Kurumunuzdaki çalışanlar güvenlik talimatlarına karşı duyarsızlaştıkları için değerli verilerle ilgili daha fazla mı risk alıyor? Çok geç olmadan belirtilerin farkına varın.
BT güvenliği genellikle “Yasaklar Departmanı” olarak görülse de bunun nedenini anlamak kolay. Siber risklerin tırmandığı, saldırı alanlarının genişlediği ve siber suç ekonomisinin hızla büyüdüğü bir dünyada güvenlik departmanlarının, çalışanların verebileceği zararı sınırlandırmaya çalışması gayet anlaşılabilir. Nihayetinde bir bağlantıya yanlışlıkla tıklamak, olası bir yıkıcı fidye yazılımı saldırısına sebep olmak için yeterlidir. Çalışanların üzerindeki yük çok olduğunda da çalışanlar beklenmeyen hareketler sergileyebilir ve bu da kurumun aslında maruz kalabileceği siber risk ihtimalini arttırır.
Bu durum “güvenlik yorgunluğu” olarak bilinir ve en kötü senaryoda dikkatsiz ve düşüncesiz davranışlara yol açabilir. Bu da BT departmanının en son isteyeceği bir durumdur. Güvenlik yorgunluğuyla mücadele etmek için kullanıcıların alması gereken karar miktarı sınırlandırılarak ve hibrit çalışmaya yönelik koruma ve üretkenlik dengesini tekrar ayarlanarak daha sorunsuz bir güvenlik sağlanmalıdır.
Güvenlik yorgunluğu nedir ve ne kadar ciddi bir durumdur?
İnsanlar, genellikle kurumsal güvenlik zincirindeki en zayıf halka olarak düşünülür. Bu nedenle BT güvenlik departmanları, sadece ihmalkar çalışanlarla sınırlı olmamakla birlikte içeriden gelebilecek riskleri de hafifletmeye çalışırlar. Bir yandan bunu yapmaları da gerekir. 2021’de firmaların yaklaşık %67’si, 21 ile 40’ın üzerinde firma içi olay yaşamıştır. 2020’de %60 oranında gerçekleşen bu olayları ortadan kaldırmak firmalara ortalama 15 milyon ABD dolarına mal olmuştur.
Ancak firma çalışanları iş yerindeki güvenlik uyarıları, politika kuralları ve prosedürleri ile boş zamanlarında medyada gördükleri ihlal ve tehdit hikayeleri konusunda bombardımana tutulduklarını hissettiklerinde bir yorgunluk hali hissedebilirler. Söz konusu güvenlik yorgunluğu, çaresizlik ve kontrol kaybı hisleriyle karakterize edilir. Çalışanlar bu durumu çok bunaltıcı bulup kurum politikasını bırakarak kendi bildiklerini okuyabilir. Aynı zamanda bir teslimiyet hissi de oluşabilir. Her ne yaparlarsa yapsınlar bu ihlallerin olacağını düşünüp dolayısıyla tüm bu stresli güvenlik uyarılarını göz ardı edebilirler.
Bu, düşündüğünüzden çok daha yaygın bir durum aslında. 2018’de yapılan bir araştırma, EMEA çalışanlarının yarısından fazlasının (%55’nin) siber güvenliği düzenli olarak dikkate almadığını ve yaklaşık beşte birinin (%17’sinin) ise siber güvenlik konusunda hiç endişe duymadığını ortaya koymuştur. Araştırmalar, aşırı güvenlik taleplerinin genç çalışanlarda daha fazla yorgunluk hissi oluşturabileceğini de göstermektedir.
Güvenlik yorgunluğunun en sık görülen belirtileri nelerdir?
Ne yazık ki güvenlik yorgunluğun kurum güvenliği üzerinde ciddi düzeyde denge bozucu bir etkisi olabilir. Çalışanların aşağıdaki eylemlerde bulunması güvenlik yorgunluğu belirtilerinin görülmesine neden olabilir:
Kimlik avı e-postalarıyla ilgili daha fazla risk alınarak belki de sırf meraktan bağlantılara tıklanması veya eklerin açılması.
Birçok hesapta zayıf kimlik bilgilerini tekrar tekrar kullanarak zayıf şifre yönetimi sergilenmesi. Geçtiğimiz günlerde yapılan bir çalışmaya göre çalışanların %43’ü giriş bilgilerini paylaştıklarını ve hatta giriş yapma stresini azaltmak için tümden işten uzaklaştıklarını kabul etmiştir.
Bazı kuruluşlarda sınırlandırılmış olsa da bir VPN bağlantısı olmadan kurum ağlarına giriş yapılması.
Dışarıdayken halka açık ve güvenli olmayan Wi-Fi bağlantıları kullanılarak hassas kurum hesaplarına giriş yapılması.
Cihaz ve bilgisayarların düzenli olarak güncellenmemesi. Yeni yapılan bir EY çalışması, kendilerinden büyük çalışma arkadaşlarına kıyasla Z ve Y Kuşağı üyesi çalışanların mümkün olduğunca uzun bir süre zorunlu yamaları önemsememe ihtimallerinin daha yüksek olduğunu göstermektedir.
Yaşanan olayların anında üst amirlere veya BT departmanına bildirilmemesi. Aynı EY çalışması, çalışanların yaklaşık beşte birinin (%16’sının) şüpheli bir güvenlik ihlalini başka birine bildirmektense kendilerinin çözmeye çalıştığını ortaya çıkarmıştır.
İnternetten indirme yapılması, oyun oynanması ve çevrim içi alışveriş yapılması gibi riskli eylemler de dahil olmak üzere iş cihazlarının kişisel amaçlar için kullanılması. Bir çalışmaya göre çalışanların yarısı, iş cihazlarını kendilerine aitmiş gibi görmektedir.
Başka yöntemlerle güvenliğin atlatılması. Bir başka rapor ise 18-24 yaşları arasındaki ofis çalışanlarının %31’inin kurum politikasını atlatmaya çalıştığını ortaya koymuştur.
Güvenlik yorgunluğu ile nasıl mücadele edilir?
2020’de kitleler halinde hızlı bir şekilde evden çalışmaya geçilmesi birçok kurumda düşünmeden gerçekleştirilen eylemlere neden olurken BT departmanları da çalışanlara yönelik yeni zahmetli kurallar getirerek riske maruz kalmalarını kısıtlamaya çalıştı. Salgının küllerinden hibrit işyeri kavramı doğarken güvenlik yorgunluğu riskini azaltmayı da hesaba katarak bu kısıtlamaları tekrar gözden geçirme fırsatı bulunuyor.
Aşağıdakileri göz önünde bulundurun:
Güvenliğin iş süreçlerini nasıl etkilediğini ve üretkenliği nasıl bozduğunu daha iyi anlamak için son kullanıcılarınıza kulak verin. Siber riski en aza indirme gerekliliği ile birlikte çalışanların ihtiyaçlarına da daha iyi bir denge sağlayan politikalar tasarlamaya çalışın.
Kullanıcıların alması gereken güvenlik kararı miktarını sınırlayın. Bu; otomatik yazılım yaması, uzaktan güvenlik yazılımı kurulumu ve dizüstü bilgisayarlar ile cihazların yönetimi anlamına gelebilir. Ağ savunmasını ihlal ederken tehditleri yakalamak ve kontrol altına almak için arka planda algılama ve yanıt hizmetlerini çalıştırmak da bunlar arasında yer alır.
Şifre yöneticileri, biyometrik çok faktörlü kimlik doğrulama ve tek oturum açma (SSO) ile birlikte gösterilen çabayı en aza indirirken gelişmiş oturum açma güvenliğini destekleyin.
Kullanıcılara arka arkaya gönderdiğiniz güvenlik mesajlarının miktarını sınırlayın. Sonuçta azı karar, çoğu zarar.
Davranış değişikliğini sağlamak için 10-15 dakikalık daha kısa oturumlar ile gerçek simülasyon ve oyunlaştırmalar içeren, daha keyifli güvenlik farkındalık eğitimleri düzenleyin.
Etkili bir güvenlik sağlamak için her çalışanın, kurumu güvende tutmak için hayati derecede rollere sahip olduklarını anladıkları ve üzerine düşenleri proaktif olarak yerine getirmek istedikleri bir kültür ortamı oluşturmanız gerekiyor. Böyle bir kültür ortamı oluşturmak da zaman alır. Bu kültür ortamını oluşturmak da güvenlik yorgunluğunu anlayıp nedenlerini çözmeye çalışmakla başlar.
İLGİLİ MAKALELER:
Cybersecurity awareness training: What is it and what works best?
How gamification can boost your cybersecurity training
Kimlik avı farkındalığı eğitimi: Çalışanlarınızın oltadan kaçınmasına yardımcı olun