içtenlikle ve yürekten bağlı olmalı. Liderler, ekip üyelerini belirli zihniyet ve davranışları benimsemeleri için etkileyebildiklerinde bu tür güvenlik bilincine sahip bir kültür oluşturmak kolaylaşır.

Cialdini’nin etki ilkeleri üzerine araştırması, kullanıldığında insanları isteklere uymaya veya istenen yönde hareket etmeye teşvik eden altı ilke olduğunu gösterdi.

  1. İnsanlar geçmişte gösterdikleri davranışlarla uyumlu davranır. Resmi ve gayri resmi taahhütler gelecekte benzer davranışlara yol açar.
  2. İnsanlar, sosyal çoğunluğun görüş ve davranışlarından etkilenir. Nasıl düşünecekleri veya hareket edecekleri konusunda kararsız kaldıklarında, ipuçları için dış dünyaya bakarlar.
  3. Karşılıklı ödün ilkesi (karşılık gerekmeksizin birine bir şey vermek), iyiliğe karşılık vermenin en iyi yollarından biridir.
  4. İnsanlar görünürde nadir veya sınırlı olan şeyleri ister ve bunları elde etmek için ekstra çaba harcar.
  5. İnsanlar kendilerine benzeyen ya da sempatik buldukları kişilerden etkilenir. Yani, çekici buldukları “tüylere” olduğu kadar benzer tüylere sahip kuşlara da akın ederler.
  6. Bu talepler otorite sahibi birinden (hatta sadece rozet, beyaz ceket, iş kıyafetleri gibi yetki işaretleri sahip birinden) geliyorsa insanların isteklere uyma olasılığı daha yüksektir.

Cialdini ilkelerine dayanarak, insan güvenlik duvarını suçluların aldatıcı tekniklerine karşı güçlendirmek ve güvenlik bilincine sahip bir organizasyon kültürü geliştirmek için aşağıdaki altı stratejiyi öneriyoruz.

1. Çalışanlardan bir güvenlik politikası imzalamalarını isteyin.

Bir etik kuralı imzalayarak bağlılık göstermek, insanları daha takip edilebilir kılar ve davranış kurallarına olan bilişsel ve davranışsal bağlılığı arttırır. Bu politikalar bir çalışanın tüm hassas kurumsal bilgileri (örneğin müşteri ve sözleşme verileri) gizli tutacağını, çevrim içi ve çevrim dışı faaliyetler sırasında kuruluşun çıkarlarına en uygun şekilde hareket edeceğini ve şüpheli olayları derhal ilgili şirket içi noktalara bildireceğini beliren yazılı taahhüttlerdir. Çalışanlar ayrıca hassas kurumsal bilgileri herhangi bir dış taraflarla paylaşmayacaklarını kabul eder.

Politika kapsamında hangi tür bilgilerin hassas, hangilerinin hassas olmadığını açıkça belirtmekte fayda var. (Örneğin, bir çalışandan sosyal medyada şirketin kafeterya yemeklerinden şikayet etmemesini isteyemezsiniz ancak müşteri listelerini ifşa etmemesini isteyebilirsiniz).

Örneğin, CISCO, çalışanlarından şirketin fikri mülkiyetini ve ayrıca gizli bilgi varlıklarını nasıl koruyacaklarını hatırlatan bir iş ahlakı tüzüğünü her yıl imzalamalarını ister. Şirket, çalışanlarının gizli veya özel bilgileri, yasal bir ticari ihtiyacı olmayan kişilerle paylaşmamalarını ve bu tür gerekliliklere ilişkin gözlemlenen ihlalleri bildirmeyi taahhüt etmelerini talep eder. Kurumsal suçlama kültürü, çalışanları şüpheli faaliyetleri bildirmekten caydırabilir, fakat gerekçeyi anlamalarını sağlamak ve şüpheli faaliyetleri bildirme sorumluluklarını işaret eden bir politika imzalamalarını istemek bu sorunun üstesinden gelebilir.

