Siber suçlar artmaya devam ederken, insan unsuru siber güvenlik duruşu ve hijyen konusunda en önemli rolü oynayabilir. Siber güvenlik içindeki ana itici güç ve en önemli vektördür, insanlar belirli koşullar altında öngörülemez şekilde davranma eğilimindedir. Düzgün bir şekilde eğitilirse, insanları etkili bir şekilde eğitmek oyunun kurallarını değiştirebilir. Ne de olsa siber güvenlik, uygun bir insan risk yönetimi meselesidir.
Dünya Ekonomik Forumu Küresel Risk Raporu 2022 ve Verizon’un 2022 Veri İhlali Araştırmaları Raporu gibi çeşitli raporlar, yasa dışı eylemlerin ve siber güvenlik sorunlarının açık ara en büyük ve baskın nedeninin insan hatası olduğunu vurgulamaktadır. Pek çok işletme, çalışanlarını teknolojiyle ilgili jargon kullanarak eğitirlerse güvenliğin artırılabileceği ve riskin en aza indirilebileceği konusunda yanlış bir algıya sahipler ve bunun çalışanlarının kafasını karıştıracağının farkında değiller. Bu sadece sorunu daha da şiddetlendirir. Bunun yerine, yapmaları gereken insan riskini yönetmektir.
İnsan algısı, bilişi ve genel davranışı kontrol edilememesine ve ihtiyaçlarımıza göre değiştirilememesine rağmen, araştırmalar, çalışanların siber güvenlik odaklı eğitim alması durumunda siber saldırıların düzenlenebileceğini ve fiilen azaltılabileceğini kanıtlıyor.
Her organizasyonda, eğitim temel bir prosedürdür. Herhangi bir organizasyonun yapısının dayandığı en önemli sütunlardan biridir. Silahlı Kuvvetler örnek bir örnektir. Sürekli geliştirdiği eğitimler ile askeri personelin farkındalık düzeyini yüksek ve muharebeye hazır tutmayı başarmaktadır. Ayrıca Silahlı Kuvvetler, personeline siber tehditler ve yetkili kullanıcıların askeri bilgi sistemlerine yönelik tehditleri ve bunların güvenlik açıklarını azaltmak için ne gibi önlemler alabilecekleri konusunda talimat vermek için bilinçlendirme kampanyaları yürütür.
Eğitimden bahsetmişken ve insanların algılarını dikkate alarak, siber güvenlik farkındalığı eğitimi başlamak için açık ara en iyi yer. Personele ve bireylere siber tehditleri tanımak ve bunlara tepki vermek için gerekli bilgileri sağlayarak, ne arayacağınızı, hangi hatalardan kaçınacağınızı ve en yaygın tehditlere nasıl karşı koyacağınızı bilin.
Siber güvenlik farkındalığı eğitimi, güvenlik uzmanları tarafından kullanılan savunmacı bir yaklaşımdır. İnsanlara siber tehditler ve tehlikeler, güvenlik önlemleri, HIPAA ve PCI DSS gereklilikleri ve çeşitli gizlilik düzenlemeleri hakkında bilgi verir. Buna, 2023’ün sonuna kadar dünya nüfusunun %75’ini yönetmesi beklenen GDPR ve CCPA dahildir.
Bu eğitim programları siber saldırıları taklit eder ve insanları mevcut kötü amaçlı yazılımlar hakkında eğitir. Çalışanlara, kişisel ve işle ilgili hassas bilgilerin yasa dışı erişim, değişiklik ve/veya istismardan nasıl korunacağını öğretmeye yardımcı olur. Ayrıca, MFA ve VPN’ler gibi dijital uygulamalar ve güvenlik araçları geliştirilip benzeri görülmemiş bir oranda kullanıldıkça, insanları çevrelerindeki tehditler konusunda eğitmeye daha fazla ihtiyaç duyulmaktadır. Düzgün bir şekilde uygulanır ve talimat verilirse, eğitim siber güvenlik seviyesini yükseltir, insan riskini en aza indirir ve çalışanları siber güvenlik farkındalığı konusunda yüksek alarm durumunda tutar.
Bu eğitim programlarının çoğu bilgisayar tabanlıdır ve bulut, sosyal medya güvenliği, mahremiyetin korunması, mobil ve uzaktan bilgi işlem için en iyi uygulamalar ve siber tehditleri azaltmak için gerekli olan diğer önemli konular dahil olmak üzere çeşitli konulara odaklanır.
