Greg Crowley, CISO, eSentire tarafından
Fidye yazılımları ve sakat bırakan siber saldırılar o kadar yaygın ki, sosyal dokumuza gece yarısı komedisine kadar nüfuz etti. HBO’nun John Oliver ile Geçen Hafta Bu Gece, fidye yazılımı konusunu ve hatta siber suçluların Lamborghini’lerini Moskova sokaklarında nasıl yarıştırdıklarını ve bu durumda korumalarını kendi ülkeleri olan Rusya’nın sınırları içinde nasıl harcadıklarını ele aldı.
Bu felç edici siber saldırıların çoğu, basit bir kimlik avı e-postası veya iş e-postası ele geçirme (BEC) dolandırıcılığıyla başlar. Çoğu şirket, çalışanların bağımlı olma olasılığını azaltmak için bir tür yıllık siber güvenlik bilinci eğitimi sağlarken, hedeflenen siber saldırı kampanyalarının gerçek tehlikesini temsil etmeyen, halka açık olaylardan alınan aşırı basit cazibelere odaklanırlar.
Daha da kötüsü, iş riskinin azaltılmasını ölçmek için bir vekil olarak çalışan katılımı ve basit test sonuçları gibi bağımsız metriklere güvenmeleridir. Ancak, ikisi arasında çok az bağlantı yoktur. Aslında, bu dar görüşlü yaklaşım, yalnızca işletmeyi siber riske daha fazla maruz bırakan yanlış bir güvenlik duygusu yaratır.
Bir anlığına geri adım atacak olursak, kimlik avı ve güvenlik farkındalığı eğitiminin (PSAT) amacı, ilgili siber risklere daha az maruz kalma, azaltılmış kaynak kısıtlamaları ve daha fazla karşılama yeteneği yoluyla iş esnekliğini artırmak için çalışanlarınız ve kurumsal ekosistem arasında davranış değişiklikleri sağlamaktır. düzenleyici uyumluluk gereksinimleri.
Öyleyse, iş esnekliğini değerlendirmek için neden katılım listelerine ve sözde “gülen sayfalara” bakasınız? Bu nedenle çoğu program başarısız olur – siber riskleri temsil etmezler, çalışanların siber saldırıları tanımlaması için gerekli araçları ve becerileri sağlamazlar ve yanlış önlemlere odaklanırlar.
Ayrıca, boşa harcanan çabayı ve maliyetleri düşünün. Görseniz de görmeseniz de, PSAT sınıf oturumlarında oturan çalışanlarınızın bir maliyeti vardır. Bu maaş, öğle yemeği ve hatta konuşmacı maliyeti gibi PSAT eğitim oturumlarıyla ilişkili doğrudan masrafları kolayca gölgede bırakır.
PSAT programınızın çalıştığını nasıl anlarsınız?
Başarılı PSAT programları, gereğinden fazla temsil edilen uyumluluğa odaklanmanın ötesine geçer. Bağlamsal kimlik avı örnekleri sağlarlar, çalışanların kendilerini ve işlerini korumalarını sağlar ve açık tehdit raporlama mekanizmaları sağlarlar.
PSAT etkinliğini ölçmek ve raporlamak söz konusu olduğunda, keşfedebileceğiniz iki model vardır: SANS Güvenlik Farkındalığı Yol Haritası ve Kirkpatrick modeli.
