Siber güvenlik şirketi ESET, kurumsal güvenlik zincirinin en kıymetli halkası olan çalışanları mercek altına aldı. Hibrit çalışma devrinde artan güvenlik siyasetlerinin çalışanlar üzerindeki tesirini inceledi, güvenlik yorgunluğu riskine dikkat çekti.
Çalışanlar, çoklukla kurumsal güvenlik zincirindeki zayıf halkalardan biri olarak düşünülür. Bu nedenle BT güvenlik departmanları, içeriden gelebilecek riskleri de hafifletmeye çalışırlar. Çalışanların üzerindeki yük çok olduğunda ise beklenmeyen hareketler sergileyebilirler ve bu da kurumun maruz kalabileceği siber risk ihtimalini arttırır. Bu durum “güvenlik yorgunluğu” olarak bilinir ve dikkatsiz ve fikirsiz davranışlara yol açabilir.
Firma çalışanları iş yerindeki güvenlik ihtarları, siyaset kuralları ve prosedürleri ile boş vakitlerinde medyada gördükleri ihlal ve tehdit kıssaları konusunda bombardımana tutulduklarında yorgunluk hali hissedebilirler. Kelam konusu güvenlik yorgunluğu, çaresizlik ve denetim kaybı hisleriyle karakterize edilir. Çalışanlar bu durumu çok bunaltıcı bulup kurum siyasetini bırakarak kendi bildikleri üzere hareket etmeye başlayabilirler. Tıpkı vakitte bir teslimiyet hissi de oluşabilir. Bu ihlallerin oluşmayacağını düşünüp tüm bu gerilimli güvenlik ikazlarını göz gerisi edebilirler.
ESET uzmanlarına nazaran güvenlik yorgunluğuyla gayret etmek için kullanıcıların alması gereken karar ölçüsü sonlandırılarak hibrit çalışmaya yönelik muhafaza ve üretkenlik istikrarını tekrar ayarlanmalı. Daha problemsiz bir güvenlik sağlanmalıdır.
2020 yılında kitleler halinde ve süratli bir formda meskenden çalışmaya geçilmesi birçok kurumda düşünmeden gerçekleştirilen hareketlere neden olurken BT departmanları da çalışanlara yönelik yeni kurallar getirerek kurumların riske maruz kalmalarını kısıtlamaya çalıştı. Salgının sonucunda hibrit işyeri kavramı doğarken güvenlik yorgunluğu riskini azaltmayı da hesaba katarak bu kısıtlamaları tekrar gözden geçirmeliyiz.
- Siber riski en aza indirme gerekliliği ile birlikte çalışanların gereksinimlerine da daha âlâ bir istikrar sağlayan siyasetler tasarlanmalıdır.
- Kullanıcıların güvenlik ile ilgili alması gereken karar ölçüsünü sınırlayın. Mümkün olduğunca uç noktalarınızı uzaktan yönetin. Bu; otomatik yazılım yaması, uzaktan güvenlik yazılımı heyetimi ve dizüstü bilgisayarlar ile başka aygıtların idaresi manasına gelir. Ağ savunmasını ihlal ederken tehditleri yakalamak ve denetim altına almak için art planda algılama ve karşılık hizmetlerini çalıştırmak da bunlar ortasında yer alır.
- Şifre yöneticileri, biyometrik çok faktörlü kimlik doğrulama ve tek oturum açma ile birlikte kullanıcıların göstereceği çabayı en aza indirirken gelişmiş oturum açma güvenliğini destekleyin ve hatta zorlayın.
- Kullanıcılara art geriye gönderdiğiniz güvenlik bildirilerinin ölçüsünü azaltın.
- Davranış değişikliğini sağlamak için 10-15 dakikalık daha kısa oturumlar ile gerçek simülasyon ve oyunlaştırmalar içeren, daha keyifli güvenlik farkındalık eğitimleri düzenleyin.