[By Perry Carpenter, chief evangelist and security officer at KnowBe4]
Tehdit ortamı, neredeyse her gün yeni saldırı vektörleri ve siber tehditlerin ortaya çıkmasıyla birlikte gelişiyor. Siber güvenlik teknolojisi de uzun bir yol kat etti; ancak güvenlik araştırmacıları, çoğu ihlalin kimlik avı gibi insan faktörleriyle ilgili olduğunu ve bunların zayıf güvenlik kararlarından ve çalışanların dikkatsiz davranışlarından kaynaklandığını ve mutlaka siber güvenlik araçlarının sınırlarından kaynaklanmadığını giderek daha fazla buluyor.
Gartner, güvenlik ekiplerinin güvenlik yatırımlarını hem teknoloji hem de insan odaklı unsurlar arasında dengeleme zamanının geldiğine inanıyor. Güvenlik farkındalığı programı belki de genel siber güvenlik karışımındaki en önemli, insan merkezli unsurdur. Etkili, insani bir savunma katmanı oluşturmaya yardımcı olabilecek beş temel önlemi inceleyelim.
1. İlgi Çekici Kullanın İçerik
Herhangi bir eğitim programının temel unsuru içeriktir. İnsanlar, hayal gücünü tetikleyen ve onları harekete geçmeye motive eden, ilişkilendirilebilir ve ilgi çekici içerik ve hikayeleri koruma eğilimindedir. İçerik konusunda herkese uyan tek boyutlu bir yaklaşım kullanmaktan kaçının. İçeriği farklı iş rollerine ve ilgili güvenlik olgunluk düzeylerine göre uyarlamaya çalışın. Zamanında hazırlanmış ve en son tehditlerle (ör. fidye yazılımı ve yok etme) uyumlu içerikleri yayınlayın; güncel olaylar veya diğer ilgi çekici konular (tatiller, vergi sezonu).
2. Liderlik Desteğini Kazanın
Liderlik desteğinin eksikliği, kuruluş çapında güvenlik mesajlarının iletilmesi çabalarını engelleyebilir. Diğer taraftan, en olgun güvenlik programlarına sahip kuruluşlar, en büyük liderlik desteğine sahip olan kuruluşlardır. Liderlik desteğini kazanmak için programınızın değerini yönetici ekibine gösteren kanıt noktalarına sahip olmak önemlidir. Güvenlik kültürünün genellikle yukarıdan aşağıya etkilendiği göz önüne alındığında, liderlik ekibinin tamamen katılımının programınız üzerinde önemli bir etkisi olabilir.
3. Sürekli Çaba Gösterin
Bir güvenlik farkındalığı programına yılda bir kez yapılan, kutuyu işaretleyen bir etkinlik olarak muamele edilmemelidir. Güvenlik ekipleri satış ve pazarlamadan ipuçları almalı ve sürekli olarak kampanya varlıklarını ve iletişimlerini geliştirmeye çalışmalı, güvenlik mesajlarını bağlamsal ve anlamlı şekillerde sunmalı ve çabalarında ısrarcı olmalıdır. Buradaki fikir sadece farkındalık oluşturmak değil, aynı zamanda kuruluş genelindeki çalışanlar arasında güvenlik zihniyeti ve davranışında olumlu bir değişiklik olana kadar mesajı güçlendirmektir.
4. Kimlik Avı Simülasyonlarını Dağıtın
Eğitim bir şeydir; iş başında eğitim başka bir şeydir. Güvenli bir ortamda şüpheli e-posta ve metin iletişimlerini tespit etme, bunlardan kaçınma ve raporlama konusunda değerli pratikler kazanmak için çalışanları gerçek dünyadaki siber tehditlerle karşılaşabilecekleri durumlara sokun. Kimlik avı simülasyonları, güvenlik ekiplerinin savunmasız çalışanları tespit etmesine ve onları anında eğitmesine olanak tanır. Bu, daha ilgi çekici ve kişiselleştirilmiş bir deneyim yaratmanın yanı sıra kas hafızasını da geliştirir.
