En yaygın risk her zaman en etkili risk değildir (ve bunun tersi de geçerlidir). Bu nedenle güvenlik ekipleri, hangi risklerin ilk önce ele alınacağını en iyi şekilde belirlemek için bu alıştırmayı yapmalıdır. (Kredi: VideoFlow/Adobe Stock)

Kuruluşlar bunun %68’inin farkına vardıkça siber güvenlik Olaylar ve ihlaller, bazı teknolojik araçların yokluğundan ziyade güvenlik kararındaki eksikliklerin bir sonucu olduğundan, sağlıklı bir güvenlik kültürüne sahip olma kavramı, ana savunma hattı ve derinlemesine savunma yaklaşımının önemli bir parçası olarak kabul edilmektedir.

Bununla birlikte kuruluşlar kültür konusunda temel zorluklarla karşı karşıyadır. İlk olarak, güvenlik kültürünün ne anlama geldiği veya neyi gerektirdiğinin net bir tanımı tam olarak anlaşılamamıştır. İkincisi, kuruluşların güvenlik kültürünü şirket çapında nasıl etkileyebilecekleri veya ölçeklendirebilecekleri konusunda genellikle belirsiz bir fikirleri vardır.

Güvenlik kültürü, bir grubun güvenliğini etkileyen fikirlerinden, geleneklerinden ve sosyal davranışlarından oluşur. Yedi boyuttan oluşur:

  1. Tutumlar: Çalışanların siber güvenlik kural ve politikalarına yönelik tutumları.
  2. Davranışlar: Bir kuruluşta siber güvenliğe ilişkin ortak eylem ve davranışlar.
  3. Biliş: Çalışanların siber güvenlik sorunlarına ilişkin bilgisi ve farkındalığı.
  4. İletişim: Siber güvenlik iletişimlerinin kalitesi ve sıklığı.
  5. Uyumluluk: Belgelenmiş politika ve prosedürler bilgisi.
  6. Normlar: Bir kuruluşta söylenmemiş veya söylenmemiş ancak yaygın olan kurallar ve davranışlardır.
  7. Sorumluluk: Çalışanların siber güvenlik konusunda kendilerini ne kadar sorumlu hissettikleri.

Siber güvenlik kültürünü güçlendirmek, etkilemek

Aşağıda kuruluşların siber güvenlik kültürünü değiştirmek veya güncellemek için uygulayabileceği bazı pratik adımlar ve öneriler yer almaktadır:

Av tüfeği yaklaşımı yerine odaklanmış bir yöntem benimseyin: Kendinizi çok ince yaymaktan kaçının. Aynı anda çok fazla davranışı değiştirmeye çalışmak yerine, ki bu da değişikliklerin daha yavaş olmasına neden olabilir, daha odaklanmış bir duruş benimseyin. Değiştirmek istediğiniz bir veya iki çalışan davranışını belirleyin ve ilk önce bunlara odaklanın. Bu davranışların ne kadar riskli olduğuna göre öncelik verin.

Her davranışın riskini hesaplamak için şu formülü kullanın: Risk = risk olasılığı ile potansiyel etkinin çarpımı.

Ayrıca, en yaygın risk her zaman en etkili risk değildir (ve bunun tersi de geçerlidir). Bu nedenle güvenlik ekipleri, hangi risklerin ilk önce ele alınacağını en iyi şekilde belirlemek için bu alıştırmayı yapmalıdır.

Değişimi etkilemek için bir plan tasarlayın ve uygulayın: Güvenlik tutumlarını, normlarını ve davranışlarını değiştirmenin birçok yolu vardır. Bunlar, bir güvenlik sürecini veya politikayı güncellemek, zorunlu eğitim yürütmek gibi resmi yöntemleri veya belirli bir davranışı sergileyen ve savunan liderlik ekipleri gibi resmi olmayan (veya dolaylı) yöntemleri içerebilir.

Hem resmi hem de gayri resmi yöntemler eşit derecede önemlidir. Örneğin, resmi olmayan yollarla güvenlik davranışlarını artırmak için kuruluşta belirli düzeyde saygıya veya nüfuza sahip kişileri belirleyin. Çalışanlar kendilerini aktif olarak çevreleyen tutum ve davranışları benimseme eğilimindedir; bu nedenle, etkileyicilerin güvenlik bilinci göstermesinin kuruluş çapında kesinlikle yüksek bir etkisi olacaktır. Bu tür elçileri kültür değişimi programınıza dahil ettiğinizden emin olun.

