Bilgi güvenliği bilinci - Information security awareness

Bilgi güvenliği bilinci gelişen bir parçasıdır bilgi Güvenliği hızla gelişen formların potansiyel risklerine ilişkin bilinç yükseltmeye odaklanan bilgi ve insan davranışını hedefleyen bu bilgilere yönelik hızla gelişen tehditler. Tehditler olgunlaştıkça ve bilginin değeri arttıkça, saldırganlar yeteneklerini artırdılar ve daha geniş amaçlara doğru genişlediler, daha fazla saldırı yöntemi ve metodolojileri geliştirdiler ve daha çeşitli amaçlarla hareket ediyorlar. Bilgi güvenliği kontrolleri ve süreçleri olgunlaştıkça, kontrolleri ve süreçleri atlatmak için saldırılar olgunlaştı. Saldırganlar, kurumsal ağları ve kritik altyapı sistemlerini ihlal etmek için bireylerin insan davranışını hedef aldı ve başarıyla kullandı. Bilgi ve tehditlerin farkında olmayan hedeflenen kişiler, bilmeden geleneksel güvenlik kontrollerini ve süreçlerini atlatabilir ve kuruluşun ihlaline neden olabilir. Buna karşılık, bilgi güvenliği bilinci olgunlaşıyor. Bir iş sorunu olarak siber güvenlik çoğu kişinin gündemine hâkim oldu bilişim şefleri (CIO), günümüzün siber tehdit ortamına karşı önlem ihtiyacını ortaya çıkarıyor.[1] Bilgi güvenliği farkındalığının amacı, herkesin bugünün tehdit ortamındaki fırsatlara ve zorluklara duyarlı olduklarının farkına varmasını sağlamak, insan risk davranışlarını değiştirmek ve güvenli bir organizasyon kültürü oluşturmak veya geliştirmektir.

Arka fon

Bilgi güvenliği bilinci, bilgi güvenliğinin birkaç temel ilkesinden biridir. Bilgi güvenliği farkındalığı, bilgi ve bilgi güvenliği hakkındaki insan risk davranışlarını, inançlarını ve algılarını anlamayı ve geliştirmeyi, aynı zamanda hızla gelişen tehditlere karşı bir önlem olarak kurumsal kültürü anlamayı ve geliştirmeyi amaçlar. Örneğin, OECD 's Bilgi Sistemleri ve Ağlarının Güvenliği için Yönergeler[2] genel olarak kabul edilmiş dokuz ilkeyi içerir: farkındalık, sorumluluk, yanıt, etik, demokrasi, risk değerlendirmesi, güvenlik tasarımı ve uygulaması, güvenlik yönetimi ve yeniden değerlendirme. Bağlamında İnternet bu tür farkındalık bazen şu şekilde anılır: siber güvenlik farkındalık, birçok girişimin odak noktası olan ABD İç Güvenlik Bakanlığı Ulusal Siber Güvenlik Farkındalık Ayı[3] ve Başkan Obama'nın 2015 Beyaz Saray Zirvesi Siber Güvenlik ve Tüketicinin Korunması.[4]

Bilgisayar tabanlı suçlar bizim için yeni bir şey değil. Virüsler 20 yılı aşkın süredir bizimle birlikte; casus yazılımlar, ilk olaylardan bu yana on yıldan fazla zaman aldı; ve geniş ölçekli kimlik avı kullanımı en az 2003 yılına kadar izlenebilir. Araştırmacılardan biri, bilgi sistemindeki hızın gelişip genişlediğini kabul etti. Güvenlik farkındalığı çalışanlar arasındaki program geride kalıyor. Ne yazık ki, ancak, öyle görünüyor ki, çevrimiçi hizmetlerin hızlı bir şekilde benimsenmesi, buna karşılık gelen bir güvenlik kültürü kucaklamasıyla eşleşmemiş görünüyor.[5]

Evrim

Bilgi güvenliği bilinci, siber saldırıların gelişen doğasına, kişisel bilgilerin artan hedeflenmesine ve bilgi güvenliği ihlallerinin maliyeti ve ölçeğine yanıt olarak gelişiyor. Dahası, birçok kişi güvenliği teknik kontroller açısından düşünür, bireyler olarak hedef olduklarını ve davranışlarının riskleri artırabileceğini veya risklere ve tehditlere karşı önlemler sağlayabileceğini fark etmez.