SANS Güvenlik Bilinci Yol Haritası
SANS Security Awareness Yol Haritası, diğer olgunluk modellerine benzer şekilde programınızı olgunlaştırmaya yönelik katmanlı bir yaklaşım sunar ve kuruluşunuzun siber riski göz ardı etme durumundan daha entegre bir ekip yaklaşımına geçmesine yardımcı olur:
| Seviye | Odak | Liderlik Yaklaşımı | Çalışan Davranışı |
| 1 | program yok | Liderlik, PSAT’ın siber risklerini ve değerini tanımıyor | Çalışanlar habersiz ve siber güvenliği tartışmıyor |
| 2 | uyma | Liderlik siber güvenlik yükümlülüklerini ve risklerini anlar | Çalışanlar siber güvenliği anlamıyor ve verimsiz bir zorunluluk olarak PSAT’a katılıyor |
| 3 | Davranış | Liderlik, siber güvenlik yükümlülüklerini ve risklerini anlar ve programı finanse eder | Çalışanlar riski anlar ve tehditleri tanımlayabilir ve potansiyel siber tehditleri proaktif olarak bildirebilir |
| 4 | Kültür | Metrik odaklı karar verme ile PSAT’a uzun vadeli bağlılık | Çalışanlara önerilerde bulunma ve proaktif olarak eğitim arama ve siber tehditleri bildirme yetkisi verilir. |
| 5 | sonuçlar | Liderlik, iş hedeflerini, siber risk önceliklendirmesini ve PSAT kaynaklarını hizalar | Çalışanlara önerilerde bulunma ve proaktif olarak eğitim arama ve siber tehditleri bildirme yetkisi verilir. |
Bu, şirketinizin olgunluk açısından nerede olduğunu belirlemenize ve güvenlik yığınını yükseltmek için doldurmanız gereken boşlukları belirlemenize yardımcı olabilecek iyi bir çerçevedir.
Kirkpatrick Modeli
Kirkpatrick modeli, eğitim ve öğrenime yapılan yatırımların etkinliğini doğrulamak için uzun süredir devam eden bir standarttır. SANS Güvenlik Farkındalık Yol Haritası gibi, Kirkpatrick modeli de Tepki, Öğrenme, Davranış ve Sonuçlara odaklanan dört olgunluk ve gösterge seviyesinden oluşur. Aşağıda, seviyeleri ve odak noktalarını, neleri değerlendirdiklerini ve PSAT başarısının nasıl ölçüleceğine dair bazı özel örnekler sağladım.
| Seviye | Odak | Değerlendirme | PSAT Başarısını Ölçmek İçin Örnekler |
| 1 | Reaksiyon | Katılımcıların eğitimi uygun, ilgi çekici ve işleriyle alakalı bulma derecesi. |
|
| 2 | Öğrenme | Katılımcıların eğitime katılımlarına bağlı olarak amaçlanan bilgi, beceri, tutum, güven ve bağlılığı kazanma derecesi. |
|
| 3 | Davranış | Katılımcıların eğitim sırasında öğrendiklerini işe geri döndüklerinde uygulama derecesi. |
|
| 4 | Sonuçlar | Eğitim ve destek ve sorumluluk paketi nedeniyle hedeflenen sonuçların gerçekleşme derecesi. |
|
Çoğu zaman, program koordinatörleri “gülen sayfa” sonuçlarını gururla sergiliyor ve değerlerinin bir ölçüsü olarak eğitilmiş çalışan sayısını övüyorlar. Yine de bu sonuçlar yalnızca öznel yanıtı ölçer; bu, kursiyerlerin bir siber tehdidi belirleme ve siber suçlunun amacına kanmaktan kaçınma becerisini hiçbir şekilde göstermez.
Peki, en çok hangi metriğe güvenmelisiniz? sorunun cevabı “Etkileşim” dır. Bu en niteliksel ölçüdür ve size çalışanlarınıza ulaştığınızı söyler.
Hangi göstergelerin yanıtı tetiklediğini görmek için çalışanlarınıza neden şüpheli bir e-posta bildirdiklerini sorun. Bu, çalışanlarınızın işi koruma konusunda kendilerini yetkin hissedip hissetmediklerini ve programınızın işe yarayıp yaramadığını size söyleyecektir:
- Bir çalışan meslektaşından geliyormuş gibi görünen bir e-postadaki “harici” bir işaret miydi?
- Gönderenin e-posta imzası veya tonu, bilinen bir meslektaştan samimiyetsiz veya alışılmadık göründüğü için mi?
- Gönderenin isteği sınırların dışında mıydı?
Bakılacak ikinci ölçüm, çalışanların BT/Güvenlik ekibiyle proaktif olarak harcadıkları zamandır. Bu eylem tutkuyu gösterir, bu da siber güvenliğe bağlılıklarını ve işi koruma isteklerini gösterir.
Kişiselleştirin ve buna değer hale getirin
Çalışanların katılımı söz konusu olduğunda, metrikler başarınızı ölçebilir, ancak normalde katılımı ve katılımı motive etmez. Uyumluluk gereksinimleri de yoktur. Hepimiz “gerçek işimizi” yaparken arka planda sınıf penceresi ile siber güvenlik farkındalık kursları aldık.
Başarılı bir kimlik avı ve güvenlik farkındalığı eğitim programının en iyi örneklerinden biri, bir siber şampiyonu taçlandırmak için posterler, yağma ve artan kimlik avı testlerinden oluşan bir rekabet merdiveni de dahil olmak üzere özel kampanyalar oluşturmaktır. Kayıtlı katılıma, motive olmuş çalışanlara ve düşük işletme maliyetlerine yol açabilecek yenilikçi bir yaklaşımdır. Daha da önemlisi, kimlik avı riskini de azaltır.
Unutmayın, siber güvenlik ciddi bir konu olduğu için şirketinizin eğlenemeyeceği anlamına gelmez!
eSentire’in Kimlik Avı ve Güvenlik Farkındalık Eğitimi programı nasıl yardımcı olabilir?
Eğlenceli ama eğitici bir PSAT programı tasarlamak, geliştirmek ve yürütmek zordur. Bir kutuyu uygunluk açısından kontrol etmek kolaydır, ancak iğneyi hareket ettirmek daha fazla kaldıraç ve daha fazla güç gerektirir. PSAT programı ne kadar iyi olursa, karmaşıklık arttığı için o kadar fazla çaba gerekir.
eSentire’in Yönetilen Kimlik Avı ve Güvenlik Farkındalık Eğitimi, kuruluşunuzu en son sosyal mühendislik siber saldırılarına karşı kullanıcı korumasında ön plana çıkarır.
Uçtan uca hizmetimiz, etkili bir kullanıcı esnekliği programını operasyonel hale getirmek için gereken kaynakları azaltır. Özel sosyal mühendislik uzmanlarıyla eşleştirilmiş yazılımlardan yararlanarak, kullanıcılarınızın en karmaşık kimlik avı girişimlerine karşı bile sürekli olarak test edilmesini ve sağlamlaştırılmasını sağlıyoruz. Güçlü kimlik avı kitaplıklarımız yüzlerce şablondan oluşur ve kullanıcıların metalaştırılmamış ve kolay tespit edilebilen şablonlar yerine gerçek dünya senaryolarına karşı test edilmesini sağlar.
Daha da önemlisi, PSAT eğitim modüllerimiz, simüle edilmiş testlerin kurbanı olan kullanıcılara otomatik olarak atanarak, eğitimin başarısızlık anında entegre edilmesini ve sürekli davranış değişikliğini teşvik eder. PSAT programımız, bir uyumluluk kutusunu işaretlemenin ötesine geçerek ölçülebilir sonuçlar üretir. Yalnızca yasal gereklilikleri karşılamanıza yardımcı olmakla kalmıyor, aynı zamanda kuruluşunuzun en son sosyal mühendislik taktiklerine karşı dayanıklı olmasını da sağlıyoruz.
eSentire’in Yönetilen Kimlik Avı ve Güvenlik Farkındalık Eğitiminin kuruluşunuz genelinde çalışanlarınızla davranış değişikliğini yönlendirmeye nasıl yardımcı olabileceğini öğrenmek için bugün bir siber güvenlik uzmanıyla bir toplantı yapın.
yazar hakkında
Greg Crowley, Bilgi Teknolojisi ve Siber Güvenlik alanında 20 yılı aşkın süredir kurumsal güvenliği yönetme ve küresel hibrit ağlar için riski azaltma konusunda kapsamlı deneyime sahip başarılı bir yöneticidir. Greg, siber dünyada bir lider olarak, iletişim kurabilmenin ve savunmak ve korumak için stratejik bir vizyon yürütebilmenin rolünün en önemli parçası olduğuna inanıyor. eSentire’a katılmadan önce Greg, WWE’de (World Wrestling Entertainment) Siber Güvenlik ve Ağ Altyapısı Başkan Yardımcısı olarak genel siber güvenlik işlevini denetledi. Bu organizasyon içinde mühendislik, altyapı ve güvenlik alanlarında çeşitli liderlik rollerinde 17 yılı aşkın bir süre geçirdi. Greg, Queens College’dan lisans derecesine sahiptir. Sertifikalı Bilgi Güvenliği Yöneticisi (CISM) ve Sertifikalı Bilgi Sistemleri Güvenliği Uzmanıdır (CISSP).
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.