Siber güvenlik şirketi ESET, kurumsal güvenlik zincirinin en önemli halkası olan çalışanları mercek altına aldı. Hibrit çalışma döneminde artan güvenlik politikalarının çalışanlar üzerindeki etkisini inceledi, güvenlik yorgunluğu riskine dikkat çekti.
Çalışanlar, genellikle kurumsal güvenlik zincirindeki zayıf halkalardan biri olarak düşünülür. Bu nedenle BT güvenlik departmanları, içeriden gelebilecek riskleri de hafifletmeye çalışırlar. Çalışanların üzerindeki yük çok olduğunda ise beklenmeyen hareketler sergileyebilirler ve bu da kurumun maruz kalabileceği siber risk ihtimalini arttırır. Bu durum “güvenlik yorgunluğu” olarak bilinir ve dikkatsiz ve düşüncesiz davranışlara yol açabilir.
Firma çalışanları iş yerindeki güvenlik uyarıları, politika kuralları ve prosedürleri ile boş zamanlarında medyada gördükleri ihlal ve tehdit hikayeleri konusunda bombardımana tutulduklarında yorgunluk hali hissedebilirler. Söz konusu güvenlik yorgunluğu, çaresizlik ve kontrol kaybı hisleriyle karakterize edilir. Çalışanlar bu durumu çok bunaltıcı bulup kurum politikasını bırakarak kendi bildikleri gibi hareket etmeye başlayabilirler. Aynı zamanda bir teslimiyet hissi de oluşabilir. Bu ihlallerin oluşmayacağını düşünüp tüm bu stresli güvenlik uyarılarını göz ardı edebilirler.
ESET uzmanlarına göre güvenlik yorgunluğuyla mücadele etmek için kullanıcıların alması gereken karar miktarı sınırlandırılarak hibrit çalışmaya yönelik koruma ve üretkenlik dengesini tekrar ayarlanmalı. Daha sorunsuz bir güvenlik sağlanmalıdır.
Güvenlik yorgunluğu ile nasıl mücadele edilir?
2020 yılında kitleler halinde ve hızlı bir şekilde evden çalışmaya geçilmesi birçok kurumda düşünmeden gerçekleştirilen eylemlere neden olurken BT departmanları da çalışanlara yönelik yeni kurallar getirerek kurumların riske maruz kalmalarını kısıtlamaya çalıştı. Salgının sonucunda hibrit işyeri kavramı doğarken güvenlik yorgunluğu riskini azaltmayı da hesaba katarak bu kısıtlamaları tekrar gözden geçirmeliyiz.
– Siber riski en aza indirme gerekliliği ile birlikte çalışanların ihtiyaçlarına da daha iyi bir denge sağlayan politikalar tasarlanmalıdır.
– Kullanıcıların güvenlik ile ilgili alması gereken karar miktarını sınırlayın. Mümkün olduğunca uç noktalarınızı uzaktan yönetin. Bu; otomatik yazılım yaması, uzaktan güvenlik yazılımı kurulumu ve dizüstü bilgisayarlar ile diğer cihazların yönetimi anlamına gelir. Ağ savunmasını ihlal ederken tehditleri yakalamak ve kontrol altına almak için arka planda algılama ve yanıt hizmetlerini çalıştırmak da bunlar arasında yer alır.
– Şifre yöneticileri, biyometrik çok faktörlü kimlik doğrulama ve tek oturum açma ile birlikte kullanıcıların göstereceği çabayı en aza indirirken gelişmiş oturum açma güvenliğini destekleyin ve hatta zorlayın.
– Kullanıcılara arka arkaya gönderdiğiniz güvenlik mesajlarının miktarını azaltın.
– Davranış değişikliğini sağlamak için 10-15 dakikalık daha kısa oturumlar ile gerçek simülasyon ve oyunlaştırmalar içeren, daha keyifli güvenlik farkındalık eğitimleri düzenleyin.