Kimlik avı saldırıları, bir kimlik avı girişiminin temel göstergelerini ve bunların nasıl ele alınacağını bilerek en aza indirilebilir. Aynı şey sahtekarlık mesajları, smishing ve şüpheli sesli aramalar, diğer adıyla vishing için de geçerlidir. Ek olarak, uygun eğitim yoluyla bireyler fidye yazılımı eğilimleri konusunda eğitilebilir, bu da güvenlik ekiplerinin etkili bir şekilde tepki vermesine ve yanıt vermesine ek olarak uyarı işaretlerini belirlemelerine olanak tanır. Ayrıca, AI ve ML teknolojisi geliştikçe ve kötü aktörler tarafından kullanıldıkça, bu bilinçlendirme kampanyaları, insanların derin sahte işaretleri tespit etmesine ve bunları yeterince ele almasına yardımcı olabilir.
Son olarak, eğitim kampanyaları, veri koruma ve hassas ödeme bilgilerinin ele alınması konularını kapsayan düzenlemeler, gereksinimler ve standartlar konusunda insanları eğitir. Bu amaçla, işletmelerin ve kuruluşların çok sayıda güvenlik düzenlemesine uyması gerektiği göz önünde bulundurularak siber güvenlik farkındalık eğitimleri, HIPAA & HITECH, PCI DSS ve veri koruma eğitimleri vermektedir.
Siber güvenlik tehdidi ortamı, buluta devam eden geçiş nedeniyle sürekli olarak gelişmektedir. Uç nokta cihazlarındaki hızlı yükseliş, IoT’nin yaygınlaşması, işletmelerin dijitalleşme arzusu ve değişen iş gücü modelleri. Dördüncü Sanayi Devrimi’ne girerken, değişim hızını yavaşlatmaya çalışmak bir felaket olur; bunun yerine siber risklerin tamamen farkında olmalı ve varlıklarımızı daha iyi koruyabilmeliyiz. Diğer bir deyişle, yapmamız gereken insani riski en yetkin şekilde yönetmektir.
Sonunda, siber güvenlik farkındalık eğitimi yoluyla bilgi paylaşımı, çalışanları yüksek alarm durumuna ve profesyonelleri güvenlik konusunda daha yenilikçi ve etkili olmaya yönlendirecektir. Bunu yaparak, işletmeler tehditlerin önüne geçecek ve gelecekteki riskler – fidye yazılımı, derin sahte veya sosyal mühendislik saldırıları olarak adlandırılmaları fark etmeksizin – siber güvenlik farkındalığına yönelik güçlü bir insan güvenlik duvarını vuracaktır.
Inspired eLearning şunları vurgulamaktadır: “İşverenler, çalışanlar ve genel halk siber güvenlik dilini konuşmayı öğrendikçe, %95 kullanıcı hatası gibi şaşırtıcı rakamlar azalacak ve şirketlerin ileriye dönük daha güvenli bir yolu olacak.” Nihayetinde, siber güvenli geleceğimiz kişisel sorumluluk ve uygun insan risk yönetimi meselesidir.
Yazar hakkında: Christos Flessas Yunan Hava Kuvvetleri (HAF) Subayı olarak 30 yıldan fazla deneyime sahip bir İletişim ve Bilgi Sistemleri Mühendisidir. Akredite bir NATO taktikçisidir. İletişim ve Bilgi Sistemleri (CIS) alanında değerlendirici ve Signal Intelligence CIS ve Navigation Warfare (NavWar) Çalışma Gruplarında Ulusal Temsilci (NatRep). Christos, Birleşik Krallık Cranfield Üniversitesi’nden Güdümlü Silah Sistemleri alanında yüksek lisans derecesine sahiptir. Ayrıca Palo Alto Networks Academy Cybersecurity Foundation kursu gibi çok sayıda çevrimiçi kursa katılmıştır. Deneyimi, radar bakım mühendisi, hava radarları için yazılım geliştirici, BT sistemleri yöneticisi ve büyük silahlanma sözleşmelerini uygulayan Proje Yöneticisi dahil olmak üzere çok çeşitli görevleri kapsamaktadır.
Christos yeni zorluklarla ilgileniyor, açık fikirli ve siber güvenliğin endüstriyel, kritik altyapı, telekomünikasyon, finans, havacılık ve denizcilik sektörleri üzerindeki etkisini keşfetmekten heyecan duyuyor. Kendisi aynı zamanda bir yazar Bora.