Kurumlar Temel Güvenlik Bilincinden Yoksun

Yeni araştırma, kurum çapında artan siber farkındalık ile azalan kurumsal risk arasındaki bağlantıyı vurguluyor. 

Ağ ve güvenliğin yakınsamasına öncülük eden küresel siber güvenlik lideri Fortinet, yıllık 2024 Güvenlik Farkındalığı ve Eğitimi Küresel Araştırma Raporu'nu yayınladı. Raporda siber farkındalığa sahip iş gücünün kurumsal riski yönetme ve azaltmada önemli rol oynadığı vurgulandı. 

Fortinet Pazarlama Direktörü John Maddison, konu hakkında görüşlerini şöyle belirtiyor: “Tehdit aktörleri saldırılarının karmaşıklığını artırmak için yapay zeka gibi yeni teknolojilerden yararlanırken, çalışanların sağlam bir ilk savunma hattı olarak hizmet vermesi giderek daha önemli hale geliyor. Fortinet'in yeni araştırması, bir siber güvenlik kültürü oluşturmanın önemini ve kurum çapında güvenlik farkındalığı ve eğitimi verme ihtiyacını vurguluyor. Bu bulgular, dünyanın dört bir yanındaki ilk ve orta dereceli okullara ücretsiz olarak sunulan eğitim versiyonu da dahil olmak üzere kurumlara yönelik ödüllü Güvenlik Farkındalığı ve Eğitimi hizmetimizin önemini ve siber dayanıklılığın güçlendirilmesindeki rolünü pekiştiriyor.” 

Küresel rapordan elde edilen önemli bulgular şunları içeriyor: 

• Kötü niyetli aktörler saldırılarının hacmini ve hızını artırmak için yapay zekayı kullandıkça, liderler bu tehditlerin çalışanları tarafından fark edilmesinin daha zor olacağına inanıyor. Katılımcıların %60'ından fazlası, daha fazla çalışanın siber suçluların yapay zeka kullandığı saldırıların kurbanı olmasını bekliyor. Fakat iyi haber şu ki, katılımcıların çoğu (%80) yapay zeka ile güçlendirilmiş saldırılar hakkında kurum genelinde bilgi sahibi olmanın, kurumlarını güvenlik farkındalığı ve eğitimi uygulamaya daha açık hale getirdiğini söylüyor. 

• Çalışanlar bir kurumun ilk savunma hattı olabilirse de liderler çalışanlarının güvenlik bilincinden yoksun olmasından giderek daha fazla endişe duyuyor. Ankete katılanların yaklaşık %70'i, çalışanlarının kritik siber güvenlik bilgisinden yoksun olduğuna inanıyor; bu oran 2023'te %56 idi. 

• Liderler güvenlik farkındalığı eğitiminin öneminin farkında ancak belirli özelliklerin bazı eğitim programlarını diğerlerinden daha etkili kıldığına inanıyor. Liderlerin dörtte üçü güvenlik farkındalığı kampanyalarını planladıklarını, içeriği aylık (%34) veya üç aylık (%47) olarak sunduklarını söylüyor. Yöneticiler ayrıca yüksek kaliteli içeriğin programın başarısında ya da başarısızlığında önemli bir rol oynadığına işaret ediyor. 

Fortinet Bölge Direktörü Arzu Akkaya şu değerlendirmelerde bulundu: "Bu yılki Güvenlik Farkındalığı ve Eğitimi Küresel Araştırma Raporu, günümüzün dijital dünyasında siber güvenlik risklerinin yönetilmesinde güvenlik farkındalığına sahip bir iş gücünün önemini ortaya koydu. Araştırmamız, yalnızca kurumların mevcut güvenlik duruşunu anlamakla kalmayıp, aynı zamanda çalışanların güvenlik farkındalığını artırmak için kapsamlı eğitim programlarının etkinliğini ölçmeyi hedefliyor. AI gibi yeni nesil teknolojilerin güvenlik tehditlerine yenilikçi yanıtlar getirdiği bir çağda, kurum liderlerinin ve yönetim kurullarının destek ve katılımı daha da kritik hale geldi. Çalışanların farkındalığını artırmak ve onların güvenlik kültürünü içselleştirmelerini sağlamak, hem siber saldırılara karşı direnç oluşturmak hem de kurum güvenliğini daha sağlam temellere oturtmak için vazgeçilmezdir. Çalışanların güvenlik eğitimine daha fazla önem verdiğini görmek memnuniyet verici olsa da, riskin büyük olduğu noktada daha ileri politikaların hayata geçirilmesi gerektiği bir gerçektir." 

Çalışanların mücadele etmesi gereken son tehditler 

Siber suçluların yapay zekayı kullanmalarının en önemli nedenlerinden biri kimlik avı planlarını daha inandırıcı ve tespit edilmesi daha zor hale getirmesi. Kimlik avı doğrudan bireysel kullanıcıları hedef aldığından, kurumlar çalışanlarına bu saldırıları nasıl tanıyacaklarını ve kurban olmaktan nasıl kaçınacaklarını öğretmeye yoğun bir şekilde odaklanıyor.  

