Yöneticiler hassas bilgilere erişimleri ve büyük para transferlerini onaylama yetkileri nedeniyle tehdit aktörleri için değerli bir hedef konumundalar. Buna karşın raporlar üst düzey yöneticilerin söyledikleri ile yaptıkları arasında önemli bir siber güvenlik "davranış boşluğu" olduğunu ortaya koyuyor.

Siber güvenlik şirketi ESET yöneticilerden kaynaklanan siber tehditleri ve bu tehditleri önlemenin yollarını inceledi. 

BT yazılım ve araştırma şirketi İvanti’nin yayımladığı rapor üst düzey yöneticilerin söyledikleri ile yaptıkları arasında önemli bir siber güvenlik "davranış boşluğu" olduğunu ortaya koyuyor. Rapor, Avrupa, ABD, Çin, Japonya ve Avustralya'da 6.500'den fazla üst düzey yönetici, siber güvenlik uzmanı ve ofis çalışanıyla yapılan görüşmelerden elde edilen küresel bir nitelik taşıyor. Veriler iş dünyası liderlerinin söyledikleri ile gerçekte yaptıkları arasında büyük bir kopukluk olduğunu ortaya koyuyor.

Örneğin yöneticilerin neredeyse tamamı (%96) "kurumlarının siber güvenlik görevini en azından orta düzeyde desteklediklerini veya bu konuya yatırım yaptıklarını" iddia ediyor, yüzde 78'i kurumun zorunlu güvenlik eğitimi verdiğini,  yüzde 88'i "kötü amaçlı yazılım ve kimlik avı gibi tehditleri tanımaya ve bildirmeye hazır olduklarını" söylüyor. Buna karşın hatırlaması kolay parolalar kullanan yöneticilerin oranı yüzde 77, kimlik avı bağlantılarına tıklayanların oranı yüzde 35 ve  iş uygulamaları için varsayılan parolaları kullanma oranı ise yöneticilerde yüzde 24 olarak ortaya çıkıyor. 

Kuruluşlar, yöneticilerinin yarattığı siber riskleri nasıl azaltabilir?

Geçtiğimiz yıl boyunca yönetici faaliyetlerine ilişkin bir iç denetim gerçekleştirin. Bu, internet faaliyetlerini, engellenen kimlik avı tıklamaları gibi potansiyel riskli davranışları ve güvenlik veya BT yöneticileriyle etkileşimleri içerebilir. Aşırı risk alma veya iletişimsizlik gibi kayda değer kalıplar var mı? Çıkarılan dersler nelerdir? Bu alıştırmanın en önemli amacı, yönetici davranış boşluğunun ne kadar geniş olduğunu ve kuruluşunuzda nasıl ortaya çıktığını anlamaktır. Üçüncü bir tarafın bakış açısını elde etmek için bir dış denetim bile gerekebilir. 

Önce düşük seviyedeki asılı meyveyi ele alın. Bu, düzeltilmesi en kolay olan en yaygın kötü güvenlik uygulaması türleri anlamına gelir. Erişim politikalarını herkes için iki faktörlü kimlik doğrulamayı (2FA) zorunlu kılacak şekilde güncellemek veya belirli materyalleri belirli yöneticiler için sınırların dışına çıkaran bir veri sınıflandırma ve koruma politikası oluşturmak anlamına gelebilir.

Politikayı güncellemek kadar önemli olan bir diğer husus da, yöneticilerin karşı karşıya gelmesini önlemek için politikanın düzenli olarak iletilmesi ve neden yazıldığının açıklanmasıdır. Süreç boyunca odak noktası, otomatik veri keşfi, sınıflandırma ve koruma gibi mümkün olduğunca müdahaleci olmayan kontrolleri uygulamaya koymak olmalıdır. 

Yöneticilerin güvenlik hataları ile iş riski arasındaki noktaları birleştirmelerine yardımcı olun. Bunu yapmanın olası bir yolu, yöneticilerin kötü siber hijyenin etkisini anlamalarına yardımcı olmak için oyunlaştırma tekniklerini ve gerçek dünya senaryolarını kullanan eğitim oturumları düzenlemektir. Örneğin, bir kimlik avı bağlantısının büyük bir rakibin ihlaline nasıl yol açtığı açıklanabilir. Ya da bir iş e-postası ele geçirme saldırısının bir yöneticiyi dolandırıcılara milyonlarca dolar havale etmesi için nasıl kandırdığı. Bu tür egzersizler sadece ne olduğuna ve operasyonel açıdan ne gibi dersler çıkarılabileceğine değil aynı zamanda insani, finansal ve itibar üzerindeki etkilerine de odaklanmalıdır. Yöneticiler, bazı ciddi güvenlik olaylarının meslektaşlarının görevlerinden ayrılmak zorunda kalmalarına nasıl yol açtığını duymakla özellikle ilgileneceklerdir.

Üst düzey liderlerle karşılıklı güven oluşturmak için çalışın. Bu, bazı BT ve güvenlik liderlerini konfor alanlarından çıkaracaktır. Odak noktası, bireyleri ayırmak yerine hatalardan ders çıkarmak olmalıdır. Çalışanlar eylemlerinin sonuçlarını anlamalı ancak bunu her zaman sürekli gelişim ve öğrenme çerçevesinde yapmalıdırlar. 

Üst düzey liderler için bir "beyaz eldiven" siber güvenlik programı düşünün. Yöneticilerin güvenlikle etkileşimlerinin garip olduğunu söyleme olasılığı normal çalışanlara göre daha yüksektir. Siber hijyenleri daha kötüdür ve tehdit aktörleri için daha büyük bir hedeftirler. Tüm bunlar, üst düzey liderlerden oluşan bu nispeten küçük zümreye özel ilgi göstermek için iyi nedenlerdir.

Yöneticilerle etkileşimler için özel bir irtibat noktası ve özel olarak tasarlanmış eğitim ve işe alma veya çıkarma süreçleri düşünün. Amaç güven ve en iyi uygulamaları oluşturmak ve güvenlik olaylarını bildirmenin önündeki engelleri azaltmaktır.