Siber güvenlik: Kullanıcıları suçlamak çözüm değil

Veri ihlallerini bildiren çalışanlara karşı cezalandırıcı bir yaklaşım sorunları yoğunlaştırır.

Resim: iStock / iBrave

Uzmanlar uyarıyor, siber güvenlik söz konusu olduğunda, kullanıcıları suçlamak korkunç bir fikir. Böyle yapmak büyük olasılıkla daha da kötü bir duruma neden olur. Bir e-posta alışverişinde Egress Software Technologies CEO'su Tony Pepper, “Birçok kuruluş veri güvenliği söz konusu olduğunda suçlama kültürünü varsayılan olarak kabul etti” yorumunu yaptı ve “Eylemlerin sonuçları olduğuna ve birinin sorumlu olması gerektiğine inanıyorlar.”

Pepper, “Çalışanların kazara neden oldukları veri kaybı olaylarını bildirdikleri durumlarda, ciddi olumsuz sonuçlarla karşılaşmaları oldukça yaygın bir durum” diye devam ediyor Pepper. “Bu, açıkça, bir korku kültürü yaratıyor ve kendi kendini raporlama eksikliğine yol açıyor ve bu da sorunu daha da kötüleştiriyor. Bu nedenle birçok kuruluş, güvenlik sorunlarının ölçeğinin farkında değil.”

Pepper'ın yorumları, bağımsız pazar araştırma şirketi Arlington Research tarafından toplanan bulgulara dayanıyor. Analistler finansal hizmetler, sağlık hizmetleri, bankacılık ve hukuk sektörlerindeki kuruluşlardan 500'den fazla üst düzey yöneticiyle görüştü.

Analistlerin bulduğu şey gazetede yayınlandı, Giden E-posta Güvenlik Raporu. Veri kaybından sorumlu çalışanlarla ilgili olarak, ankete katılanların% 45'i çalışanları kınayacak,% 25'i muhtemelen çalışanları işten çıkaracak.

GÖRMEK: Kimlik hırsızlığı koruma politikası (TechRepublic Premium)

Pepper, kuruluşların bunun suçun tekrarlanma şansını azalttığına inanabileceğini, ancak bunun farklı ve daha zarar verici bir etkisi olabileceğini öne sürüyor. Şirket yönetiminin yansımalarını önlemek için çalışanların güvenlik olaylarını rapor etmeme ihtimali var.

Pepper, “Özellikle bu belirsiz zamanlarda çalışanlar, sonuç olarak işlerini kaybedebileceklerine inandıklarında kendilerini rapor etmeye veya başkalarını rapor etmeye daha da az istekli olacaklar” diye ekliyor Pepper.

Daha da kötüleşiyor

Anket bulgularına göre, kuruluşların büyük bir kısmı çalışanlarının birincil veri ihlali tespit mekanizması olmasına güveniyor – özellikle de e-posta söz konusu olduğunda. Pepper, “Araştırmamız, kuruluşların% 62'sinin yönetimi veri ihlalleri konusunda uyarmak için insan tabanlı raporlamaya güvendiğini ortaya çıkardı” diyor. “Kuruluşlar, yalnızca işlerini yapmaya çalışan çalışanları kınayarak, raporlama mekanizmasının altını oyuyor ve olayların bildirilmeden geçmesini sağlıyor.”

Verilerin bir kuruluşun dijital sınırlarından neden kaçtığını tam olarak anlayamama, siber güvenlikten sorumlu olanların bir kuruluşun verilerini etkili bir şekilde koruyacak savunma stratejisi geliştirmelerini büyük ölçüde zorlaştırıyor.

Suçlama oyununun üstesinden gelin

Çalışanları azarlamanın etkisiz olduğu anlaşıldığında, kuruluşlar daha olumlu bir güvenlik kültürü oluşturmaya çalışmalıdır. Hemen bir fayda, şimdiye kadar bilinmeyen güvenlik risklerinin artan görünürlüğüdür.

Diğer bir fayda, düzenleyici kurumların hassas verileri korumak için tüm makul adımları attığını gösterme becerisidir. Pepper ekliyor, “Risklerinizin nerede olduğunu bilmiyorsanız, makul önlemleri almak zordur. Düzenleyiciler, bir veri ihlali soruşturması sırasında bunu tahmin edebilir ve daha yüksek para cezaları ve cezalar verebilir.”

Teknolojinin bir rolü var

Suçlama oyunu kısıtlandığında, teknolojiyi dahil etme zamanı. Pepper, “İlk adım, insanları değil, teknolojiyi kullanarak doğru raporlama yapmaktır, bu da çalışanların kendi kendini rapor etmenin baskısını ortadan kaldıracak ve sorumluluğu siber güvenlikten sorumlu kişilerin eline bırakacaktır,” diyor. “Bağlamsal makine öğrenimindeki gelişmeler, güvenlik araçlarının kullanıcıları anlaması ve eylemlerinden öğrenmesi, böylece anormal davranışları tespit edip azaltabilmeleri, örneğin bir e-postaya yanlış bir alıcı eklenmesi anlamına geliyor.”

Teknolojinin büyük bir fark yarattığı yer burasıdır. Kazayla veri kaybını gerçekleşmeden önce önler. Çalışanların çözümün bir parçası olmalarını sağlar ve teknoloji, güvenlik ekibine riskler ve ortaya çıkan tehditler hakkında tarafsız bir görünürlük sağlar.

Siber güvenlik ekiplerinin anlaması gerekenler

Olası sonuçlar hakkında eğitim çok önemlidir. Kuruluşun dijital varlıklarıyla çalışan herkesin, bir veri ihlalinin olası sonuçlarını anlaması gerekir – örneğin, yasal para cezaları veya kuruluşun itibarına verilen zarar.

Kullanıcılar, istemci verilerini yanlış alıcıya e-postayla göndermenin veya bir kimlik avı e-postasına yanıt vermenin sonuçlarını anladığında, bu güvenli bir bahis, meydana geldiğinde olayı bildirme olasılıkları çok daha yüksek olacaktır. Unutmayın: Bir olay bildirilmezse, onu düzeltmenin veya tekrar olmasını engellemenin bir yolu yoktur.

Sonuç olarak Pepper, siber güvenliği yönetenlere tavsiyelerde bulunuyor. Pepper, “Çalışanları güvenlikle meşgul etmenin ve önemini anlamalarını sağlamanın en iyi yolu, 'güvenlik açısından pozitif' bir şirket kültürü oluşturmaktır,” diye açıklıyor Pepper. “Güvenlik ekiplerinin, veri ihlalleri ciddiye alınırken, kazayla meydana gelen olayları bildiren çalışanların işten uygun desteği alacakları ve ciddi sonuçlarla karşılaşmayacağı konusunda daha geniş organizasyona güvence vermesi gerekiyor.”

Ayrıca bakın

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*