Bir şirket bir zamanlar tüm çalışanlarına (yaklaşık 500 kişi) 650 dolarlık bir tatil ikramiyesinden bahseden bir e-posta gönderdi. Bonusu almak için bir bağlantıya tıklamaları ve kişisel bilgilerini içeren bir formu doldurmaları istendiğinde çalışanlar, e-postanın bir kimlik avı simülasyonunun parçası olduğu konusunda bilgilendirildiklerinde şaşırdılar ve formu doldurarak testi geçemediler. Çalışanların ikramiye almak yerine zorunlu güvenlik farkındalığı eğitimi almaları zorunlu kılındı.
Bu nasıl olduğuna dair bir örnek Olumsuz insanları eğitmek.
“Bu önemli Farkındalık uzmanı ve şu anda Arctic Wolf’un stratejiden sorumlu başkan yardımcısı olan Jason Hoenich, “Birçok insan için para çok fazla” diyor. “Gerçekten kalpsiz. Oluşan hasarın telafisi zor.”
Hoenich, buradaki sorunun güven olduğunu söylüyor. Bunu çalışanlarınız arasında kaybettiğinizde, farkındalık eğitiminin temel amacı olan davranışları değiştirme umudu da kaybolur. Kötü taktiklere dayanan iyi niyetli eğitim programları her türlü kötü sonucu doğurabilir.
Farkındalık eğitimi sağlayıcısı Wizer’ın kurucusu Gabriel Friedlander, güvenlik ekibinin, şüpheli bir şey fark eden veya bir hata yaptığını düşünen insanların kendilerine özgürce yaklaşabileceği güvenli bir ortam oluşturması gerektiğini söylüyor. “Bu durum tam tersiydi” diye ekliyor.
‘Kutuyu İşaretle’ Eğitimi
Biogen’de güvenlik farkındalığı programları yürüten Julie Rinehart, birçok kuruluşun bir farkındalık eğitim programı hazırlarken benimsediği uyumluluk odaklı yaklaşımın hatalı olduğunu söylüyor. Pek çok programın, yıllık bilgisayar tabanlı eğitime ve kimlik avı simülasyonlarına dayanan, yalnızca onay kutuları olarak başladığını ve çok daha fazlasına dayanmadığını söylüyor.
Rinehart, “Bir güvenlik farkındalığı programı için bu genel bakış açısının sürdürülmesi, kaçırılan büyük bir fırsattır ve uzun vadeli davranış değişikliği veya etkileşimle sonuçlanmayacaktır” diyor. “Güvenlik farkındalığını daha çok insanların satın alamayacak kadar meşgul olduğu ancak tüketmesi gereken bir ürünü satan bir pazarlama kampanyası olarak düşünmeyi seviyorum.”
Rinehart’a göre bu, izleyici analizini içeren stratejik bir yaklaşım anlamına geliyor. Hedef kitlenin bilgilerini, davranışlarını ve motivasyonlarını anlamanın etkili güvenlik farkındalığı programları tasarlamak için şart olduğunu söylüyor. Hedeflenen farkındalık için eğitimi segmentlere ayırmanın ilk adımı olarak kitle analizine güveniyor. Analizi, diğer faktörlerin yanı sıra mevcut bilgi düzeyini (aşırı iletişimi önlemek için), varsayımlara karşı gerçek gözlemlenen davranışı ve son kullanıcıyı neyin motive ettiğini içerir.
Reinhart, “Bu adım, çok reaktif siber güvenlik kuruluşlarında kolayca gözden kaçırılabilir, ancak programın son derece stratejik olmasını sağlayacaktır” diyor.
Friedlander, uyumluluk odaklı bir zihniyetin, kuruluşların çalışanlara güvence altına alınması gereken başka bir şey olarak baktığı anlamına geldiğini söylüyor. Bu algı gerçekçi olmayan beklentilere yol açar ve kuruluşların anlamlı davranış değişikliği sağlamak yerine yalnızca tamamlama oranlarına odaklanmalarına neden olabilir.
