Siber saldırıların üçte ikisinden fazlası (%68), insan zaaflarını hedef almak üzere tasarlanmış insan hatası veya sosyal mühendislik saldırısının bir sonucudur. Sonuç olarak, güvenlik farkındalığı eğitimi, bu insan kaynaklı siber güvenlik hatalarıyla başa çıkmada gerekli bir bileşen haline gelmiştir.
Bununla birlikte, güvenlik liderlerinin %84’ü, %98’i iş gücünde bir tür güvenlik farkındalığı eğitimi (SAT) yürütmesine rağmen kuruluşlarının kimlik avı saldırılarının kurbanı olduğunu bildiriyor. Bu, güvenlik eğitim programlarının ya yetersiz kaldığı ya da istenen sonuçları vermediği anlamına geliyor. Bunun birkaç nedeni olabilir:
- İçerik son derece sıkıcı, tekrarlayıcı, ilgi çekici değil veya güncel değil.
- Program sadece “kutuyu işaretlemek” veya uyumluluk gerekliliklerini karşılamak için tasarlanmıştır.
- Program herkese uyacak şekilde tasarlanmıştır.
- Eğitim formatı çalışanları gerçek dünya senaryolarına hazırlamıyor.
- Güvenlik programı sadece farkındalığı artırmaya odaklıdır, davranışları değiştirmeye değil.
BT Liderleri Güvenlik Farkındalığı Eğitimini Nasıl Daha Etkili Hale Getirebilir?
Aşağıda kuruluşların güvenlik farkındalığı programlarından daha fazla değer elde etmelerine yardımcı olabilecek ipuçları yer almaktadır:
1. Katılım Oranlarından Çok Sonuçlara Odaklanma
Unutmayın, “güvenlik farkındalığı” yanlış bir adlandırmadır. Birinin farkında olması, belirli bir şekilde davranacağı anlamına gelmez. Hız yapmanın öldürücü olduğunu biliyoruz, ancak yine de yapıyoruz. Benzer şekilde, çalışanları siber güvenlik riskleri konusunda bilinçlendirmek önemli bir adımdır, ancak kuruluşların farkındalığın ötesine geçmesi de kritik öneme sahiptir. Eski eğitim “etkinlik odaklıdır” – katılım oranları veya tamamlanma oranları konusundaki endişeler yeterli olmayacaktır. Çalışanların tutumlarını, algılarını ve davranışlarını ölçmek, boşlukların nerede olduğunu belirlemek ve eğitimden sonra, zaman içinde gelişmeleri ölçmek istersiniz. Çalışanların ne sıklıkla riskli şeyler yaptığını veya kimlik avı dolandırıcılıklarına kandığını ve bu davranışların eğitime katıldıktan sonra gerçekten değişip değişmediğini ölçmek istersiniz.
2. Kişisel İhtiyaçlara Göre Eğitimi Kişiselleştirin
Çalışanlar homojen değildir; farklı kişilikleri, beklentileri, güvenlik yeterlilikleri ve öğrenme yetenekleri vardır. Bazı kişileri eğitmek daha fazla zaman ve sabır gerektirebilir. Bazı çalışanların kötü amaçlı ekleri açma, yetkisiz yazılım indirme ve protokolleri ve politikaları ihlal etme geçmişi olabilir. Bu tür kişiler bire bir koçluğa ihtiyaç duyabilir. Bazı çalışanlar kimliğe bürünme veya sosyal mühendislik saldırılarına karşı daha fazla risk altında olabilir (örneğin, liderlik ekipleri, hesaplar ve finans ekipleri). Kötü amaçlı faaliyetler, birleşme ve satın almalar ve ürün sürümleri gibi belirli durumlarda artabilir. Kayıtsızlığı önlemek için çalışanların doğru şekilde, doğru zamanda ve doğru miktarda eğitilmesi ve riskler konusunda hatırlatılması önemlidir.
