Liderlikte Siber Tahta Profilleri: Heather Lowrie

   Şubat 14, 2025  Posted in Bankinfosecurity


Güvenlik Farkındalık Programları ve Bilgisayar Tabanlı Eğitim, Eğitim ve Güvenlik Liderliği

‘Ölüm tıklamaları’ kimdir ve şirketin siber savunmasını nasıl zayıflatırlar?

Siber kaplı taban •
14 Şubat 2025

Güvenlik bilincinin özü: 'Ölüm Tıklamaları' durma
Shervin Evans, Kurumsal Mimar ve Bilgi Güvenliği Sorumlusu, Deltec Bank and Trust ve Siber Board Üyesi

Siber güvenlik farkındalık eğitimi, günümüzün hızlı gelişen ortamında kritik öneme sahiptir. Saldırganlar, giderek daha sofistike siber teller oluşturmak için yapay zeka kullanıyor ve saldırganların ikna edici, hatasız kimlik avı e-postaları oluşturmalarını sağlıyor. Olay analizi, “ölüm tıklamaları” ifadesinin ortaya çıkmasına yol açan yetersiz siber güvenlik eğitiminin sonuçlarını göstermektedir.

Ayrıca bakınız: Gartner Raporu | Güvenlik karmaşıklığından kurtulun. Platformizasyon basitlik sağlar.

‘Ölüm Clicker’ı anlamak

“Ölüm Tıkıcı”, merak veya dikkatsizlikten kaynaklanan, potansiyel sonuçları dikkate almadan şüpheli bağlantılara, eklere veya istemlere tekrar tekrar tıklayan bir çalışandır. Daha da kötüsü, bu çalışanlar eylemleri bir ihlale yol açtığında herhangi bir katılımı reddedebilirler. Bu bireyler kötülükten hareket etmezler, ancak farkındalıktan yoksun ve eylemlerinin neden olabileceği zararı hafife alarak organizasyon için önemli bir risk oluştururlar.

Zorluk, zayıf bir bağlantı haline gelmelerini engellemektir. Birçok kuruluş, her yıl siber güvenlik eğitimi vermek için statik bir öğrenme yönetim sistemine veya LMS’ye güvenmektedir. Maliyet etkin olsa da, bu yaklaşım sürekli değişen saldırı yüzeyini açıklayamamaktadır. Saldırganlar artık dilbilgisi hatalarıyla dolu kötü ifadeli e -postalara güvenmiyorlar. AI odaklı araçlar artık geleneksel kırmızı bayrakları atlayan kusursuz, ikna edici e-postalar ve ses simülasyonları yapıyor.

Eski senaryolar ve taktikler üzerine inşa edilen yıllık eğitim alakasız hale gelir. Çalışanlar daha önce “hepsini gördüklerini” varsayarak dikkat etmeyi bırakıyorlar. Bu gönül rahatlığı, ihlaller için verimli bir zemin yaratır.

Güvenlik bilincine dinamik bir yaklaşım

Organizasyonel siber güvenlik çerçeveleri, LMS’yi periyodik nokta kontrolleri ve ortaya çıkan tehditlere göre tasarlanmış yıllık tazelemelerle birleştiren dinamik farkındalık programlarını içerir.

İşte bu yaklaşımın nedeni:

  • Tehdit alaka düzeyi: Eğitim içeriği, AI tarafından oluşturulan kimlik avı e-postalarından sofistike fidye yazılımı planlarına kadar en son saldırı vektörlerini yansıtmak için yıllık olarak gelişir. Çalışanlara dilbilgisi hataları gibi modası geçmiş ipuçlarına güvenmek yerine bu en son taktikleri tanımaları öğretilir.
  • Davranışsal Test: Geleneksel LMS modüllerinin ötesinde, periyodik nokta kontrolleri, çalışan yanıtlarını test etmek için gerçek dünya saldırılarını simüle eder. Örneğin kimlik avı simülasyonları, mevcut saldırı manzarasını taklit edecek şekilde uyarlanmıştır.
  • Katmanlı Farkındalık: Etkili eğitim protokolleri sürekli öğrenme modüllerini içerir. Kuruluşlar, çalışanları yıl boyunca uyarmak için devam eden hatırlatıcılar, atölyeler ve olay incelemeleriyle güçlendirir.
  • Hızlı yanıt süreleri: Hiçbir program ihlalleri tamamen ortadan kaldırmazken, eğitim etkilerini önemli ölçüde azaltır. Çalışanlar, hızlı ve etkili bir yanıt sağlayarak tehditleri derhal tanımak ve bildirmek için eğitilirler.

