Bu Yeni Yıl kararları sizin için nasıl çalışıyor? 2023 şu anda oldukça yol alırken, yıl için en iyi niyetlerinizin çoğu zaten ayarlanmış, ertelenmiş veya tamamen terk edilmiş olabilir. Sonuçta sen sadece insansın.
Genellikle çalışanların siber güvenlik eğitimi ile aynıdır. Birçok kuruluşta personelin yılda bir veya iki kez bir eğitim kursunu tamamlaması gerekir. İçerik tipik olarak çok kurumsaldır ve anlatım nispeten geneldir. Bu oturumlar genellikle kısa bir süre içinde pek çok konuyu ele alacak, yaygın siber güvenlik risklerini açıklayacak, kurumsal politikaları sunacak ve verileri ve sistemleri güvende tutmaya yönelik en iyi uygulamaları vurgulayacaktır.
Oturum iyi tasarlanmışsa, ilgi çekici bir şekilde sunulmuşsa ve çalışanlar tüm dikkatlerini oturuma vermişse – ki bu zaten pek çok “eğer” demekti – o zaman katılımcılar yeni buldukları bilgileri kullanmak için en iyi niyetle ayrılabilirler. . Ama çok geçmeden, çalışma hayatının baskıları ya da eski moda unutkanlık başlar ve kararlılıklarını baltalar. Aynı eski kötü alışkanlıklara hızla kayarlar, hızlı çalıştıkları için daha az dikkat ederler, aynı anda üç şeyi yapmaya çalışırlar ve sonuç olarak toplum mühendisliği girişimlerine daha duyarlı hale gelirler.
Bu nedenle, 2023’te, iş gücümüzün kötü adamların önüne geçmesine yardımcı olacaksak, sadece periyodik çevrimiçi siber güvenlik eğitiminden çok daha ileri gitmemiz gerektiğini düşünüyorum. Daha yeni, daha iyi bir yaklaşıma ihtiyacımız var.
atomik alışkanlıklar
Bunu göz önünde bulundurarak, yakın zamanda tekrar ziyaret ettim. Atomik Alışkanlıklar, James Clearbir numara New York Times dünya çapında satılan 10 milyon kopya ile en çok satanlar. Yazar kitabında, gerçek dönüşümün davranışta düzenli küçük değişiklikler yapmanın bileşik etkisinden geldiğini savunuyor. Bunları ‘atomsal alışkanlıklar’ olarak adlandırıyor.
Bir CISO olarak, bu yaklaşımın kurumsal siber güvenlikle nasıl iyi çalışabileceğini görüyorum. Tabii ki, periyodik eğitim oturumlarının hala yeri olabilir, ancak bir siber farkındalık kültürü ancak çalışanlar doğru yönde düzenli, zamanında dürtmelerle en iyi uygulamaları takip etmeye ve en iyi uygulamalara bağlı kalmaya teşvik edildiğinde gelişebilir.
Peki bu neye benzeyebilir? Benim için güvenlik hatırlatıcıları, uyarıları ve eğitimleri günlük iş faaliyetlerine yerleştirmekle ilgili. Ne de olsa, Google Docs veya Microsoft Word kullandığınızda, içerik önerilerinin yanı sıra yazım ve dilbilgisi istemleri alırsınız. E-posta kullandığınızda, spam olabilecek veya şüpheli bağlantılar içerebilecek iletilere karşı uyarı alırsınız.
Bu yaklaşım çok daha ileri gidebilir. Çoğu SaaS ürününde zaten bu tür istemler ve korumalar vardır; kullanıcılar, belirli bir isteği tamamlamalarının neden engellendiğini açıklayan bir açılır pencere alabilir veya belirli bir görevi gerçekleştirmek için ek bir doğrulama yöntemiyle kimliklerini doğrulamaları istenebilir.
CISO’lar olarak, bu yeteneği ürünlerine entegre etme konusunda kilit yazılım satıcılarımızı sorumlu tutmalıyız. Aynı zamanda, yerleşik uygulama ve hizmetlerin benzer düzeyde koruma ve çalışan eğitimi sunmasını sağlamalıyız.
Aynı zamanda, ne kadar küçük olursa olsun güvenlik olaylarının çalışanlar için öğrenme fırsatları haline gelmesi için olay izleme söz konusu olduğunda oyunumuzu geliştirmemiz gerekiyor. Örneğin, hassas dosyaları yetkisiz cihazlara yüklemek, güvenli olmayan Wi-Fi ağlarına bağlanmak veya kurumsal belgeleri depolamak için onaylanmamış bulut uygulamalarını kullanmak gibi riskli davranışları tespit edebilmeliyiz. Her durumda, yaklaşımımız çalışanı eylemleri konusunda uyarmalı ve davranışlarının risklerini anlamalarına yardımcı olmalıdır: ‘İşte bu yüzden yaptığınız şey güvensiz ve bunun yerine bu şekilde ilerlemelisiniz.’
Doğru analiz ve raporlama yaklaşımlarıyla, güvenlik kontrollerimizin etkinliğini değerlendirmek, iyileştirme alanlarını belirlemek ve çalışanları doğru yolda tutmak için herhangi bir iş akışının optimum noktalarına yeni öğrenme fırsatları yerleştirmek için dikkatsiz veya kazara davranışlarla ilgili verileri de kullanabiliriz.
davranış değişikliği
Bu yaklaşımın zarafeti, istenmeyen alışkanlıkları hedef alma ve gerçek bir zarar vermeden önce düzeltme potansiyeline sahip olmasıdır. Periyodik öğrenmenin yapmayacağı şekilde çalışanların zihninde siber farkındalık ihtiyacını taze tutar. Hatırlatıcılar, en çok ihtiyaç duyan çalışanları hedef alabilir, kötü alışkanlıklar gözlemlendiğinde düzeltmeler ve hatırlatmalar sunar ve davranışları değişene kadar bunu yapmaya devam eder.
Temel bilgileri, çoğu halihazırda sunulan bilgilerden haberdar olabilecek çalışanlara periyodik olarak iletmekten büyük bir adımdır. Diğer çalışanlar bu oturumlar aracılığıyla temel bir bilgi düzeyine ulaşabilirler, ancak muhtemelen bu bilgileri sürdüremeyeceklerdir.
Doğru yöne yönelik düzenli küçük itmeler, siber farkındalık söz konusu olduğunda doğru tonu belirlemenin daha iyi bir yoludur: en iyi güvenlik uygulamaları, işi yavaşlatmayı amaçlayan bir yük değildir, her çalışanın kurumsal verileri ve sistemleri güvende tutma sorumluluğunun bir parçasıdır.