Çalışanlar kurumsal varlıkların korunmasında önemli bir rol oynamaktadır. Sürekli gelişen bir tehdit ortamıyla siber güvenlik farkındalığı eğitimi, iyi bir güvenlik kültürü oluşturmanın önemli bir bileşenidir.
Neden siber güvenlik farkındalık eğitimi?
2022’de kuruluşların %81’i, çoğunlukla kullanıcıları hedef alan kötü amaçlı yazılım, kimlik avı ve şifre saldırılarına maruz kaldı.
Ancak çalışanlar siber güvenlik farkındalığı eğitiminden geçse de organizasyon liderlerinin yarısı çalışanlarının hâlâ siber güvenlik konusunda bilgi sahibi olmadığına inanıyor. Bunun nedeni, etkisiz ve yeterince güçlendirilmeyen eğitim programları ve tutarsız siber hijyen uygulamaları olabilir. Ayrıca üretken yapay zekanın yükselişiyle birlikte kimlik avı e-postaları daha inandırıcı hale geldi ve tanınması çok daha zor hale geldi.
Etkili siber güvenlik farkındalığı eğitimi, çalışanların kimlik avı saldırılarını ve sosyal mühendislik planlarını tanımasına, kullanıcı adı ve parolayla ilgili en iyi uygulamaları uygulamalarına, güvenlik olaylarını raporlamasına ve sonuç olarak hassas verileri ve sistemleri korumasına ve kuruluşlarının bir fidye yazılımı saldırısının kurbanı olmasını engellemesine yardımcı olabilir.
Avrupa Birliği Siber Güvenlik Ajansı (ENISA), bir kuruluşun siber farkındalık programının aşağıdaki temel hedeflerini özetlemiştir:
- Siber güvenlik farkındalığını artırmak
- Siber güvenlik eğitimi ve kültürünün teşvik edilmesi
- Olaylara hazırlıklı olmak
- Siber güvenlik tehditleri ve ortamının anlaşılmasının artırılması
- Siber güvenlik kültürünün ve hijyenin iyileştirilmesi
- Test politikaları ve prosedürleri
Etkili siber güvenlik farkındalık eğitimlerinin sağlanması
Öncelikle çalışanların çalışma ortamlarında karşılaşabilecekleri çeşitli tehditler konusunda eğitilmesi gerekmektedir.
“Güvenlik farkındalığı sektöründe ‘kimlik avı bağlantıları’ hakkında çok konuşuyoruz, ancak çalışanlarınızın başka hangi siber tehditleri tespit etmesi gerekiyor? Odak noktası çoğunlukla ‘bağlantılar’ üzerinde olmuştur çünkü burası genellikle saldırının kötü amaçlı yazılıma veya sahtekarlığa dönüştüğü yerdir. Ancak çalışanların analiz edebilmesi gereken birçok başka ipucu var,” dedi Click Armor CEO’su Scott Wright, 2023’ün 3. Çeyreği CISO Güvenlik Farkındalığı Raporunda.
“Ayrıca USB (veya taşınabilir depolama cihazı – PSD) saldırılarına, telefon çağrılarına, sesli posta saldırılarına, kimlik avı SMS’lerine/metin mesajlarına, bağlantıları olmayan sosyal mühendislik e-postalarına ve hatta dahili anlık mesajlara da maruz kalabilirler.”
Güvenlik uygulayıcıları, tüm çalışanların teknolojiye ve onunla birlikte gelen çeşitli tehditlere aşina olmadığını anlamalı ve bir siber güvenlik farkındalık programı planlarken siber güvenlik bilgi düzeyini dikkate almalıdır.
Çalışanlara potansiyel tehditlerin gerçek hayattan örnekleri verilmeli, olası sonuçlar ve hızlı müdahalenin olumlu etkisi hakkında bilgi verilmelidir.
Olumluya odaklanın
Güvenlik olaylarını bildirirken çalışanlar utanmak yerine güçlenmiş hissetmelidir. Siber güvenliğin önemi konusunda eğitilmeleri, siber güvenliğin sadece çalışma ortamlarında değil, aynı zamanda özel yaşamlarında da değerli bir beceri olarak rolünün vurgulanması gerekiyor.
Amaç, siber tehditlere karşı korku aşılamak değil, eğitim ve farkındalık sağlayarak onlara beceri kazandırmaktır. Daha güvenli bir siber ortama katkıda bulunanların tanınması ve ödüllendirilmesi, olumlu bir siber güvenlik kültürünün geliştirilmesi, başarı ve katılım duygusunun teşvik edilmesi açısından hayati önem taşıyor.
Siber güvenlik farkındalığı eğitimi eğlenceli olmalı, basit bir dille sunulmalı ve çalışanın günlük çalışma rutinini en az düzeyde aksatmalı.
İyi bir siber güvenlik farkındalık programının aynı zamanda çalışanların rolüne bağlı olarak kişiselleştirilmesi de gerekir; bir olay durumunda farklı erişim izinleri farklı etkilere sahip olabilir.
Güvenlik farkındalığı yalnızca güvenlik veya BT ekipleri için geçerli değildir; kolektif bir organizasyonel sorumluluktur.