Bir Güvenlik Kültürü Oluşturma

Herhangi bir farkındalık programının önemli bir parçası, çalışanların kritik varlıkların korunmasındaki rollerinin değerini anladıkları bir kültürü teşvik etmektir. Kendilerini örgütsel güvenliğin ortakları olarak görmek için uyum odaklı eğitimin ötesine geçmelidirler. Bu gerektirir:

  • Çalışanları güçlendirmek: Çalışanları tehditlerin önünde kalmak için ihtiyaç duydukları araç ve bilgilerle donatın. AI sadece saldırganlar için bir araç değil, aynı zamanda savunuculara da yardımcı olabilir. Örneğin, AI tabanlı e-posta filtreleri kullanın ve çalışanlara nasıl çalıştıklarını öğretin.
  • Hesap Verebilirliği Teşvik Etmek: Çalışanların misilleme korkusu olmadan hataları kabul etmeyi güvende hissetmeleri gerekir. Korku, tepki sürelerini geciktiren ve hasarı şiddetlendiren örtbasları yönlendirir.
  • Katkıları tanımak: Şüpheli faaliyetleri bildirmek veya kimlik avı simülasyonlarını geçmek için çalışanları ödüllendirin. Olumlu takviye güçlü bir motivasyon kaynağıdır.

‘Ölüm Tıkıcı’ fenomenine hitap etmek

“Ölüm tıklamaları” zorluğunu ele almak için kuruluşlar proaktif ve yenilikçi stratejileri benimsemelidir:

  • Simüle edilmiş başarısızlıklar: Kontrollü bir ortamda kontrolsüz merakın sonuçlarını gösteren “Ölüm Tıkıcı” davranışının gösterildiği düşük riskli simülasyonlar oluşturun.
  • Oyunlaştırma: Çalışanları olumlu kararları ödüllendiren ve yoksul kararları vurgulayan oyunlaştırılmış eğitim modülleriyle meşgul edin. Örneğin, kesinti veya finansal kayıp gibi gerçek dünya terimlerinde bir tıklamanın potansiyel maliyetlerini gösterin.
  • Davranışsal Psikoloji: Çalışanların neden tıkladığını ve bu alışkanlıkların nasıl yeniden kullanılacağını anlamak için psikoloji ilkelerini kullanın. Eğitimle merakla ele alın ve keşif için güvenli satış noktaları sağlayın.

İleriye giden yol

Statik eğitim programları geçmişe aittir. Tehdit peyzajı günlük değişir ve güvenlik farkındalık programları bu zorlukları karşılamak için gelişmelidir. Kuruluşlar, dinamik, çalışan merkezli bir yaklaşım benimseyerek ve “Ölüm Tıkıcı” davranışı da dahil olmak üzere güvenlik açıklarını ele alarak, riski azaltan ve yanıt sürelerini artıran bir güvenlik kültürü oluşturabilir.

Sonunda, güvenlik sadece araç ve teknoloji ile ilgili değildir; İnsanlarla ilgili. Çalışanları sorumlu tutmak, güçlendirmek ve sorumlu tutmak, risklerin her zamankinden daha yüksek olduğu bir dünyada siber saldırı etkisini en aza indirmek için gereklidir.

Cyberedboard, ISMG’nin sadece en büyük üst düzey yöneticiler ve güvenlik, risk, gizlilik ve BT alanlarında düşünce liderleri topluluğudur. Cyberedboard, yöneticilere dünya çapında 65 farklı ülkede bulunan binlerce CISO ve üst düzey güvenlik liderinin paylaştığı karmaşık zorlukları ele almak için güçlü, akran odaklı işbirlikçi ekosistem, özel toplantılar ve bir kaynak kütüphanesi sunmaktadır.

Topluluğa katılın – Cyberedboard.io.

Üyelik için başvurun

Shervin Evans, risk yönetimi, uyumluluk, sistem/ağ tasarımı ve sağlam güvenlik stratejileri hazırlama konusunda geniş deneyime sahiptir. Deltec’ten önce, ünlü finansal hizmetler firmalarında ve çokuluslu şirketlerde önemli roller oynadı, kritik varlıklar ve hassas veriler için korumayı artırdı. Bulut güvenliği, tehdit istihbaratı, SOC uygulaması, düzenleyici çerçeve ve olay yanıtı gibi alanlarda uzmanlaşmıştır.



Source link