Matt Lindley, COO ve CISO tarafından
Siber saldırılar giderek daha sık ve yıkıcı hale geldikçe, siber güvenlik eğitimi artık isteğe bağlı değildir. Şirketler bir veri ihlaline maruz kaldıklarında, bir gecede milyonlarca doları ve müşterilerinin güvenini kaybetmekle yükümlüdürler. Siber saldırılar, çok sayıda yeni saldırı vektörünün ortaya çıkmasına neden olan ve şirketleri ihlaller gerçekleştikten çok sonra bile ihlalleri teşhis etmek ve bunlara yanıt vermek zorunda bırakan kapsamlı dijital dönüşümlerin ortasındaki pek çok şirketle özellikle felce uğruyor.
Şirketlerin güvenlik açıklarını hızlı bir şekilde tespit edebilmesi ve bunları ele almak için proaktif önlemler alabilmesi gerekir. İnsan hatası ve ihmali, ağlarınızın ve sistemlerinizin bütünlüğüne yönelik en acil tehditleri oluşturduğundan, bu, etkili bir siber güvenlik farkındalık eğitimi (CSAT) programının geliştirilmesiyle başlar. Şirketlerin CSAT programlarını geliştirirken yaptıkları en yaygın hata, siber güvenlik eğitiminde herkese uyan tek bir yaklaşım olmadığını fark etmemeleridir. Çalışanların farklı beceri düzeyleri, kişisel durumları, mizaçları ve öğrenme tarzları vardır ve bunların tümü bilgileri nasıl özümseyeceklerini ve daha sonra geri alacaklarını ve ayrıca hangi siber tehditlerle başa çıkmaya hazır olduklarını belirler.
Çalışanlar öğrendikleri şeyle tam anlamıyla meşgul olmalıdır; bu da derslerin kendi hayatlarına anında uygulanmasını, güçlü ve zayıf yönleri etrafında inşa edilmesini ve dikkatlerini üzerinde tutabilmelerini gerektirir. Hepimiz, kendimizi genel ve harcanabilir hissettiren şirket çapında eğitim içeriğine tabi tutulduk – bu içerikler, çalışanları eğitmekten çok onları yabancılaştırıyor. Şirketlerin gerçekten işe yarayan kişiselleştirilmiş CSAT eğitimi sağlayarak bu sonucu önleyebilecekleri birkaç yolu inceleyelim.
Kişiselleştirilmiş ve kanıta dayalı siber güvenlik eğitimi
Çok fazla şirket, bir CSAT programını uygularken çıktılar yerine girdileri vurgular. Girdiler, bir eğitim kursuna katılan çalışan sayısını veya eğitici bir e-postanın açılma oranını içerirken, çıktılar, çalışanların kimlik avı testlerindeki performansı, gerçek dünya olay raporları ve eğitimin işe yaradığına dair diğer somut kanıtlar olacaktır. Başarılı bir eğitim programının nihai hedefi, uzun vadeli davranış değişikliğidir ve şirketler, bu hedefe doğru ilerleme kaydedip kaydetmediklerini dürüstçe değerlendirmek zorundadır.
Daha etkili bir CSAT programı oluşturmanın bir yolu, kişiselleştirmeye odaklanmaktır. Siber güvenlik eğitimini geliştirmeye yönelik bir 2022, “bireylerin öğrenme stilleri, bilişsel yetenekleri ve üst bilişlerindeki farklılıkları” hesaba katmak ve “her çalışan grubu için optimize edilmiş özel çözümler” sunmak için kişiselleştirilmiş öğrenme teorisinin uygulanmasını önerir. Araştırmacılar, kişiselleştirilmiş eğitim alan öğrencilerin “iki okul yılı boyunca daha büyük ilerleme kaydettiklerini” gösteren daha önceki bir araştırmaya atıfta bulunuyorlar.
Kişiselleştirilmiş öğrenme, yalnızca çalışanların bilgi edinmesine ve elinde tutmasına yardımcı olmakla kalmayacak, aynı zamanda CISO’lara ve diğer şirket liderlerine siber güvenlik varlıkları ve güvenlik açıkları hakkında daha derinlemesine bir anlayış sağlayacaktır. Bu, belirli siber saldırıların en etkili olabileceğinden, hangi çalışan özelliklerinin (merak veya kaygı gibi) en önemli güvenlik risklerini oluşturduğuna kadar her şeyi içerebilir. Şirketler bireysel bazda siber güvenlik performanslarını değerlendirdiklerinde, hangi çalışanların iyi durumda olduğunu, hangilerinin zorlandığını ve buna göre kaynakları nasıl tahsis edeceklerini belirleyebilecekler.