Bilgi güvenliği farkındalığını belirlemek ve ölçmek, doğru ölçümlere olan ihtiyacı vurguladı. Bu ihtiyaca yanıt olarak, insan tehdidi ortamını anlamak ve ölçmek, insan anlayışını ve davranışını ölçmek ve değiştirmek, organizasyonel riski ölçmek ve azaltmak ve bir karşı önlem olarak bilgi güvenliği farkındalığının etkinliğini ve maliyetini ölçmek için bilgi güvenliği farkındalık ölçütleri hızla gelişmektedir.[6]

Kuruluşların çoğu bilgi güvenliğine para yatırmak istemiyor. PricewaterhouseCoopers (2014) tarafından yapılan bir anket, mevcut çalışanların (% 31) ve eski çalışanların (% 27) bilgi güvenliği olaylarına hala katkıda bulunduğunu ortaya koymuştur. Anket sonuçları, çalışanlara atfedilebilen gerçek olay sayısının 2013 anketinden bu yana% 25 arttığını gösterdi.[7]

Güvenlik bilinci programının gerekliliği

Bir güvenlik bilinci programı, dahili çalışanların neden olduğu güvenlik tehditlerini azaltmak için bir kuruluşun benimseyebileceği en iyi çözümdür. Bir güvenlik bilinci programı, çalışanların bilgi güvenliğinin bir bireyin sorumluluğu olmadığını anlamalarına yardımcı olur; herkesin sorumluluğundadır. Program ayrıca, çalışanların kendi kimlikleri altında gerçekleştirilen tüm faaliyetlerden sorumlu olduğunu açıkça belirtmektedir. Ayrıca program, iş bilgisayarlarını kullanmanın standart yollarını da uygular.

Kuruluşlar, güvenlik bilinci programını sağlamanın standart bir yolunu benimsememiş olsalar da, iyi bir program, veri, ağ, kullanıcı davranışı, sosyal medya, mobil cihazların ve WiFi kullanımı, kimlik avı e-postaları, sosyal mühendislik ve farklı virüs türleri ve kötü amaçlı yazılım. Etkili bir çalışan güvenliği farkındalık programı, kuruluştaki herkesin BT güvenliğinden sorumlu olduğunu açıkça belirtmelidir. Denetçiler, programın kapsadığı altı alana çok dikkat etmelidir: veriler, ağlar, kullanıcı davranışları, sosyal medya, mobil cihazlar ve sosyal mühendislik.[8]

Birçok kuruluş, gizlilik politikalarını çok karmaşık hale getirir ve çeşitli çalışanlar bu düzenlemeleri her zaman anlamaz. Gizlilik Politikası, çalışanlara iş bilgisayarına her giriş yaptıklarında hatırlatılması gereken bir şeydir. Gizlilik uygulamalarının daha iyi anlaşılmasını ve karşılaştırılmasını sağlamak için Gizlilik Politikaları daha açık, daha kısa ve daha standart hale getirilmelidir.[9] Kuruluşlar, güvenlik ve tehditler hakkında konuşmak için tüm çalışanların her hafta katılabileceği etkileşimli oturumlar oluşturabilir. Etkileşimli oturumlar, yeni tehditler, en iyi uygulamalar ve sorular ve yanıtlar hakkında farkındalık içerebilir.

Kuruluş ihlal edenleri cezalandırmazsa bir güvenlik bilinci programı faydalı olmayabilir. Programı ihlal etmekten suçlu bulunan çalışanlar, daha fazla eylem için üst düzey yöneticilere bildirilmelidir, aksi takdirde program etkili olmayacaktır. Bilgi güvenliği yetkilileri, programdaki herhangi bir eksikliği bulmak için bir boşluk analizi yapabilir.

Şu anki durum

2015'in başlarından itibaren, CIO'lar bilgi güvenliği farkındalığıyla ilgili konuları en önemli stratejik öncelikler olarak derecelendirdi. Örneğin, Şubat 2015'te Wall Street Journal CIO ağ etkinliği, önümüzdeki yıl iş ve politikayı yönlendirmek için öncelikli bir dizi öneri oluşturmak için bir araya geldi, siber güvenlik etrafında fikir birliği oluşuyor ve işletmenin geri kalanıyla etkili iletişim yoluyla değişiklik sağlanıyor gibi görünüyordu.[10]

Bilgi güvenliği bilinci ve yüksek profilli ihlaller çoğu kuruluşun gündeminin ön saflarında yer alırken, Lance Spritzner tarafından 220 güvenlik bilinci görevlisinin katıldığı yakın tarihli bir çalışma, ilgili üç temel bulguyu ortaya çıkardı. İlk olarak, başarılı bir güvenlik bilinci programı için idari ve mali destek gereklidir. İkincisi, geleneksel güvenlik kontrollerinin ve karşı önlemlerin teknik doğası nedeniyle, insan davranışını anlamak ve değiştirmek için gerekli olan yumuşak beceriler eksiktir ve son olarak, bir olgunluk modeli açısından, güvenlik bilinci hala emekleme aşamasındadır.[11]