“Güvenlik farkındalığı genellikle, uyumluluk %100 tamamlanma oranı gerektirdiği için zorlanır. Ancak tek hedef bu olduğunda, hatırlatıcı gönderme, yöneticilerle konuşma ve çalışanları eğitimi bitirmeye sürükleme oyununa dönüşür. davranışları değiştirme konusunda önemli bir konuşma” diyor.
Kimlik Avı Simülasyonunun Tuzakları
Kimlik avı simülasyonları, güvenlik farkındalığı programlarının yaygın bir bileşenidir ancak düzgün bir şekilde yürütülmezse kolayca geri tepebilir. Sahte ikramiye örneğine ek olarak Hoenich, empatiden yoksun ve çalışanları eğitmek yerine kandırmaya odaklanan simülasyonlara karşı da uyarıyor. Bu tür simülasyonlar çalışanlar ile güvenlik ekipleri arasındaki güveni zedeliyor ve programın hedeflerine engel oluyor.
“Eğitim yerine ‘yakaladım’ anlarına odaklanan kimlik avı simülasyonları bir güvensizlik ve endişe kültürü yaratabilir” diyor. “Çalışanlar güvenlik ekibine karşı temkinli davranıyor ve olayları bildirme veya gelecekteki eğitim girişimlerine katılma olasılıkları azalıyor.”
Rinehart bunun nasıl olabileceğini biliyor ve farkındalık kariyerinin başlarında kimlik avı simülasyonlarını uygulama konusundaki ilk deneyiminin, başlangıçta çalışanların hedef alındığını ve savunmaya geçtiğini hissetmesine yol açtığını söylüyor.
“İnsanlar doğrudan bizimle veya yönetim ekipleriyle iletişime geçerek ‘hedef alındıklarını’ hissettiklerini ve bunun sonucunda öğrenmeye açık olmadıklarını ve bir bütün olarak siber güvenlik ekibimizle etkileşime geçmekten kaçındıklarını açıkladılar” diyor.
Odak noktasının cezalandırmadan yetkilendirmeye kaydırılması gerektiğinin farkına vararak simülasyonları kişisel değerlendirme ve şüpheli e-postaları bildirmenin önemini anlama fırsatları olarak yeniden çerçeveledi. Yaklaşımdaki bu değişim, daha düşük tıklama oranlarına, artan rapor oranlarına ve gelişmiş meslektaş katılımına yol açtı.
Esneklik ve Uyarlanabilirlik Eksikliği
CISO olarak görev yapmış ve birçok farkındalık programında çalışmış, güvenlik sektörünün duayenlerinden Tonia Dudley, güvenlik farkındalığı programlarında esnekliğin önemini vurguluyor. Gelişen bir tehdit ortamında tüm yıl boyunca konuların planlanıp aynı anda eğitim verilmesini önermiyor.
“Hızlı bir düzeltme yok ve tehdit manzarası değişmeye devam ediyor” diyor. “Bu, programların çevik olması gerektiği anlamına geliyor.”
Friedlander da bu görüşü tekrarlıyor ve davranış değişikliğinin zaman aldığını ekliyor. Odak noktasını uç nokta korumasından, çalışanların olağandışı etkinlikleri veya hataları derhal bildirdiği bir güvenlik kültürü geliştirmeye kaydırmayı öneriyor. Zihniyetteki bu değişiklik, eğitim içeriğinin organizasyona özgü gelişen ihtiyaçlar ve tehditlerle uyumlu olacak şekilde uyarlanmasını gerektirir.
“Güvenlik farkındalığı yalnızca kötü tıklamalardan kaçınmak anlamına gelmiyor” diyor. “Güvenlik farkındalığı programının asıl amacı, çalışanların olağandışı herhangi bir şeyi derhal bildirdiği veya bir hata yaptıklarında bunu kabul ettikleri bir güvenlik kültürü yaratmaktır. Çalışanların erken tespiti çok önemlidir, bu da güvenlik programının işe yaradığının bir işaretidir.”