‘İnsanlar en zayıf halkadır’ uzun yıllardır BT güvenlik topluluğunun nakaratı olmuştur ve sosyal mühendislik saldırılarının giderek daha belirgin ve karmaşık hale gelmesiyle birlikte, bir kuruluşun çalışanları en büyük güvenlik risklerinden biri olmaya devam edecektir.
Buna rağmen, bu temel savunma hattını eğitmek, uyumluluğa dayalı bir odaklanma, toplum mühendisliğinin tehlikelerini özetleyen genel, kullanıma hazır kurslar kullanan bir ‘onay kutusu’ egzersizi ve bunun nedeni hakkında farkındalık yaratmak için çok az şey dahil etme eğiliminde olmuştur. eğitim alınması gerekmektedir. Belki de şaşırtıcı olmayan bir şekilde, en büyük zorluklardan biri, ortalama bir sistem kullanıcısına, çevreyi olduğu gibi savunmada kilit kolaylaştırıcı değil, genellikle bir rahatsızlık olarak görülen bu siber güvenlik koçluğunu tamamlamaktır.
Risk temelli bir yaklaşım
Ancak 2022, daha dengeli bir “insan riski” yaklaşımı benimsemek için eğitim ve farkındalığın gelişmeye başladığını gördü. Bu, insanların kimlik avı e-postalarına ve İş E-postası Ele Geçirme (BEC) dolandırıcılıklarına tıklama riskinin önemli olduğunu ve bunu diğer kurumsal risklerle aynı şekilde yönetmek için hedeflenen düzeltme ve hafifletici kontroller uygulanarak daha fazlasının yapılması gerektiğini kabul eder.
Bir odak noktası, davranış değişikliği alanıdır. Bir kişinin bir siber güvenlik eğitim modülünü tamamlayıp tamamlamadığını göstermek mümkün olsa da, birkaç güvenlik aracı, kişinin her gün karşılaştığı riski azaltmak için dikkat edip etmediğini ve aktif olarak daha akıllı kararlar alıp almadığını gösterebilir. Davranışı değiştirmek genellikle farklı bir yaklaşım gerektirir – kilit noktaların korunmasını ve bunlara göre hareket edilmesini sağlamak için sık aralıklarla tekrarlanan hedefli eğitimi içeren bir yaklaşım. (Bu, kullanıcıyı sürekli hatırlatıcılarla veya uzun alıştırmalarla aşırı yüklemeden yapılmalıdır – her ikisi de göz ardı edilebilir.)
Tipik olarak, İK, finans ve BT desteği gibi iş alanları, gizli bilgilere erişimleri veya uygulamalara ve süreçlere ayrıcalıklı erişimleri olduğundan, siber güvenlik eğitiminde en çok dikkati çeken konulardır. Ancak daha gelişmiş bir yaklaşım, işin tüm bölümlerini gözden geçirmektir; olay raporlarını analiz etmek, risklerin nerede gerçekleştiğini gösterecek ve eğitim tamamlama oranlarının yanı sıra kurstan sonra yapılan kısa testlerden alınan puanlar, insanların nerede mücadele ettiğini gösterecek. Tehdit ortamı ve bunun zaman içindeki değişimi de dikkate alınmalıdır çünkü bu, personel bilgisini ve farkındalığını geliştirmek açısından nereye odaklanılacağını gösterecektir.
Daha da ileri giderek, eğitim, belirli bir iş rolünde mevcut olan risklere ve bu roldeki kişinin riske atılması durumunda iş üzerindeki etkisine göre derecelendirilmelidir. Örneğin, sunuculara, veritabanlarına veya uygulamalara ayrıcalıklı erişimi olan bir çalışanın eğitimi (ve bu eğitimin test edilmesi), BT varlıklarına erişimi olmayan birininkinden daha katı olmalıdır; bunu etkili bir şekilde yapmak için, varlıkların risk profiline dayalı olarak, eğitim sunumunun kimlik sağlama ile bir miktar uyumlu hale getirilmesi gerekir.
Eğitim araçları
Konu içeriğe gelince, güvenlik olaylarının simülasyonu artık eğitim ve bilinçlendirme programlarının temel dayanağı ve kuruluşların risklerini anlamalarına yardımcı olan önemli bir bileşen. Bunlar tipik olarak, bireylerin şüpheli bir şey aldıklarında nasıl tepki verdiklerini ölçmek için çok değerli olan kimlik avı simülasyonları biçimini alır.
Diğer birçok öğrenme alanında giderek daha popüler hale gelen oyunlaştırma, siber güvenlik eğitimini daha eğlenceli ve ilgi çekici hale getirmenin bir yoludur; çalışanların bir felaket senaryosu canlandırmasına olanak sağlamak, bir saldırının veya ihlalin baştan sona nasıl görünebileceğini görselleştirmelerine yardımcı olarak güvenlik önlemlerinin önemini gösterebilir.