3. Gerçek Dünya Simülasyonlarını ve Gerçek Zamanlı Öğretimi Kullanın
Geleneksel sınıf içi eğitim biçimleri standarttır, ancak çalışanları gerçek dünyadaki dolandırıcılıklara karşı gerçekten hazırlamak için gerçek dünyadaki durumları deneyimlemeleri gerekir. Kimlik avı simülatörleri, çalışanlara sosyal mühendislik kırmızı bayraklarını belirlemeyi ve bu olayları bildirmek için kas hafızalarını eğitmeyi öğretir. (Çalışanların %52’si kimlik avı e-postalarını bildirmez.) Bu tür araçlar ayrıca kuruluşların ayrıntılı kimlik avı performans verilerini toplamasına ve izlemesine ve daha fazla eğitime ihtiyaç duyabilecek çalışanları belirlemesine yardımcı olur. Çalışanlar bu riskli eylemleri gerçekleştirdiği anda gerçek zamanlı olarak içgörüler ve dürtmeler sağlayabilen araçlar veya yazılımlar kullanın. Bu tür gerçek zamanlı öğretim yalnızca ihlalleri önlemekle kalmaz, aynı zamanda çalışanları bazı eylemlerin neden işaretlendiği ve bunun yerine ne yapmaları gerektiği konusunda da eğitir.
4. Eğitim İçeriğini Eğlenceli ve Etkileşimli Hale Getirin
Eğitim içeriği ciddi, sıkıcı veya monoton olmak zorunda değil. Dikkat süreleri sınırlıdır ve çoğu çalışanın kısa süreli hafızası vardır. Ayrıca her yıl aynı eğitim gündemini gözden geçirmek yorucudur. Doğru içeriği oluşturmak, doğru ortamı kullanmak ve iletişim yaklaşımlarında yaratıcı olmak için çaba harcamak gerekir. Program yöneticileri pazarlamacılar gibi düşünmeli ve eylemlerini ve iletişimlerini bir pazarlama planı yürütüyormuş gibi planlamalıdır. Eğitimi sunduğunuz kitle için daha bağlamsal ve alakalı hale getirin; hikaye anlatma pratiği yapın, uzun süren bir oturum sunmak yerine küçük lokmalık eğitimler kullanın; oyunlaştırmayı kullanın, teşvikler sunun, yarışmalar düzenleyin, en iyi performans gösterenleri ödüllendirin ve öne çıkarın.
5. Geribildirimi Sürekli Olarak Dahil Edin ve Uyarlayın
Güvenlik farkındalığı, bir değişim yönetimi girişiminden başka bir şey değildir. Çaba, ısrar ve zaman gerektirir. Güvenlik eğitimi aynı zamanda uyarlanabilir olmalıdır – eğitim sonuçları ve çalışan geri bildirimleri, eğitimin çalışan ihtiyaçlarına göre daha da geliştirilmesi veya uyarlanması için kullanılmalıdır. Amaç, güvenliği zorlamak değil, çalışanların siber güvenliği nasıl hissettiğini, gördüğünü ve algıladığını etkilemektir. Böyle bir değişim kibir veya ceza ile mümkün değildir. Çalışanlar motivasyonsuzsa, talimatları veya önerileri görmezden gelirler veya daha kötüsü, buna karşı hareket ederler.
Özetlemek gerekirse, bir kutucuk işaretleme egzersizi asla çalışan davranışlarını veya zihniyetini değiştiremez. Bunun yerine, kuruluşlar eğitim programlarını çalışan ihtiyaçları ve kurumsal riskler etrafında düzenlemelidir. Gerçek dünya simülasyonlarından ve gerçek zamanlı öğretim yöntemlerinden yararlanın, eğitimi daha ilgi çekici ve eğlenceli hale getirin. Katılım istatistikleri yerine gerçek sonuçlara odaklanın. Bu, daha güvenli, dayanıklı bir iş gücünün geliştirilmesine katkıda bulunacak ve zamanla olumlu bir siber güvenlik kültürü oluşturacaktır.