• Son kullanıcılar cazip hedefler olmaya devam ediyor. Kurumların %80'inden fazlası geçen yıl kötü amaçlı yazılım, kimlik avı ve parola saldırıları gibi doğrudan bireyleri hedef alan saldırılarla karşılaştı. 

• Saldırılar geliştikçe, güvenlik farkındalığı ve eğitimi daha da hayati hale geliyor. Ankete katılanların neredeyse tamamı (%96) liderlik ekiplerinin çalışanların güvenlik farkındalığı eğitimini desteklediğini söylüyor. 

• Katılımcıların neredeyse tamamı (%98) kimlik avını önlemenin eğitim programlarının ve planlarının bir bileşeni olduğunu söylüyor. Diğer en önemli eğitim öncelikleri arasında veri güvenliği (%48) ve gizlilik (%41) yer alıyor. 

Çalışanlar saldırılara karşı güçlü bir ilk savunma hattı oluşturabilir 

Güvenlik ve BT ekipleri kurumları siber tehditlere karşı korumak için çok önemli olsa da, bir kurumun çalışanları da ihlallerin önlenmesinde önemli bir rol oynuyor. 

• Çalışanlar siber güvenlik farkındalığı ve eğitim fırsatlarına olumlu yaklaşıyor. Liderlerin çoğu (%86) çalışanlarının güvenlik farkındalığı ve eğitimine olumlu baktığını söylüyor. 

• Kurumlar güvenlik ve farkındalık eğitim programları uyguladıklarında olumlu sonuçlar elde ediyor. Liderlerin büyük bir çoğunluğu (%89) güvenlik farkındalığı ve eğitimi uygulandıktan sonra kuruluşlarının güvenlik duruşunda en azından bir miktar iyileşme gördüğünü söylüyor. Tek bir katılımcı bile hiçbir gelişme görmediğini iddia etmiyor. 

Siber farkındalık eğitimi hayati önem taşıyor fakat tüm her program eşit değil 

Çoğu kurum, güvenlik ihlaline uğrama deneyimlerine ya da sektörlerindeki tehditlere ilişkin bilgilerine dayanarak güvenlik farkındalığı ve eğitimi sunma konusunda motive oluyor. 

Karar vericilerin neredeyse tamamı (%96), liderlik ekiplerinin çalışanların siber güvenlik farkındalığını artırmak için eğitim uygulanmasını desteklediğini söylüyor.  

Bu yılki ankete göre, liderlerin %97'si çalışanların farkındalığının artmasının kurumun siber güvenlik duruşunu güçlendireceğini düşünüyor. Yine de katılımcılar, eğitim programlarının etkinliği için önemli olan temel nitelikler olduğu konusunda hemfikir. 

• İlgi çekici içerik çok büyük önem taşıyor. Karar vericilerin %86'sı mevcut güvenlik farkındalığı ve eğitim çözümlerinden memnun olduklarını söylerken, memnun olmayanların en büyük şikayeti ilgi çekici içerik eksikliği. 

• Gerekli zaman yüküne dikkat edin. Öğrencilerden istenen zaman miktarına dikkat ederek eğitim yorgunluğundan kaçının. Çalışanlardan çok fazla zaman talep etmek onlara aşırı yük bindirebilir. Önerilen en yaygın süre 1,1 ila 2,0 saat arasında olup ortalama süre üç saat. 

Fortinet güvenlik farkındalığı ve eğitim hizmeti ile siber farkındalığa sahip bir iş gücü geliştirin   

Tek başına bir ihlal vakasının bile bir işletme için önemli yansımaları olabiliyor. Tüm çalışanlar için güvenlik farkındalığı ve eğitimi, BT ve güvenlik personeli için teknik siber güvenlik becerileri ve ağ için gelişmiş güvenlik çözümlerini içeren üç yönlü bir savunma stratejisi oluşturmak hayati önem taşıyor.   

Farkındalık ve eğitim, bireylere tehditlerle karşılaştıklarında ne yapmaları gerektiğini öğretmenin ötesinde, kurum genelinde bir siber güvenlik kültürü oluşturmanın temelini atıyor. Fortinet, siber farkındalığa sahip bir iş gücü geliştirmek isteyen işletmelere Güvenlik Farkındalığı ve Eğitimi hizmetini sunuyor. Fortinet Eğitim Enstitüsü'nün dünya standartlarındaki eğitmenleri tarafından tasarlanan bu hizmet, geniş bir konu yelpazesini kapsıyor, içerik özelleştirme fırsatları sunuyor ve periyodik hatırlatmalar ve kontrollerle öğrenilenleri pekiştiriyor. Hizmeti kullanan kurumlar, siber sigorta ve uyumluluk ihtiyaçlarını karşılamak için öğrenci ilerlemesini ve raporlamayı izlemek için çeşitli gösterge tablolarına da erişebiliyor. 

Fortinet Siber Farkındalık Araştırması hakkında: 

• Araştırma, güvenlik farkındalığı ve eğitimi olan kurumlarda 29 farklı ülkeden 1.850'den fazla yönetici ve yönetim seviyesindeki profesyonel arasında gerçekleştirildi.  

• Araştırmaya katılanlar, imalat (%17), finansal hizmetler (%13) ve teknoloji ve profesyonel hizmetler (%11) dahil olmak üzere çeşitli sektörlerden geldi.