Kuruluşların uyguladığı diğer başarılı ve yaratıcı eğitim yöntemleri, çalışanların ilgili TV programlarını (Mr Robot gibi) izlemelerini sağlamak ve güvenlik eğitimini kendilerine ait bir mini TV dizisine dönüştürmektir. Üst düzey yöneticiler için bir tarafın saldırgan, diğerinin savunma görevi yaptığı kolaylaştırılmış ‘savaş oyunu’ oturumları da insanların bazı teknikleri ve zorlukları anlamalarına yardımcı olmak için iyi bir yoldur. Anahtar, izleyiciyi tanımak ve onları meşgul etmek için neyin işe yarayacağını bilmek.
Bir kuruluşun kültürünü ve insanların coğrafi olarak nerede yerleşik olduklarını kabul etmek de önemlidir. İşletmenin bazı bölümleri, sunulan eğitim türlerine farklı tepkiler verebilir. Örneğin, oyunlaştırma veya liderlik tablolarının tanıtılması, işletmenin bir bölümünde büyük bir hit olabilir, ancak bir başkası tarafından alay konusu olabilir.
kişisel yap
Güvenlik eğitimi ve bilinçlendirme faaliyetinin önemli bir unsuru, çalışanların şirketi güvende tutma sorumluluğunun iletilmesi ve orada gerçek bir tehdit olarak algılanmalarının sağlanmasıdır. İçeriğin, hedef kitleye ve rolleri ve sektörle ilişkili risk düzeyine uygulanabilen gerçek hayattan örnekler sağlaması gerekir. Bir saldırının hem çalışanlar hem de kurum üzerinde yaratabileceği etkiyi vurgulamak, ‘duygusal’ bir kanca sağlar ve insanları en başta kurban düşmekten kaçınmak için neler yapabileceklerine bakmaya teşvik eder.
Kendi bilgilerini işlerken davranışlarını değiştirmeleri için çalışanları kişisel bağlamda siber risk konusunda eğitmek, muhtemelen işyerindeki eylemleri üzerinde de olumlu bir etkiye sahip olacaktır.
Devam eden bir süreç
Çoğu insan günlük görevlerinde siber güvenlikle açıkça ilgilenmez, bu da becerilerin ve gerçeklerin akıllarında kalmayabileceği anlamına gelir; Bu nedenle eğitimin devam eden bir süreç olması gerekir. KnowBe4 gibi entegre araçların kullanışlı olduğu yer burasıdır; platform, kuruluşların kuruluş çapında periyodik olarak simüle edilmiş kimlik avı saldırıları göndermesine olanak tanıyarak çalışanların kimlik avı konusundaki farkındalıklarını ve buna tepkilerini test eder. E-postalar, çalışanların karşılaşabileceği herhangi bir tehdidi taklit edecek şekilde düzenlenebilir, ayrıca personeli e-posta arayüzlerinde saldırıyı bildirme sürecinden geçmeye teşvik eder, böylece nelere dikkat edilmesi ve bununla nasıl başa çıkılacağı konusunda fiziksel bir tazeleme sağlar.
havuç yapışmaz
Başarılı güvenlik bilinci eğitiminin anahtarı, tüm personeli genel yolculuğa dahil etmektir; bu yaklaşıma önemli bir katkı, kimlik avı e-postalarında en düşük tıklama oranına sahip ekipler için ikramiyeler veya hediyeler gibi siber saldırıya dayalı riski azaltmaya yönelik teşviklerdir. veya gerçek kimlik avı girişimlerini veya şüpheli davranışları doğru bir şekilde tespit eden çalışanları herkesin önünde övmek. İşletme içinde ‘güvenlik şampiyonları’ yaratmak, istek uyandıran bir hedef sağlar ve eğitimde en iyi performans için bölümler veya yerler arasındaki rekabet faydalı olabilir.
Ancak cezalandırıcı bir yaklaşımdan kaçınmak önemlidir; birisi bir simülasyon testinde (veya başka herhangi bir eğitim modülünde) başarısız olursa, mesajın destekleyici ve eğitici olması gerekir. İnsanları aptal hissettirmek, gücenmeye, daha fazla eğitim alma isteksizliğine ve potansiyel olarak tekrar utanma korkusuyla gelecekteki olayları bildirme konusunda isteksizliğe yol açar.
Güvenli bir kültür
Büyük ve küçük kuruluşlar siber saldırılara maruz kalmaya devam ederken, korunma ihtiyacı konusunda hiç şüphe yok. Teknoloji birçok cevaba sahiptir, ancak her biri kötü oyuncuları dışarıda tutma rolünü anlayan bilgili ve ilgili çalışanlarla güçlendirilmelidir. Bu, siber güvenlik eğitimi taahhüdünün yanı sıra, eğitimin günümüz kurumlarının ihtiyaçlarını daha iyi karşılayacak şekilde geliştiğini ve güvenlik farkındalığını kurum kültürünün bir parçası haline getirmeye yardımcı olduğunu görme arzusunu gerektirir.