Theo Zafirakos, CISO, Newfoundland Security tarafından
Bir kuruluşun çalışanlarının güvenlik bilinci eğitim programlarına evrensel katılımı, uzun vadeli güvenliğini geliştirmek için esastır. Güvenlik bilincine sahip bir kültür oluşturmak, güvenlik bilinci eğitim programlarına katılımı geliştirmenin ilk adımıdır. Birçok şirket için zorluk, eğitim materyalleri kolayca sindirilebilir, ilgi çekici ve eğlenceli değilse, katılımın düşük olma eğiliminde olmasıdır.
Güvenlik bilinci eğitiminde, %90’ın altındaki katılımın kuruluş için riski artırdığı kabul edilir. Bu, üst düzey liderlikler ve yöneticiler de dahil olmak üzere çalışanları nasıl hedef alacağını bilmenin, onlara kuruluşu korumak için ihtiyaç duydukları beceri ve bilgileri öğretmek için çok önemli olduğu anlamına gelir.
Hedef Kitlenizi Belirleme
Alaka düzeyi, ilgi çekici güvenlik bilinci içeriğine sahip olmanın anahtarıdır. İlgili eğitim materyallerini üretmenin kestirme yolu yoktur; tek yol, hedef kitlenizi ve her gün maruz kaldıkları siber tehditleri belirlemek için zaman ayırmaktır. Çoğu kuruluşun hedef kitleleri birkaç temel gruba ayrılabilir:
- Yöneticiler – Yöneticiler ve Liderlik ekibi, güvenlik bilinci girişimlerini desteklemenin ve finanse etmenin önemini anlamak için güvenlik risklerinin farkında olmalıdır.
- Yöneticiler – Yöneticilerin güvenlik bilinci, elçiler ve güvenlik rol modelleri olarak hareket etme sorumluluğunu üstlenmelerini sağlamak için kritik öneme sahiptir.
- Bireysel Katkıda Bulunanlar – Katkıda bulunanlar, siber saldırılara karşı ilk savunma hattınızdır, bu nedenle çevrimiçi ortamda güvende kalmak için gereken en iyi uygulamaları ve davranışları benimsemeleri çok önemlidir.
- BT Güvenlik Ekibi – ITS ekibiniz, bilgi güvenliği en iyi uygulamalarınıza rehberlik etmeye ve ortamınızdaki ağ, sistemler ve uygulama güvenlik açıklarını yönetmeye yardımcı olacaktır.
İzleyici Başına Önerilen Konular
Eğitim konuları, bir kuruluşun ortamına özgü güvenlik risklerine bağlıdır. Bununla birlikte, tüm kuruluşlar için geçerli olan birkaç önemli konu vardır:
- Yöneticiler
Kuruluşunuzun karşı karşıya olduğu öncelikli riskler, mobil teknolojinin güvenli kullanımı, hassas bilgilerin güvenli bir şekilde ele alınması, yöneticileri hedef alan yaygın saldırılar ve dolandırıcılıklar ve güvenlik ve farkındalık uyum yükümlülükleri gibi konuları ele almayı düşünün.
- Yöneticiler
Tüm yönetici konularına ek olarak bilgi güvenliği ve yönetişimi, BT güvenlik ortamınız, önerilen güvenlik farkındalığı programı ve BT güvenlik kontrollerine genel bakış.
- Son kullanıcılar
Bilgi güvenliği ve mahremiyet, güvenlik temelleri (şifre oluşturma, e-posta kullanımı, kötü amaçlı yazılım gibi), internet kullanım temelleri (sosyal medya, güvenli tarama, bulut bilişim), tipik kimlik avı ve sosyal mühendislik teknikleri gibi konularla güvenlik tehditleri hakkındaki bilgileri artırmayı hedefleyin, siber saldırılar ve veri işleme.
- BT Personeli
Ortamınızdaki ağlar, sistemler ve uygulama güvenlik açıklarıyla ilgili en iyi güvenlik uygulamalarına ilişkin farkındalığı artırmak, ağ güvenliğine genel bakış, uygulama güvenliğine genel bakış, yaygın ağ ve uygulama saldırıları, sistem geliştirme yaşam döngüsü, güvenli kodlama, kriptografi ve anahtar yönetimini göz önünde bulundurun.
