Tüm çalışanların güvenlik eğitimine ihtiyacı vardır, ancak bu genellikle sonradan düşünülen bir düşüncedir. Yıllar boyunca yapılan çeşitli araştırmalar, insan hatasının genellikle kuruluşlardaki en büyük güvenlik açığı olduğunun düşünüldüğünü göstermektedir.
Geliştiricilerinin ve mühendislerinin güvenlik oyunlarının zirvesinde olmasını da sağlaması gereken SaaS sağlayıcıları gibi teknoloji şirketleri için, tehditlerin yazılım tedarik zincirindeki müşterilere aktarılmasından kaynaklanan daha fazla risk vardır. Teknoloji ve teknoloji dışı meslektaşlar üzerlerine düşeni yapmalıdır ve bu da yalnızca yaşam boyu öğrenmeden kaynaklanır.
Teknoloji şirketleri personel eğitimi, öğretimi ve en iyi uygulamalar konusunda uzman olmalıdır. Teslimatlarının her yönü, iş, personel, müşteriler ve müşterilerinin müşterileri için de riski en aza indirmelidir. Teknik ve teknik olmayan personel, en yaygın olarak uygulanabilir olanı SOC 2 ve ISO 27001 olmak üzere kalite standartlarına göre eğitilmelidir. Ayrıca, belirli sektörler ve personel rolleriyle ilgili çeşitli veri güvenliği, gizlilik ve finansal işleme düzenlemeleri de vardır.
Güvenlik eğitimi teknoloji şirketleri için her zaman gerçek bir zorluk olmuştur. Ürün yenilikçileri pazara girmek için yarışıyor ve “hızlı hareket etme ve işleri bozma” dürtüsü var. Ölçekle birlikte diğer iş, teknoloji ve insan sorunları da ortaya çıkar ve güvenlik, diğer birçok acil ve önemli önceliklerle rekabet etmek zorundadır. Pek çok firma bunu ciddiye aldığında ve hatta bunu ciddiye aldığında bile çoğu çalışanın radarında değildir. Bunun değişme zamanı geldi.
Güvenliği daha ciddiye almak, eğitime bağlılık anlamına gelir
Herkes güvenliği ciddiye aldığını iddia ediyor, ancak CISO’lar ve departman liderleri düzenli ve sık bir şekilde (bu en önemli kısımdır) yenilemez, test etmez ve hatta kırmızı takım taktiklerini tüm çalışanlara karşı uygulamaya koymazlarsa, o zaman kendilerine karşı tamamen dürüst olmuyorlar demektir.
Sık sık tazeleme eğitimleri ve güvenlik bilincine sahip bir iş gücünü geliştiren ve destekleyen bir kültür olmadan, işletme için risk büyüktür. İnsanlar güvenli bir ortam yaratır ya da bozarlar; hata yaparlar, unuturlar ya da kolayca kandırılırlar.
Yapay zeka ve makine öğreniminin artık daha gerçekçi ve daha hedefe yönelik yemler oluşturmak için kullanılmasıyla, bu riski azaltmanın tek yolu sürekli eğitim ve sürekli farkındalıktır.
Kalıcı bir eğitim yapmak için en iyi ipuçları
Sadece neyi değil, nedenini de öğretin
Bu, her türlü eğitim için gereklidir. Uyumluluğun talep edilmesi, zorunlu prosedürlerin bir dayatma gibi görünmesine ve her türlü güvenliğin kaçınılması gereken bir engel haline gelmesine neden olur. Kullanıcıların dikkatli olmanın önemini anlamaları için güvenlik açıklarını ve yaygın tuzakları açıklayın. Sonuçlarını işletmeye ve her kullanıcıya (hem profesyonel hem de kişisel ve aile yaşamlarında) açıklayın.
Teknik detaylardan çekinmeyin
Teknik ekibiniz, uygulama yeteneklerini etkileyen sınırlamaları bilmek isteyecektir.
Güvenlik çözümlerinin veya adımlarının teslimatı etkileyebileceği durumlarda bu durum hesaba katılmalı VE risk ve olay yönetimi açısından üst düzey liderlere uygun şekilde açıklanmalıdır. Bu üst düzey liderlerin, işleri yavaşlatması ve bunu desteklemesi için güvenliğe hazırlıklı olmaları gerekir; güvenlik konusunda yukarıdan aşağıya bir yaklaşımın parçası olacaksa, güvenlik farkındalığı kritik öneme sahiptir.
Teknik olmayan personel, eğitim kendilerini tehdidin merkezine koyan alıştırmalar ve faaliyetlerle desteklendiğinde, ardından kırılma süreleri, tahmini iyileştirme maliyetleri ve onlar için iş etkisine ilişkin istatistikler ile desteklendiğinde, mevcut tehlikelerin boyutunu ve tehlikeleri çok daha iyi anlayacaktır. Kayıplar meydana geldiğinde çalışan güvenliği. İlgili ayrıntılar egzersizin önemini vurgulamaktadır.