Liderlikten destek alın: Liderler örnek teşkil etmiyorsa, çalışanlardan davranışlarını benimsemeleri veya değiştirmeleri beklenemez. Potansiyel riskleri, yürütme planını, zaman çizelgesini ve ihtiyaç duyulan kaynakları vurgulayan bir yönetici özeti taslağı hazırlayın. Liderlikten, organizasyonun geri kalanıyla aynı çizgide olanı benimseme ve takip etme taahhüdünü alın.

Küçük değişikliklerle başlamak faydalı olabilir. Örneğin, liderliğin gelen spam’i tutarlı bir şekilde (güvenlik ekiplerine) rapor etmesini sağlamak, daha geniş bir kitleye gözle görülür bir örnek oluşturacaktır.

Riskleri düzenli olarak iletin: Çalışanlara çevrimiçi davranışlarda değişiklik yapılmasının neden gerekli olduğunu açıklayın. Bu, çalışanlardan belirli görevleri tamamlamalarını istemenin ötesine geçer. Bu, kullanıcıların hangi risklerin mevcut olduğunu, bunların kuruluş üzerindeki etkilerini ve güvenlik olaylarının ve ihlallerinin meydana gelmesini önlemedeki kritik rol ve sorumluluklarını anlamalarını sağlamak anlamına gelir.

Örneğin, çalışanlara kimlik avı e-postalarını bildirmelerini söylemenin yanı sıra, bunun arkasındaki mantığı da açıklayın.

Sonuçları ölçün ve gerekirse eylemleri güncelleyin: Planınızı uygulamaya koymadan önce, kuruluş içinde mevcut olan yedi güvenlik boyutunun temel değerlendirmesini yapın. Bir güvenlik kültürü araştırması veya kültür olgunluk göstergeleri, nerede durduğunuzu ve nerede olduğunuzu ölçmede yararlı araçlar olabilir. boşluklar mevcut.

Planınız yürütüldükten sonra, iyileştirmeleri belgelemek ve gerektiğinde ayarlamalar yapmak için başka bir değerlendirme yapın. Sonuçların belgelenmesi yalnızca başarıyı (veya başarısızlığı) ölçmek için değil, aynı zamanda gelecekteki bağlılığı teşvik etmek ve çabalarının değerini göstererek çalışanları motive etmek için ilerlemenizi liderlere iletmek için de gereklidir.

ABC ilkesi

Farkındalık, Davranış ve Kültür herhangi bir organizasyondaki değişimi etkileyebilecek mantıksal bir ilerlemedir. Güvenlik farkındalığı otomatik olarak davranış değişikliğine yol açmasa da, onu etkilemek için güçlü bir araç olabilir.

Benzer şekilde, tek bir kişinin davranışını değiştirmek her zaman genel kültür değişikliğine yol açmayacaktır ancak grup davranışlarının ve dinamiklerinin değişmesinde önemli bir rol oynayacaktır.

Güvenlik kültürü, organizasyon içerisinde var olan kültürel boyutların dikkatli bir şekilde anlaşılması ve değerlendirilmesi sonrasında geliştirilmesi gereken çok boyutlu bir kavramdır. Küçük başlayın, liderliği devreye sokun, uygulamanın önemini anlatın, başarıları ve başarısızlıkları rapor edin ve daha fazlasını öğrendikçe ince ayar yapmaya devam edin. Her ne kadar değişmek inatçı olsa da kültür, doğru zihniyet ve kararlılıkla kesinlikle işlenebilir, büyütülebilir ve olgunlaştırılabilir.

Medikal, havacılık, üretim ve savunma alanlarında deneyime sahip 25 yıllık tecrübeli bilgi güvenliği profesyoneli, Erich Kron güvenlik farkındalığı savunucusudur KnowBe4. Siber güvenlik sektörü yayınlarının yazarı ve düzenli katkıcısı olan kendisi, ABD Ordusu’nun 2. Bölgesel Siber Merkezi, Batı Yarımküre’de güvenlik yöneticisi olarak görev yapmıştır ve CISSP, CISSP-ISSAP, SACP ve diğer birçok sertifikaya sahiptir.

Burada ifade edilen görüşler yazarın kendisine aittir.

Kaynak