Kanıta dayalı CSAT, şirketlerin siber güvenliğe yatırım yaptığı ve aynı zamanda sağlıklı bilançolar oluşturmaya çalıştığı bir zamanda hayati önem taşıyor.
Bireysel çalışan katılımını en üst düzeye çıkarmak
İş gücünüz, sürekli olarak işlerinin gereklilikleri ile genişleyen diğer sorumluluklar yelpazesini dengelemeye çalışan meşgul profesyonellerden oluşur. CSAT programınız çalışanların dikkatini çekmeyi başaramazsa, boşluğu doldurmak için birçok başka dikkat dağıtıcı unsurun bulunduğundan emin olabilirsiniz.
Çalışanlar bir eğitim içeriğiyle her etkileşime girdiklerinde, onları meşgul etmek, ihtiyaç duydukları bilgileri sağlamak ve nihayetinde sağlıklı siber güvenlik davranışlarının benimsenmesini kolaylaştırmak için dar bir pencere vardır. Bu nedenle, içeriğin eğlenceli, özlü ve söz konusu çalışanla doğrudan alakalı olmasını sağlamak çok önemlidir. Örneğin, bir çalışanın birkaç iş arkadaşıyla Slack’te veya başka bir bulut tabanlı işbirliği platformunda önemli ölçüde zaman gerektirecek bir projeye başlamak üzere olduğunu varsayalım. Eğitim içeriğiniz, yakın zamanda Uber’de meydana gelen bir olay gibi Slack’i birincil saldırı vektörü olarak kullanan gerçek dünyadaki bir ihlali kapsayabilir.
Kişiselleştirilmiş eğitim, çalışanların belirli rollerine ve becerilerinin pekiştirilmesi gereken alanlara da odaklanabilir. Bu, diyalog için fırsatlar açabilir ve çalışanlara fikirlerinin önemli olduğunu gösterirken, CISO’lara ve şirket liderlerine şirketin siber hazırlık durumu hakkında fikir verebilir.
Çalışanlara öğrenmeleri için güçlü teşvikler vermek
Şirketler, birkaç yıldır (veya on yıllardır) güncellenmemiş sıradan işe alım videolarından, kültürünü gerçekten geliştirmek veya çalışanlara öğretmek yerine şirketin yasal sorumluluğunu sınırlamak için var olan işyeri yürütme eğitimlerine kadar, uzun süredir işyeri eğitimine gönülsüz bir gereklilik olarak yaklaştılar. . Bu eğitim içeriğinin hiçbiri sürdürülebilir davranış değişikliğine yol açmaz çünkü bunu yapmak için tasarlanmamıştır – yalnızca “eğitim” olarak işaretlenmiş bir kutuyu işaretlemek için oluşturulmuştur.
Bu statüko kaçırılmış büyük bir fırsattır. Yakın tarihli bir LinkedIn, harika bir çalışma kültürünün en önemli itici gücünün “öğrenme ve büyüme fırsatları” olduğunu tespit ederken, çalışanlar ana öğrenme motivasyonlarından birinin “ilgi alanlarıma ve kariyer hedeflerime göre özel olarak kişiselleştirilmiş” eğitim içeriği olduğunu bildiriyor. ” Benzer şekilde, Gallup’un Global Workplace Durumu raporu, öğrenme fırsatları sunan ve çalışanların kişisel gelişimini teşvik eden şirketlerin, iş güçlerinin katılım düzeyini artıracağını buldu. Bu bulguların açık davranışsal çıkarımları var: Çalışanlar öğrenmek için iyi sebepleri olduğunu hissettiklerinde, dikkatlerini vermenin, kritik bilgileri akılda tutmanın ve uygulamaya koymanın daha kolay olduğunu görecekler.
Çalışanlar arasında, siber güvenliğin kavrayamayacak kadar karmaşık veya teknik olduğuna dair yaygın bir yanlış algı var, ancak hiçbir şey gerçeklerden bu kadar uzak olamaz. İhlallerin çoğu insan unsurunu içerir ve bu olayların çoğu kişiselleştirilmiş bir siber güvenlik eğitim programı ile önlenebilir. Bu gerçek çalışanlar için net olduğunda, şirketi güvende tutacak siber güvenlik ilkelerini ve davranışlarını öğrenmek için zorlayıcı bir nedenleri olacaktır.
reklam