İnsan ol, gerçek ol
Temel risk alanlarını (sosyal mühendislik, şifreler, fiziksel güvenlik, veri işleme ve uyumluluk vb.) ele alın ancak insan olmayı unutmayın.
Hem teknik hem de iş kolundaki kişiler, iş ve kendi rolleri için ana risk alanlarının neler olduğunu anlamalıdır. İnsanlarla etkileşime giren insanların kültürünü düşünün. İnsanların eğitimlerini gerçek dünyaya geri götürdüklerinde kayıt yapmalarını veya hatalarını kabul etmelerini güvenli hale getirin.
Herkes için erişilebilir hale getirin
Güvenlik eğitimi, yetenekli ve güvenlik okuryazarlarının taze ve mütevazı kalmasını sağlamak için onlarla konuşmalıdır. Ayrıca teknik açıdan daha az okuryazar olanları bunaltmamalı veya onları kapatmamalıdır.
Mesajı hedef kitlenin rolüne ve kıdemine göre uyarlamak ve akran gruplarını birlikte eğitmek önemlidir. Asistanların açıklama istememesinin hiçbir faydası yok çünkü yanlarında oturan yönetici onları korkutuyor.
Gruplara gereksinimlerine göre hitap eden eğitim tasarımı uzmanlarına sahip olmak, insanların bölgelere ayrılmasının önlenmesine yardımcı olur. Herkes -ister kabul etsin ister etmesin- iyi bir korku hikâyesini sever; Kullanıcıları paylaşmaya ve tartışmaya motive edecek ilgi çekici hikayeye dayalı eğitimle bunu gerçekleştirin.
Komik ol, akılda kalıcı ol
Yazılı öğelerin ışıltılı olması ve konuşulan bölümlerin iyi bir şekilde yerleşmesi için bir öykücünün en iyi uygulamalarını kullanın. Mükemmel güvenlik eğitimi basit değildir; önemlidir ve etkili olmayı hak eder.
Unutmayın: aralıklı ve çeşitli tekrarlar, öğrenmeyi uzun vadede kalıcı hale getirmenin anahtarıdır. CISO’lar sık sık, düzenli eğitim ve bilgi tazeleme konusunda ısrar ederek popüler olmama riskini göze almalıdır. Düzenli eğitim (standart yıllık tazeleme eğitimi) artık yeterli değil; sık sık planlı ve sürpriz eğitimler verilmelidir. Kırmızı takımları görevlendirmek ve sürpriz tatbikatlar çalışanlarınızın oyununu gerçekten geliştirebilir. Sonuçlar ne olursa olsun, suçlamak yerine öğrenme kültürünü sağlayın ve şeffaflığı, sorgulamayı ve dürüstlüğü doğru düzeyde teşvik edin.
Mühendislere tasarım gereği güvenlik oluşturma araçlarını verin
Teknik ve ürün ekiplerinizin, en iyi uygulamaları CI/CD iş akışına dahil etmek ve çözümlerin bilinen risklere karşı savunmasız olmadığından emin olmak için daha da fazla güvenlik eğitimine ihtiyacı var.
Mükemmel ürünler oluştururken güvenliği basit ve kolay bir adım haline getirecek çerçeveleri ve modelleri teknik personele sağlayan araçlara ve eğitime yatırım yapın. Geliştirme aşamasında güvenlik açığından veya gelecekteki ihlallerden kaçınmak daha ucuzdur. Yetersiz güvenlik nedeniyle sorunlara neden olan ürünlere işaret ederek maliyet düşürme baskılarına karşı koyun ve güvenli ürünlerin karlılığı güvence altına aldığını gösteren bir örnek sunun.
Tüm zorlukların üstesinden gelin ve bunu değerlendirin
Hepsi bir arada, güvenlik farkındalığı eğitimi esastır ve canlı, gelişen bir süreç olmalıdır.
Hem düğün konuşmasında hem de yatırımcılara sunumda olduğu gibi içerik, üslup ve sunum konusunda da aynı özen ve dikkati gösterin. Stil hiçbir zaman içeriğin önüne geçmemelidir, ancak eğer farkındalık eğitiminin etkili olması gerekiyorsa, bu çok yakın bir ikinci adım olmalıdır.
Daha güvenli sonuçlar elde etmek için firmaların güvenlik eğitimi oyunlarını geliştirmeleri gerekiyor, aksi takdirde tüm dijital dünyamız her gün tek bir ürün, tek bir sistemle biraz daha kötüleşecek.