Siber güvenlik farkındalığı eğitimi her zaman bir düzeyde riskle ilgili olmuştur. İster çalışanların ilk savunma hattınız olduğu (değildirler) ne de son savunma hattınız olduğu (işte böyle) fikrine katılın, çalışan davranışının bir organizasyonun karşı karşıya olduğu risktir. Bu ifade ister siber güvenlikten ister şantiye güvenliğinden bahsediyor olalım doğrudur, ancak geçen yıl şirketlerin risk ve çalışan eğitimi arasındaki bağlantı hakkında konuşma, düşünme ve buna göre hareket etme şekillerinde çarpıcı bir değişiklik görüldü.
Bu değişikliğin en güçlü itici güçlerinden biri, siber sigorta sağlayıcılarının siber güvenlik endüstrisindeki rolü olmuştur. Siber sigorta artık çoğu şirket için mal ve kaza sigortası kadar gerekli bir ürün olarak görülüyor. Ve siber sigorta şirketleri, riske dayalı bir ürün olan ürünleri için ücret talep ettiğinden, bu ürünün maliyeti ve dolayısıyla risk maliyeti, iş konuşması konu listesinin en üstüne fırladı.
Yeni Bir Hedef
Bugün, siber güvenlik farkındalığı eğitiminin amacı, eğitimli bir iş gücü oluşturmaktan çok, eğitimsiz bir iş gücünün riskini azaltmaktır. Bunlar aynı madalyonun iki yüzü gibi görünebilir, ancak kritik bir fark vardır: başarı nasıl gösterilir? Amaç eğitimli bir iş gücü oluşturmaksa, o zaman eğitim başarısını değerlendirmek az önce öğretilen dersle ilgili sorular soran testlerle yapılabilir. Anahtar, öğrencinin dersten bilgi alıp almadığını bulmaktır.
Öte yandan, amaç eğitimsiz bir iş gücünün riskini azaltmaksa, o zaman eğitim başarısının değerlendirilmesi, değişen davranışların gösterilmesi yoluyla yapılmalıdır. Sorun, öğrencinin bilgi edinip edinmediği değil, öğrencinin bu bilgiyi kuruluş için daha az riskli bir şekilde davranmak için kullanıp kullanmadığıdır. Basitçe söylemek gerekirse, çalışanların ne olduğu değil. Bilmek ama onlar ne Yapmak bu önemli.
Yeni/Eski Eğitim
Siber güvenlik farkındalığı eğitimi her zaman iki bölümden oluşan bir eğitim hizmeti olmuştur. Birinci kısım bilgi aktarımı, ikinci kısım ise davranış değişikliğidir. Yeni hedefler ve yeni konuşmalar bu temel yapıyı değiştirmez, ancak sürecin vurgusunu ve organizasyon genelinde nasıl düşünüldüğünü değiştirir.
Vurgu azaltılmış riske kayarken, dikkatler değişen çalışan davranışına çevrilir. O halde müşteriler, eğitim sağlayıcılarını, bir eğitim kursu boyunca çalışanların ilgisini nasıl çektiklerini veya çalışanların ilgisini nasıl tuttuklarını değil, davranışlarını nasıl değiştirdiklerini (ve bu değişikliği ölçtüklerini) tartışmaya zorlayacaklardır. Pek çok şirket, riskte istenen, ölçülebilir değişikliği ürettiği sürece, bir eğitim ürününün nasıl çalıştığını açıkçası umursamıyor.
Bazı eğitim sağlayıcılar değişimi fark etmeye başlıyor ve daha fazla değişiklik yolda. Eğitim evrimi sırasında, endüstrinin bulanık mesajlar, ürünü tanımlamanın yeni yollarını ve eğitim başarısını ölçmenin yeni yollarını görmesi muhtemeldir. Değişen gerçeklikten en iyi şekilde yararlanan müşteriler, siber güvenlik farkındalığı eğitiminin iki temel parçasının değişmediğini hatırlayanlar olacaktır — geçmişte en iyi sonuçları vermiş olan eğitim sağlayıcıların, bizim gibi sağlam bir başlangıç avantajına sahip olması muhtemeldir. geleceğe taşınmak