5. Metrikler, Anketler ve Raporlama
Anketler kuruluşun çalışanların güvenliğe yönelik tutumlarını, görüşlerini ve duygularını anlamasına yardımcı olur. Mevcut programın izleyicide yankı uyandırıp uyandırmadığını veya ele alınması gereken boşluklar olup olmadığını değerlendirmeye yardımcı olurlar. Anket sonuçları, ilerlemeyi paydaşlara raporlamak, liderlik ekibine güven oluşturmak ve programınız için artan yatırımlar kazanmak açısından faydalıdır.
6. 70:20:10 Modelinden Yararlanın
Güvenlik ekipleri, öğrenmenin sınıftaki alıştırmalar sırasında tek bir noktada gerçekleşmediğini kabul etmelidir. Kullanıcıların program hakkında nasıl “hissettiklerini” dikkate almalı ve programı tasarlarken veya güncellerken uçtan uca kullanıcı deneyimini akılda tutmalıdırlar. 70:20:10 modeli aşağıdakilere yardımcı olabilir:
- Deneyimsel (%70): Deneyimsel eğitim, kimlik avı simülasyonlarının yanı sıra diğer “iş başında” deneyimleri içeren bir eğitim şeklidir. Aynı zamanda insanların iş arkadaşlarının güvenlik sorunlarını nasıl ele aldıklarını ve güvenlik olaylarını ne sıklıkta rapor ettiklerini gördüklerinde özümsedikleri sosyal ve kültürel yönleri de içerir. İş başındaki deneyimleri daha ilginç ve ilgi çekici hale getirmeyi düşünün. Örneğin oyunlar ve yarışmalar; ücretsiz sinema biletleri gibi teşvikler ve kimlik avı uyarı butonunun veya güvenlik ekibine bir yardım hattının yerleştirilmesi gibi olası dolandırıcılıkların rapor edilmesini kolaylaştıran araçlar.
- Gayri resmi (%20): Gayri resmi eğitim, e-posta haber bültenleri, videolar ve çevrimiçi röportajlar izleme, intranette veya anlık mesajlaşmada bir güvenlik kanalı yayınlama, kimlik avı farkındalığına yönelik bir sohbet robotu kullanma vb. gibi şeyleri içerebilir. Kullanıcıların, kendilerini kötü hissetmeden etkileşime geçebilecekleri tüm farklı yolları düşünün. himaye ediliyorlar.
- Resmi (%10): Bu, sınıf eğitimi ve öğrenme yönetim sistemi (LMS) modüllerinin bir kombinasyonunu veya çevrimiçi eğitimi içerebilir. Slayt sunumlarının kullanılması sıradan ve çok pasif olarak değerlendirilebilir, bu nedenle resmi kullanıcı eğitimine yalnızca %10 zaman ayırın.
Hedef Kitlenizle Daima Olumlu Bir Ton Kullanın
Güvenlik farkındalığı programları hiçbir zaman amacın kullanıcıları başarısızlığa uğratmak, onları kandırmak veya kötü duruma düşürmek olduğu hissini vermemelidir; eğer böyle hissederlerse güvenlik ekibinin bir düşman veya engel olarak algılanması mümkündür. Kimlik avı programınızın, yansıtmak istediğiniz kuruluş kültürünü, değerlerini ve tarzını doğru bir şekilde yansıttığından emin olun. Çalışanların başarısız olduklarında kendilerini yargılanmış veya tehdit edilmiş hissetmelerine neden olacak bir üslup kullanmaktan kaçının. Kimlik avı testinin amacı, gerekli şüpheciliği ve refleksleri güvenli bir şekilde oluşturmalarına olanak sağlamaktır.
AYazar hakkında
Perry Carpenter ortak yazarıdır. “Güvenlik Kültürü Başucu Kitabı: Riski Azaltmak ve İnsani Savunma Katmanınızı Geliştirmek İçin Yönetici Kılavuzu.” [2022, Wiley] Konuyla ilgili ikinci Wiley kitabı yayını. O, baş müjdeci ve güvenlik görevlisidir. KnowBe4, dünya çapında 65.000’den fazla kuruluş tarafından kullanılan güvenlik farkındalığı eğitimi ve simüle edilmiş kimlik avı platformları sağlayıcısı.
Reklam