Birinci sınıf bir siber güvenlik savunmasına sahip olabilirsiniz, ancak çalışanlar sorumluluklarını ciddiye almıyorsa, kuruluşunuz yine de risk altında olacaktır. Bu yüzden güçlü bir siber güvenlik kültürü şart.
Doğru araçlara ve iyi güvenlik uzmanlarına sahip olmak, güvenli bir organizasyon oluşturmak için uzun bir yol kat etmek gerekir, ancak bu gerçekten savaşın sadece yarısıdır. Çalışanlarınız siber güvenliği ciddiye almıyorsa, hala büyük bir sorununuz var demektir. İlgisizlikten rahatlığa ve yankı korkusuna kadar, çalışanların kurallara uymamasının birçok nedeni vardır.
Şirketler, siber güvenlikle ilgili kültürün uyumlu ve etkili olması gerektiğini giderek daha iyi anlıyor. Bazı araştırma şirketlerinin hazırlamış olduğu raporlar, güvenlik ve BT liderlerinin %96’sının güçlü bir siber güvenlik kültürü geliştirmenin son derece önemli olduğunu söylediğini ortaya koydu. Bu liderlerin yaklaşık dörtte üçü, kuruluşların güvenliğini sağlamada çalışanların teknoloji kadar veya ondan daha önemli olduğunu söylüyor.
Yine de çok az kişi bunu doğru anlıyor. Örneğin bir KnowBe4 raporu, zayıf bir siber güvenlik kültüründe çalışan çalışanların, iyi bir güvenlik kültüründe çalışanlardan 52 kat daha fazla kimlik bilgilerini paylaşacağını buldu. KnowBe4’te bir güvenlik kültürü araştırmacısı olan Kai Roer, şirketin hiçbir endüstri sektörünün iyi bir güvenlik kültürü olarak tanımladığı şeye ulaşmadığını tespit ettiğini söyledi.
Peki bu sorun nasıl aşılabilir?
Şirketinizin kültürel alışkanlıklarını ölçün: Çalışanların siber güvenlik adımlarını nasıl sınıflandırdıklarını, şirkette siber güvenliği nasıl algıladıklarını, kurumsal siber güvenlikteki rollerini nasıl gördüklerini, politikalara ve güvenlik uygulamalarına ne kadar iyi uyduklarını ve daha fazlasını öğrenmeye ve değişmeye ne kadar istekli olduklarını öğrenmek önemli bir adım. Birçok şirket bunları ölçebilmek için, Infosec IQ Siber Güvenlik Kültürü Anketi veya KnowBe4’ün Güvenlik Kültürü Anketi gibi mevcut siber güvenlik kültürü anketlerinden birini kullanyor.
Suçlamayı ortadan kaldırın. ISACA’nın yönetim kurulu üyesi Sushila Nair, birçok güvenlik sorununun kullanıcı hatasından kaynaklandığını, ancak kullanıcıları suçlamanın kötü bir hareket olduğunu söyledi. . “Suçlama kültürünüz varsa, insanlar öne çıkmayacak” dedi. “Bunun yerine, insanların gelecekte bu hatalardan kaçınmasına yardımcı olmakla ilgili olmalı. Dürüstlük için cezalandırılacaklarını, cezalandırılmayacaklarını bilmeliler.”
Kuruluşunuzun bazı zayıf yönlerine dayalı güvenlik bilinci eğitim programları geliştirin. Infosec’in pazarlama ve araştırmadan sorumlu başkan yardımcısı Megan Sawle, “Güvenlik bilinci programını neredeyse tüm kültürel güvenlik sorunlarını iyileştirmenin bir yolu olarak görüyoruz” dedi. “Güven oluşturma, katılımı artırma ve insanların güvenlik olaylarının sonuçları hakkında nasıl hissettiklerini değiştirme gibi daha iddialı hedeflere doğru oluşturulabilecek içerik sunmakla ilgili.” PowerPoint yaklaşımının aksine, eğitimi ilgi çekici hale getirmek önemlidir, diye ekledi.
Eğitimi, belirli sorunlar sergileyen belirli kullanıcılara hedeflemek de önemlidir. Bu önemli, dedi Roer, çünkü herkesin psikolojik eylem tetikleyicileri farklı.
Teşvikler oluşturun. Birçok şirket, havuç ve sopa yaklaşımının harikalar yaratabileceğini düşünüyor. Örneğin Gomez, Infosec tarafından sağlanan “Kendi Maceranı Seç” gibi bazı simülasyon oyunlarını, oyun kılığında senaryo tabanlı eğitim kullanıyor. Nair, simüle edilmiş kimlik avı saldırıları düzenleyerek ve yemi yemeyen çalışanları tanıtarak şirketi için farklı türde bir teşvik yaklaşımı kullanıyor. “Temel olarak, insanlara iyi bir şey yaptıkları için olumlu bir tanınma sağlayan kahramanlar yaratmakla ilgili. Bu, istediğiniz kültürü inşa eder.”
Siber güvenlik kültürünü değiştirmek azim gerektirir, ancak bunun karşılığını alabilir.
Gomez, “80-20 kuralına kesinlikle inanıyorum: Ne yaparsanız yapın, daha zorlu olanlar var ve onlara ulaşmaya çalışmanız gerekiyor” dedi.