Böyle bir taahhüdün gönüllü olarak imazalanması önemlidir. Zorunlu imzalanırsa sonraki içsel bağlılık dürtüsü daha zayıf olacaktır. Ancak imzalama eylemi, kişisel (iç) ve kişiler arası (dış) tutarlılık baskılarını besler ve bu da onların şirketin standartlarına uymalarını daha olası kılar. Ayrıca çalışanların taahhüdü iş arkadaşlarının huzurunda imzalayabilmeleri en iyisidir. Bir taahhüt halka açık olduğunda, çalışanlar saygın meslektaşlarının önünde itibar kaybetmemek için taahhüde uygun davranmak zorunda hissederler.

2. Örnek olarak yol gösterin.

Belirsizlik durumlarında, insanlar nasıl düşünecekleri ve davranacakları konusunda ipuçları için etraflarına bakar. Bir yandan, bu davranış riayet olarak adlandırılabilir; ancak diğer bir yandan, insanların ortak bir doğru veya normatif davranış anlayışını kavramalarına yardımcı olmanın bir yolu olarak görülebilir. İpuçları için başkalarını örnek almak, özellikle de diğerleri saygın bir sosyal konuma sahipken, belirsizliği azaltmaya yardımcı olur.

Bu nedenle üst düzey liderler, yol göstermeli ve en iyi uygulama davranışlarını teşvik etmeli.

Örneğin liderler, kişisel bilgisayarı açık bırakmamak, meşruiyetlerini doğrulamadan şirket kapılarını insanlara açık tutmamak ve ister fiziksel ister dijital olsun, şirket belgelerini kamuya açık alanlarda ifşa etmemek gibi güvenlik davranışlarının önemini vurgulamalılar. Ayrıca, liderlerin kendilerinin dikkatsiz oldukları veya dikkatsiz davranışların rapor edildiği güvenlik ihlali vakalarına ilişkin zıt örnekler vermelerini öneririz. Bunu yapmak, çalışanlar arasında “bu benim başıma gelmez” duygusunun azalmasına yardımcı olur

3. Karşılıklı ödün ilkesini ortaya çıkarın.

Birisi bize bir şey verdiğinde bu iyiliğe karşılık vermek zorunda olduğumuzu belirten yaygın bir sosyal norm var. Bu dürtü, orijinal hediye talep edilmemiş olsa veya karşılığında talep edilen, başlangıçta verilenden çok daha değerli olsa bile, doğru olma eğilimi gösterir. Karşılıklılık normu önemlidir, çünkü genellikle yapılan iyiliğe bilinçsizce karşılık verilir.

Kıdemli liderler, bu güçlü etkileme tekniğinin farkında olmalı ve bunu organizasyonda güvenlik bilincine sahip bir kültürü güçlendirmek için kullanmalı. Çalışanlara güvenli ve şifreli flash sürücüler veya güvenlik hatırlatıcılarını görüntüleyen özelleştirilebilir dijital fotoğraf çerçevesi sağlamak gibi kendi verilerini veya kimliklerini güvence altına alabilmeleri için hamleler yapmak, karşılıklı ödün ilkesini ortaya çıkarmak için anlamlı ilk adımlar olabilir.

4. Kıtlıktan yararlanın.

İnsanlar, nadir, kıt veya elde edilmesi zor olan nesneleri ve fırsatları daha çekici bulur. Kıdemli liderler, bir güvenlik ihlali tarafından tehlikeye atılabilecek onaylanmış bilgi güvenliği süreçleri (örneğin, ISO 27001) gibi kuruluşun nadir ve örnek teşkil eden güvenlik akreditasyonlarını teşvik ederken bu psikolojik eğilimden yararlanabilir.