Ölçmenin zorluğu

İnsan riski davranışını etkili bir şekilde ölçmek zordur çünkü riskli davranışlar, inançlar ve algılar genellikle bilinmemektedir. Ek olarak gibi saldırılar e-dolandırıcılık, sosyal mühendislik ve sosyal medya sitelerinde yayınlanan veri sızıntısı ve hassas veriler gibi olaylar ve hatta ihlallerin tespit edilememesi ve bilinmemesi, başarısızlık noktalarının belirlenmesini ve ölçülmesini zorlaştırır. Genellikle saldırılar, olaylar ve ihlaller, saldırganlar izlerini kapattıktan sonra saldırıya uğrayan kuruluşun dışından tepki verir veya bunlardan rapor edilir ve bu nedenle proaktif olarak araştırılıp ölçülemez. Ayrıca, saldırganlar herhangi bir izinsiz giriş tespitini veya erişim izleme uyarılarını önlemek için genellikle bilinen davranışları gözetlediğinden ve taklit ettiğinden, kötü amaçlı trafik genellikle fark edilmez.

2016 yılında yapılan bir araştırma, güvenlik farkındalığını ölçmek için bir yöntem geliştirdi.[12] Spesifik olarak, "güvenlik protokollerini aşma, sistemlerin amaçlanan işlevlerini bozma veya değerli bilgiler toplama ve yakalanmama konusundaki anlayışı" ölçtüler (s. 38). Araştırmacılar, insanların farklı güvenlik senaryolarını gruplar halinde düzenlemesini sağlayarak uzmanlar ve acemiler arasında ayrım yapabilecek bir yöntem geliştirdiler. Uzmanlar bu senaryoları, acemilerin yüzeysel temalara göre senaryoları düzenleyeceği merkezi güvenlik temalarına göre düzenleyecek.

Nerede simüle kimlik avı kampanyalar düzenli olarak yürütülürse, kullanıcı uyumu ölçütleri sağlayabilir.[13]

Ayrıca bakınız

Referanslar

  1. ^ "CIO'lar En Önemli 5 Stratejik Önceliklerini Belirledi. Sabah İndirmesi: Güvenlik, CIO'nun Risk ve Değişim Çağında Gündemine Hakimdir".
  2. ^ "oecd.org" (PDF). Alındı 2015-02-14.
  3. ^ "ABD İç Güvenlik Bakanlığı". Alındı 2015-02-14.
  4. ^ "Başkan Obama, Beyaz Saray Zirvesinde Siber Güvenlik ve Tüketicinin Korunması Konusunda Konuştu".
  5. ^ Furnell Steven (2008). "Son kullanıcı güvenlik kültürü: Asla öğrenilemeyecek bir ders mi?". Bilgisayar Dolandırıcılığı ve Güvenliği. 2008 (4): 6–9. doi:10.1016 / S1361-3723 (08) 70064-2.
  6. ^ "https://scadahacker.com/library/Documents/Insider_Threats/DHS%20-%20Risks%20to%20US%20Critical%20Infrastructure%20from%20Insider%20Threat%20-%2023%20Dec%2013.pdf" (PDF). scadahacker.com. Alındı 2015-04-25. İçindeki harici bağlantı | title = (Yardım)
  7. ^ Da Veiga, Adéle; Martins Nico (2015). "Bir vaka çalışmasıyla gösterilen izleme ve uygulama eylemleri yoluyla bilgi güvenliği kültürünün iyileştirilmesi". Bilgisayarlar ve Güvenlik. 49: 162–176. doi:10.1016 / j.cose.2014.12.006. hdl:10500/21765.
  8. ^ "Çalışan Güvenliği Farkındalık Programının Değerlendirilmesi". iaonline.theiia.org. Alındı 2015-04-25.
  9. ^ "FTC'nin tüketici gizliliği çerçevesi ve sonraki adımlar. - Ücretsiz Çevrimiçi Kitaplık". www.thefreelibrary.com. Alındı 2015-04-25.
  10. ^ "CIO'lar En Önemli 5 Stratejik Önceliğini Belirledi".
  11. ^ "SANS İnsan Güvenliği Farkındalık Raporunu Güvenceye Aldı".
  12. ^ Giboney, Justin Scott; Proudfoot, Jeffrey Gainer; Goel, Sanjay; Valacich, Joseph S (2016). "Güvenlik Uzmanlığı Değerlendirme Ölçümü (SEAM): Bilgisayar korsanı uzmanlığı için bir ölçek geliştirme". Bilgisayarlar ve Güvenlik. 60: 37–51. doi:10.1016 / j.cose.2016.04.001.
  13. ^ R, Kate. "Kimlik Avıyla İlgili Sorun". Ulusal Siber Güvenlik Merkezi. GCHQ. Alındı 12 Eylül 2018.

Dış bağlantılar