Çalışanlarınız Siber Güvenlik Risklerini Neden Umursamıyor?

Ne tür donanımsal güvenlik önlemi alırsak alalım işin içerisindeki insan faktörü risk barındırmaya devam ediyor. İşte bu nedenle en yukarıdan en aşağı kademeye bilgisayar erişimi olan tüm çalışanların bilgilendirilmesi, siber güvenlik farkındalık eğitimi alması gerektiği konusunu her fırsatta vurguluyoruz. Ancak araştırmalar gösteriyor ki bu kadarı da yeterli olmuyor.

2014 yılından beri yapılan araştırmalardan gelen veriler, çalışanların büyük bir kısmının riskleri anladığı ancak yine de riskli davranışları sergilemeye devam ettiği yönünde.

Verilen eğitimler sonucunda bu oranlarda azalma görülse de devam ediyor.

Riskli davranış örneklerinin başında;

  • Bilinmeyen kişilerden gelen e-postaların açılması
  • Yetişkin içerikli görüntülerin iş bilgisayarlarında görüntülenmesi
  • Bilinmeyen kaynaklardan uygulama indirilmesi
  • Bilgi Teknolojileri departmanının bilgisi ya da izni olmadan yeni uygulamalar indirilmesi
  • İş bilgisayar ya da telefonlarından sosyal medya kullanımı
  • Kişisel mobil cihazların iş için kullanılması geliyor.

2015 yılında CSO Online’da çıkan bir makalede, çalışanların %73’ünün bu davranışlarda bulunulmasıyla oluşacak riskleri bildiği ancak yalnızca %20’sinin bu davranışları yapmaktan kaçındığı belirtilmişti. Bu durumun nedeni olarak ise online davranışlarında dikkatli olmak için gerekli motivasyona sahip olmadıkları gösterilmişti.

2017 yılının Nisan ayında Dell Security tarafınca yapılan bir araştırmaya dünyanın çeşitli ülkelerinden katılan 2608 Bilgi Teknolojileri personelinden alınan veriler ışığında kullanıcıların güvenli olmayan davranışlarına dair bir rapor hazırlanmıştı. Buna göre katılımcıların %72’si gizli şirket bilgilerini belirli durumlarda paylaşabileceğini belirtmişti. “Belirli durumlar” raporda şöyle açıklanmıştı: %43 Yönetim tarafınca talep gelmesi halinde, %37 yetkisi olan bir personel tarafınca istendiği takdirde, %23 düşük risk yüksek fayda gördüğü bir durumda, %22 işini daha efektif yapabileceği bir durum olduğunda, %13 karşı tarafa işini daha efektif yapabileceği bir durum oluşturduğunda “gizli bilgileri paylaşırım” diyordu. Anket katılımcılarının %45’i iş yerindeyken riskli çevrimiçi davranışlar sergilediğini kabul ediyor, bunların %68 gibi ciddi bir kısmı kişisel e-postalarını iş yerinden kullandığını, %54’ü iş yeri ile ilgili bilgilere ulaşmak için kafe ve benzeri yerlerde bulunan (halka açık) kablosuz ağlara bağlandığını, %49’u iş yeri tarafınca sağlanan cihazlardan kişisel sosyal medya hesaplarına girdiğini, %22 gibi önemli bir kısmı (5 katılımcıdan 1 tanesi) iş yerine ait bir cihazı kaybederek riske neden olduğunu belirtmişti. Tuhaf olan ise katılımcıların %65’inin gizli bilgilerin korunması konusunda sorumluluğu olduğunu da kabul ediyor olmasıydı. Ancak üzücü olan, personelin yalnız %36’sının kendisini gizli bilgileri koruyabilecek doğru donanım ve bilgi birikimine sahip görüyor olmasıydı.

Araştırmanın bu yazıya konu olan ve bizim ilgilendiğimiz bulgusu ise, anket katılımcılarının %63’ünün siber güvenlik farkındalık eğitimini tamamlamış olması ve eğitim almış personelin %24’ünün güvenli olmayan davranışları sergilemesinin nedeni olarak “işini yapabilmek” gerekçesini göstermiş olması.

Bu hafta Spanning Cloud Apps firması tarafınca yayınlanan yeni bir araştırma sonucu da çalışanların siber güvenlik risklerini genel olarak anlıyor olmasına karşın güvenli olmayan davranışlara devam ediyor olduğu yönünde çıktı.

Katılımcıların çoğunun, gittikçe daha sofistike hale gelen zararlı yazılım ve oltalama saldırılarına karşı yeterli bilgiye sahip olmadığı, %55’inin bilmediği linklere tıkladığı, %59’unun iş arkadaşlarından birinin kendi bilgisayarını kullanmasına izin verdiği, %34’ünün güvensiz e-ticaret sitelerini güvenilir olanlardan ayıramayacak durumda olduğu bu araştırma ile tespit edilmiş. Tüm katılımcıların  %52’si ve yetkili kullanıcıların %62’si iş bilgisayarlarından kişisel internet alışverişlerini yaptıklarını belirtmiş. Bu kişilerin %34’ü güvensiz bir e-ticaret sitesi gösterildiğinde ayırt edememiş, sitenin güvensiz olduğunu fark eden personelin %50’si bunu adres çubuğundaki kilit ikonuna bakarak fark etmiş, yalnız %36’lık bir kısım ise şüpheli linki doğru şekilde tanıyarak oltalama saldırısı olduğunu söylemiş.

Personelimiz siber güvenlik farkındalık eğitimi alsa bile neden güvensiz çevrimiçi davranışlara devam ediyor?

  • Eğitimlerin yeterli olmaması: Personelin aldığı siber güvenlik farkındalık eğitimlerinin sıklığının yeterli olmaması ve içeriklerin kalıcı davranış değişikliğine neden olacak kadar etkileyici olmaması eğitim verimliliğini düşüren başlıca unsurlardır.
  • Davranışlarının sonucunda oluşabilecek zarardan habersiz olmak: Şirket içerisinde Bilgi Teknolojileri departmanı tarafınca yapılan “şu linklere tıklamayın, şu e-postaları açmayın” gibi bilgilendirme e-postaları personelin riskli çevrimiçi davranışların yol açabileceği sorunları ve sonuçları anlamaları için yeterli olmuyor.
  • Umursamamak: Personelin bir kısmı siber güvenlik farkındalığına tamamen sahip olmasına ve davranışlarının sebep olabileceği olumsuz sonuçları bilmesine karşın umursamamaya devam etmektedir.
  • Kolay olanı, güvenli olana tercih etmek: İnsan doğası gereği herhangi bir işi yaparken kendisine en kolay gelen yolu tercih eder. Güvenlik için alınan tedbirlerin bir kısmının çalışanlar tarafından işi zorlaştıran unsurlar olarak algılanması çalışanların güvenli yöntemler yerine kendilerine kolay gelen yolu tercih etmelerine neden olmaktadır.
  • Bireysel risklerin farkında olmamak: Araştırma sonucunda görüldüğü gibi, katılımcıların önemli bir kısmı iş bilgisayarlarını alışveriş ve sosyal medya gibi kişisel işlerinde kullanıyor. Bu durumda, iş bilgisayarlarında meydana gelmesi muhtemel bir veri sızıntısı sonucunda kişisel bilgileri de çalınacaktır.
  • “Bizim başımıza gelmez” düşüncesi: Personelin eğitimler sırasında örneklerini gördüğü veya gerçek hayatta yakınlarının başına gelen olayların kendi başına gelmeyeceğini düşünmesi.
  • “Antivirüsüm var” düşüncesi: Mevcut siber güvenlik tedbirlerinin tamamını veya bir kısmını (kullandığı bilgisayardaki antivirüs ikonu gibi) gören personel bunların kendisini koruyacağını düşünerek rahat hareket edebilmektedir.

Neler yapabilirsiniz?

Siber güvenlik farkındalığı kapsamında, kuruluşların personellerini en azından aşağıdaki konularda etkin biçimde bilinçlendirmeleri önemlidir.

  • Yaşanmış örneklerin ele alınması gerekir. Çalıştığınız sektörde yaşanmış olayları ele almak ve bu olaylara neden olan çalışan davranışlarını örnek göstermek personelin farkındalığını artırmakta etkili olmaktadır.
  • Riskli çevrimiçi davranışların sadece kuruluş verilerini değil personelin kişisel verilerini ve özel hayatını da tehlikeye attığı konusunda bilinç kazandırılmalıdır.
  • Çalışanların tahmin edilmesi zor parola seçimi, iki kademeli kimlik doğrulaması, ofis dışında çalışırken güvenli bağlantı kurulması gibi konuları özümsediğinden emin olunmalıdır.
  • Çalışanların riskli davranışlarını en aza indirmek için gerekli teknik önlemler alınmalıdır. Alınan teknik önlemlerin talimat, prosedür ve politikalar ile de desteklenmesi faydalı olacaktır.
  • Yeni başlayan personele oryantasyon sırasında verilen veya yılda bir kez tekrarlanan farkındalık eğitimlerinin günlük koşuşturma içerisinde unutulması çok kolaydır. Bu nedenle farkındalık eğitimlerinin en az üç ayda bir (tercihen daha da sık) verilmesi gerekmektedir. Eğitimlerin yeni tehditlere uygun olarak güncellenmesi gerektiği de unutulmamalıdır.

Hits: 486

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*