Üst düzey liderler, bunu yaparak ve iş gücüne, güvenlik kültürü nedeniyle kurumun çalışmak için harika bir yer olarak çekiciliğini ve güvenliğinden taviz verilmesi durumunda tehlikede olduğunu (yani, potansiyel olarak kaybedebilecekleri) net bir şekilde ileterek çalışanların güvenlik kültürüne olan bağlılığını güçlendirecektir. Ayrıca, kıdemli liderler, zararsız bilgileri hassas bilgilerden ayıran bir sınıflandırma sisteminin kurulmasını teşvik etmelidir. Çalışanlar, kritikliği ne olursa olsun tüm bilgileri korumak gibi yanıltıcı bir görev yerine, şirketin kutsal mücevherlerini yetkin bir şekilde koruma konusunda dikkatli olmalarını sağlayan nadir ve korunması gereken bilgiler için bir anlayış kazanacaktır.

5. Liderlik ettiğiniz kişiler gibi olun.

Güvenlik uzmanları, kişiler arası durumlarda uyumu sağlamak için empatik bir zihniyetin önemini vurgular. İnsanlar en çok kendilerini özdeşleştirdikleri ve sevdikleri kişilerden etkilenir ve liderler alçakgönüllülük ve empatiyle hareket ettiklerinde iş gücüyle güven inşa edebilirler. Kırılganlıklarını gösteren liderlerin, karşılığında empati ve sempati alması muhtemel. Bu karşılıklı alışveriş, ideal güvenlik davranışı açısından üst düzey liderlerin direktiflerine uyumu dolaylı olarak teşvik edebilir. Kendi mücadelelerini paylaşmak veya bir güvenlik kültürüyle ilgili kendi hatalarını ve bu hatalardan çıkardıkları dersleri anlatmak, liderleri daha ulaşılabilir ve tanımlanabilir kılarak diğerlerinin onları takip etme şansını artırabilir.

6. Otoritenin değerinden yararlanın.

Organizasyonlar genellikle çalışanlarını yıllık dijital güvenlik eğitimi almaya zorlar. Çalışanların eğitimi tamamlamaları, ancak içerikleri günlük davranışlarına bağlamamaları konusunda gerçek bir risk vardır. Çalışanların nihai kurumsal otorite olarak gördükleri üst düzey liderler, iş güçlerine kurumsal bilgi güvenliğine uymaları konusunda kişisel olarak talimat verdiğinde, istenen sonucu alma olasılıkları daha yüksek olacaktır. Fakat bir püf noktası vardır: Liderler, patron olmanın yanı sıra güvenilir bir kaynak olarak da görülmeli. Bu, yalnızca iş gücüne ne yapacağını emrederek “yetkili olmak” ile konuya hakim bir “otorite” olarak algılanmak arasındaki farktır. Her ikisine de sahip olmak en etkili kombinasyondur.

Kıdemli liderlerin, talimatlarını ve yetkilerini etkin bir şekilde uygulamaları için bilgi güvenliği konularında uzmanlıklarını ve eğitimli fikirlerini kanıtlamaları gerekir. Bunu, bilgi güvenliği ekipleriyle güçlü bir ilişki kurarak ve kendilerini ve iş gücünü en son güvenlik gelişmeleri hakkında düzenli olarak bilgilendirerek başarabilirler. SANS‘tan gelenler gibi haber bültenlerine abone olmak iyi bir başlangıç ​​noktasıdır. Bu öneri, hemen yukarıdakiyle çelişiyor gibi görünebilir (Yöneticileriniz gibi olun). Ancak liderler, alçakgönüllü ve empatik davranırken aynı zamanda yetkilerini de kullanabilir.

Dolandırıcılar ve toplum mühendisleri, çalışanları kandırmak için düzenli olarak etkileme taktikleri kullanır ve kuruluşunuzun değerini ve itibarını tehdit eder. Yukarıdaki altı tavsiye, liderlerin insan psikolojisine dayalı kanıtlanmış ilkelerle bu bilgi güvenliği risklerine karşı koyması için kolay ve uygun maliyetli bir yoldur.

https://hbrturkiye.com/blog/calisanlariniz-siber-saldirilara-karsi-en-iyi-savunmaniz


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Categories

%d bloggers like this: