Siber güvenlik farkındalığı eğitimi riskli bir iştir. Müşteriler eğitimin etkisini ölçmek isterken, siber sigortacılar bir ihlal durumunda tazminat ödemek zorunda kalma ihtimallerini düşürmeye çalıştıkça, eğitimden önce ve sonra riski ölçmenin önemi her geçen gün artıyor. Bir bütün olarak ele alındığında, riskin nasıl ölçüldüğü (ve ölçülüp ölçülmediği) konusundaki değişiklikler, siber güvenlik farkındalığı eğitiminin nasıl gerekçelendirildiği, satın alındığı ve yürütüldüğü konusundaki değişikliklere dönüştürülüyor.
Değişen Bir Dünya
Risk, iş dünyasında evrensel bir varlıktır. Ekonomik, jeopolitik veya siber tehdide dayalı riskler tanınmalı, kabul edilmeli ve üç yoldan biriyle ele alınmalıdır:
- Kabul etmek: Ortaya çıkan risk iş için kabul edilebilir; risk geçerse, üstesinden gelinebilir.
- Hafifletmek: Var olduğu şekliyle risk aşırıdır, bu nedenle iş için kabul edilebilir olana kadar risk seviyesini azaltmak için değişiklikler yapılır.
- Aktar: Mevcut risk aşırıdır, bu nedenle riskin ekonomik etkisinin tamamını veya bir kısmını üçüncü bir tarafa aktarın. Sigortanın rolü budur.
İşletmenin bu yollardan hangisini seçeceğini bilmek için, tehdidin ortaya koyduğu ekonomik risk açısından nihai olarak riski ölçmenin bir yolunu bulması gerekir. Siber güvenlik endüstrisinde şu anda devam etmekte olan en büyük değişiklik, riskin ölçülebildiği ve bu riskin şirket genelindeki yöneticilerin anlayabileceği terimlerle ifade edilebildiği artan karmaşıklıktır. Bu değişiklik, farkındalık eğitimini siber güvenlik ekibi için bir “onay kutusu” öğesinden yönetim kurulu düzeyine kadar kurumsal liderliğin mücadele ettiği bir şeye dönüştürüyor.
Hareketli Kale Direkleri
Değişen risk anlayışı, siber güvenlik farkındalık eğitiminin nasıl satın alındığını ve sonuçlarının nasıl ölçüldüğünü de değiştiriyor. Klasik siber güvenlik farkındalığı eğitimi anlayışının büyük ölçüde “eğitim” modeline dayandığı yerde, endüstri artık siber güvenlik farkındalığı eğitiminin bir risk azaltıcı olarak anlaşılmasına doğru evriliyor ve eğitimin etkisinde ve başarının tanımında öngörülebilir değişiklikler de var. .
Eğitim, kursiyerlere öğretilen bir şey olarak anlaşılma eğilimindedir ve etkisi derslerin zaman içinde ne kadar iyi akılda tutulduğuyla ölçülür. Ölçüm mekanizması genellikle, derslerin sonunda ve takip eden düzenli aralıklarla eğitim sonrası puanlara karşı ölçülen eğitim öncesi puanlarla testler veya kısa sınavlardır. Alıştırma risk azaltma olduğunda, değerlendirme mekanizmaları farklıdır.
Daha İyi Davranış
Risk azaltma, değişen davranışla sonuçlanan kesin öğrenmeden bağımsız olarak, çalışan davranışının bir işlevi olarak anlaşılma eğilimindedir. Eğitim öncesi ölçüm, çalışana sunulan simüle edilmiş tehditler aracılığıyla gerçekleştirilir ve bu tehditlere yanıtları yakalanır ve en iyi uygulama davranışına göre değerlendirilir. Eğitim hala “klasik” bir ders formatında sunulabilir, ancak değerlendirme ek simülasyonlar ve ek davranışsal ölçümler şeklinde olacaktır.
Eğitim sonrası davranış en iyi uygulamalara tam bir geçiş göstermiyorsa, takviye sıklıkla hatalı davranış zamanında ve bağlamında sunulur. Ayrık eğitim sırasında sağlanan mikro derslerin ve bir davranış hatası tespit edildiğinde sağlanan mikro derslerin birleşimi, çalışanların sürekli bir eğitim ve davranış güçlendirme durumunda olma eğiliminde olduğu anlamına gelir; eğitim, günlük üretkenlik çalışmasından ayrı bir şey değildir.
Siber güvenlik farkındalığı eğitimi yoluyla risk azaltma, doğrudan daha düşük siber sigorta prim maliyetlerine dönüşerek, basit bir masraftan ziyade şirketin kâr hanesine katkıda bulunan bir süreç haline gelebilir. Omdia’nın Kurumsal Güvenlik Yönetimi uygulamasında, risk ölçümü, siber güvenlik farkındalığı eğitimi ve siber sigortanın birleşen trendlerini izliyoruz. Hizmetin aboneleri, “Siber güvenlik farkındalığı eğitimi, risk ölçümüyle tetiklenen davranış değişikliğine doğru evriliyor” gibi raporlardaki analizleri okuyabilir.