İnsan unsuru, son yıllarda veri ihlallerinin artmasının en büyük nedenlerinden biridir. Ve çoğu kuruluşta halihazırda bir düzeyde güvenlik farkındalığı eğitimi olmasına rağmen, çalışanlar kimlik avı saldırılarına maruz kalmaya devam ediyor veya en iyi güvenlik uygulamalarını takip etmemekten suçlu bulunuyor. Yalnızca kullanıcı eğitimi, sosyal mühendisliği ve kimlik avı dolandırıcılıklarını kesin olarak zayıflatabilir. Ne yazık ki, çoğu kuruluş, hedef kitlesinin eğitimden ne beklediğine, ne istediğine veya neye ihtiyaç duyduğuna odaklanmadan güvenlik eğitimini zorunlu bir onay kutusu egzersizi olarak görüyor.
Kullanıcı Deneyimi ile Güvenlik Farkındalığı Eğitimi Arasındaki İlişki Nedir?
Kullanıcı deneyimi, siber güvenlik farkındalık eğitiminin (SAT) tek ve gerçek para birimidir – çalışanların her eğitim oturumundan sonra edindiği olumlu, olumsuz veya kayıtsız histir. Bu deneyim, çalışanların gönüllü olarak meslektaşlarına eğitim önerdiği zaman katılım, öğrenme, dikkat ve ‘virallik’ üzerinde doğrudan bir etkiye sahip olabilir. Zengin bir kullanıcı deneyimi, kuruluş genelinde güvenlik zihniyetini, davranışları, normları ve tutumları şekillendirmeye yardımcı olabilir.
Güvenlik Eğitiminde İyi Bir Kullanıcı Deneyimi Yaratmak İçin Hangi Unsurlara İhtiyaç Vardır?
İyi bir kullanıcı deneyimi elde etmek kolay değildir. Eğitimin çeşitli bileşenlerine titizlikle dikkat etmeyi gerektiren kasıtlı bir çabadır. Yani, tüm paydaşların aktif katılımı ve eğitim süreçlerinin kullanıcı geri bildirimlerine göre sürekli olarak iyileştirildiği devam eden bir süreç. Aşağıda, kuruluşların SAT kullanıcı deneyimini iyileştirmek için üzerinde çalışması gereken bazı unsurlar yer almaktadır:
1. İçerik Kalitesi: Eğitimde içerik her zaman önemlidir. İçeriğiniz sıkıcı ve monotonsa veya bağlam, alaka ve yaratıcılıktan yoksunsa, bu kullanıcı deneyimini olumsuz etkileyecektir. Buna karşılık, kuruluşlar günlük manşetlerden alınan ve büyük veri ihlallerini ve milyonlarca dolarlık gasp anlaşmalarını anlatan güncel ve alakalı örnekleri kullanarak hikaye anlatma pratiği yapabilirler. Öğrenme sürecini daha etkileşimli ve kişiselleştirilmiş hale getiren araçları kullanmak da eğitim deneyimini önemli ölçüde artırabilir.
2. Eğitim Sıklığı: Eğitim oturumları çok uzun sürerse çoğu kişi yorulur ve dikkat etmeyi bırakır. Dahası, çalışanlar seyrek eğitimleri unutmaya eğilimlidir. Bu nedenle, kuruluşların düzenli aralıklarla eğitim düzenlemeleri ve sürelerini kısaltmaları önerilir. Çalışanlar içerikle daha fazla ilgiyle ilgilenecek ve daha iyi hatırlayacaktır.
3. Kullanıcı Merkezli Tasarım: Kullanıcı dostu bir eğitim portalı, kusursuz tek oturum açma işlevi (kullanıcıların kimlik bilgilerini tekrar girmesini önler), otomatik iş akışları ve hatırlatıcılar, çalışan eğitim ilerlemesinin gerçek zamanlı görünümü ve kimlik avı mesajlarını bildirmek ve karantinaya almak için basit bir tarayıcı düğmesi gibi teknoloji temas noktaları, genel kullanıcı deneyimini önemli ölçüde iyileştirebilir.
4. Gerçek Dünya Testi: Siber güvenlik tehditleri hakkında ders kitabı bilgisi edinmek ve bir siber güvenlik tehdidiyle karşılaşmak tamamen farklı iki şeydir. Kimlik avı simülasyon araçları kullanılarak, çalışanlar bu suçluları tespit etmeyi ve yayılmadan ve kuruluşa zarar vermeden önce bunları bildirmeyi öğrenmeleri umuduyla sahte kimlik avı saldırılarına maruz bırakılır. Simüle edilmiş kimlik avı egzersizleri ayrıca gerçek dünya tehditleriyle başa çıkma konusunda güven oluşturabilir.
5. Olumlu Güçlendirme: Çalışanlar siber güvenlik uzmanı değildir. Birçoğu güvenlik jargonunu kavramakta zorluk çekecektir. Kuruluşlar, hata yapan çalışanları azarlamamalı veya onlara saygısızlık etmemeli, empati göstermelidir. Bazı çalışanların bire bir koçluğa ihtiyacı olabilir. Bu ihtiyaçların farkına varmak, çalışanların güvenlik ve olayların ele alınması konusunda kendilerini daha rahat hissetmelerine yardımcı olurken eğitim deneyimlerini de iyileştirecektir.
6. Esneklik: Çalışanların ayrıca bitirmeleri gereken bir günlük işleri vardır. Çalışanların kendi zamanlarında ve kendi hızlarında eğitimlerini tamamlamalarına güvenin, sıkı teslim tarihleriyle onları aşırı strese sokmayın. Çalışanlar öğrenme konusunda daha fazla esnekliğe sahip olduklarında yeni prosedürleri ve kavramları anlamaya daha yatkın olurlar.
7. Oyunlar / Teşvikler: Eğitimin eğlenceli, işbirlikçi, ödüllendirici ve motive edici olamayacağını kim söylüyor? SAT kullanıcı deneyimini yükseltmek için, İK’nın yardımıyla güvenlik ekipleri, departmanlar arasında promosyonlar ve yarışmalar düzenleyebilir (örneğin, hangi ekip en fazla kimlik avı e-postasını tespit ediyor), tişört veya kahve kuponu gibi cömert hediyeler sunabilir, şirket toplantılarında iyi güvenlik eylemlerini vurgulayabilir ve İK/pazarlama oyun kitabından diğer etkinlikleri yürütebilir.
8. İletişim / Geri Bildirim: İletişim, ekip iş birliğinin temel bir bileşenidir. Yukarıdan aşağıya açık ve tutarlı iletişim, liderliğin siber güvenliğe olan bağlılığını gösterir. Dahası, iletişim asla tek yönlü bir yol değildir. Bir geri bildirim mekanizması kurarak ve sürekli iyileştirmeler yaparak, çalışanlar duyulduklarını ve değer gördüklerini hissederler, bu da olumlu duygular ve iyi bir kullanıcı deneyimiyle sonuçlanabilir.
İyi kullanıcı deneyimi, insanların nasıl düşündüğünü ve çalıştığını anlamakla başlar. Empati, anlayış ve geri bildirim önemli temel taşlarıdır. Kuruluşlar güvenlik farkındalığı programlarını oluştururken bu en iyi uygulamalara dikkat ederlerse, yalnızca daha iyi öğrenme sonuçları elde etmekle kalmaz, aynı zamanda kimlik avı ve sosyal mühendislik tehditlerine karşı dayanıklı sağlıklı bir güvenlik kültürü de geliştirirler.
Reklam