Kitleniz İçin Etkili Farkındalık Eğitim Materyalleri Oluşturma
Hedefler belirlendikten sonra, bir stratejiye ihtiyacınız var ve ilgi çekici eğitim materyalleri uygulamanız gerekiyor. Sürecin ilk adımı, günlük faaliyetleri ile birey ve izleyici ile ilgili eğitim konuları oluşturmaktır.
Örneğin, son kullanıcılarınız çok sayıda e-posta gönderen satış veya hesap temsilcileriyse, kimlik avı tehditleri ve kimlik avı simülasyonları hakkında eğitim materyallerini birleştirmek, kimlik avı dolandırıcılıklarını tespit etmek için onlara yardımcı rehberlik sağlayacaktır.
En önemli şey, ilgi çekici ve etkileşimli materyaller oluşturmaya odaklanmaktır. Pratikte bu şu anlama gelir:
- Çalışanların kolayca sindirebileceği küçük boyutlu mikro öğrenme modülleri oluşturun
- Seyircinin anlayabileceği sade bir dil kullanın
- Kitlenizle ana dillerinde iletişim kurun
- Kimlik avı simülasyonları gibi oyunlaştırma ve etkileşimli alıştırmaları dahil edin
Yönetici Katılımının Önemi
Bir kuruluşun güvenlik bilinci eğitim programlarını oluştururken yapabileceği önemli bir hata, yönetici katılımına öncelik vermemektir. Yöneticiler yalnızca siber güvenlik yatırımı ve kültürel değişimin değerli savunucuları olmakla kalmayıp, aynı zamanda siber tehditlerin hedefi olan son kullanıcılar olduklarından, bu gözetimin gerçekten olumsuz bir etkisi olabilir.
Üst düzey yöneticiler, kötü niyetli aktörlerin aradığı değerli verileri bulundurduklarından, kimlik bilgisi toplama kampanyaları yoluyla genellikle siber suçluların hedefi olurlar. Bu saldırıların kurbanı olurlarsa, bir kuruluşa verilen zarar çok büyük olabilir; bu nedenle, kuruluştaki herkesin eğitim programına dahil olmasını sağlamak çok önemlidir.
Başarıyı Görmek İçin Kitlenizi Tanıyın
İlgi çekici güvenlik bilinci eğitim programları oluşturmanın ve katılımı artırmanın kestirme bir yolu yoktur. Uygun programı oluşturmanın en iyi yolu, öğrendiklerinizi hedef kitlenize göre uyarlamaktır. Hedef kitlenizin kim olduğunu ve günlük olarak karşılaştıkları tehditleri bilmek, onlara ilgili öğrenme fırsatları sunmanıza olanak sağlayacaktır. Bu bilgiyle, organizasyonlarınızda güvenlik bilincine sahip bir kültür geliştirebilir ve kendilerini siber tehditlerden nasıl koruyacaklarını bilen siber kahramanlar oluşturabilirsiniz.
yazar hakkında
Theo Zafirakos, Terranova Security’nin CISO’su. Strateji, programlar, yönetişim, bilgi riski değerlendirmeleri ve Terranova Security uyumluluğu için bilgi güvenliğinin tüm alanlarından sorumludur. Terranova Security, 200’den fazla Ülkede ve 40’tan fazla dilde 10 milyondan fazla Eğitimli Siber Kahraman ile Siber Güvenlik Bilincinde dünya lideridir. Müşterilerimizin ölçülebilir sonuçlarla bilgi güvenliği farkındalık programlarını uygulamalarına ve yürütmelerine yardımcı olan Terranova’nın Profesyonel Hizmetler ekibine liderlik ediyor. Kullanıcıların belirli bir eylem gerektiren olayları tanımasına yardımcı olan programlar, uygun eylemin ne olduğunu bilir ve bu eylemi gerçekleştirmeye motive edilir. Theo’ya çevrimiçi olarak LinkedIn’de ve şirketin web sitesinde http://www.terranovasecurity.com adresinden ulaşılabilir.