Güvenlik Farkındalık Eğitimi Bir Snoozefest olmak zorunda değil – Oyunlar ve Hikayeler
28 Mar 2025
•
–
5 dk. Okumak

Bunu bir hikaye denemesiyle önceden alayım:
Sarah’nın gözleri e -posta konu satırı boyunca daldı: “Acil: Ödeme Gerekli – Eylem Gerekli”. Cuma günü saat 16.00 idi ve CEO’nun adı gönderen alanından baktı. Mesaj spesifikti ve konuya göre:
“Merhaba Sarah, bu ödemeyi bugün işin kapanmasından önce yapmalıyız, aksi takdirde ekstra yasal maliyete maruz kalacağız. Ekli ödeme bilgilerini görelim. Bu, Project Phoenix ve geçen hafta kazanç çağrısında bahsettiğim birleşme ile ilgili. Yasal ve diğerleriyle arka arkaya toplantılardayım.
Sarah’nın midesi kaygı ile düğümlendi ve nabzı panik içinde hızlandı. Kısa bir an için, aslında geçen yılın siber güvenlik farkındalık eğitiminde daha önce benzer bir mesaj gördüğünü hissetti. Ancak şimdiye kadar eğitim, cansız PowerPoint slaytlarının, unutulabilir ekran görüntülerinin ve belirsiz terimler ve kavramlarla dolu çoktan seçmeli soruların bir bulanıklığı oldu.
Ayrıca, birleşme gibi Phoenix Projesi gerçekti. Ton, son dahili notlarda kısa direktiflerden çok farklı değildi. Üstelik, “CEO’nun talimatlarını zaten sorgulayacağım ya da ikinci olarak tahmin edeceğim?” Diye düşündü. Baskı altında ve otorite ipuçlarına karşı savunmasız olan Sarah, rahatlığını silkti, söylediği gibi yaptı ve parayı saygılı bir şekilde bağladı.Pazartesi gününe kadar gerçeklik yakalandı: Dolandırıcılar tarafından kontrol edilen bir açık deniz hesabına 200.000 ABD Doları kayboldu. E -posta? Basın bültenlerinden ve LinkedIn yayınlarından vakumlanan bilgilerden bir araya getirilmiş ve bir araya getirilmiş. Bu gün ve çağda, bu hiçbir şekilde tuzlarına değecek herhangi bir dolandırıcı için hiçbir şekilde zor değildir. Sonunda, insan psikolojisi güvenlik politikasını boğdu.
Bu uyarıcı masal kurgusal olsa da, iş e -posta uzlaşması (BEC) sahtekarlığı olan tekrar eden kabusla yaygın olarak oynayan bir senaryoyu tasvir ediyor. Bu şemalar teknik sihirbazlığa güvenmez; Bunun yerine, bizi insan yapan şeylerin bazılarını avlıyorlar, nihayetinde aldatmaca sanatçıları için muazzam temettüler ödüyorlar. FBI’ın taksitiyle, 2013-2023 yılları arasında, BEC Dolandırıcılığı Maliyet Organizasyonlarının dünya çapında 55,5 milyar ABD Doları.
Bırakın figür içeri girsin.
Grup yardımını koparmak
Yukarıdaki hikaye büyük bir sorunu ortaya koymaktadır: En gayretli çalışanlar bile siber güvenlik eğitiminde “öğrendiklerini” unutmaya eğilimlidir. Kuru güç noktaları, zorunlu sınavlar ve uyumluluk kontrol listeleri genellikle unutulabilir ve sıkıcıdır. Bu tür farkındalık programları, kök sorunu ele alamarken sadece bu tür sonuçlar verir: davranış. Çalışanlar, bunu ele geçirmek için onlara katlanıyorlar, az tutuyorlar ve daha az gerçek uygulamaya koyuyorlar.
Bu rahatsız edici çünkü soru, çalışanların bir saldırı ile karşılaşıp karşılaşmayacağı değil – basınç monte edildiğinde hazırlanıp hazırlanmayacaklarıdır. Ve birçoğu, örneğin Verizon’un en son Veri ihlali araştırmaları raporu (DBIR) tarafından gösterildiği gibi, veri ihlallerinin üçte ikisinden fazlasının insan hatasını içerdiğini söyleyen açıkça değildir. Birisi mecbur bıraktı. Birisi tıkladı. Birisi hata yaptı. Sarah gibi biri.
Çalışanların bir binayı tahliye etmek yerine yanma teorisi üzerine bir konferansa oturdukları yangın tatbikatları hayal edin. Gerçek bir acil durum grevinde, tamamlanma sertifikalarını tutarak ölebilirler. Öyleyse neden insanları, ilgi çekici ve simüle edilmiş bir deneyim yerine soyut politikalarla siber saldırılardan kurtulmaları için “eğitiyorsunuz”? Neden çalışanlarınızı baskının vurduğu anda başarısız olabilecek sıradan eğitime maruz bırakıyorsunuz?
Panzehir
Hayır, beynimiz tembel değil – aslında oldukça verimli. Her gün, her birimiz asgari sürtünme ile yüzlerce mesaj, tıklama, paylaşma ve yanıt veriyoruz. Bilgi tufanının ortasında, güvenlik de dahil olmak üzere başka herhangi bir şey üzerindeki hıza öncelik veren bölünmüş ikinci kararlar almaya şartlandık.
Ancak daha yüksek sesle uyarılar göndermek veya aynı eski sınavları yeniden şekillendirmek yerine, çözüm “hackleme” beyinleri gerektirir. Daha kesin olmak gerekirse, karar verme yollarını yeniden bağlamaya yardımcı olabilecek tekniklerin kullanılmasını ve alışılmış tepkilerimizi askıya almamız için eğitim almayı veya hatta bazı davranışlarımıza yeni alışkanlıklar pişirmeyi içerir. Beynimiz, enerjiyi korumak için kuru gerçekleri atmaya eğilimlidir, ancak duygusal olarak yüklü, katılımcı deneyimlere mutlu bir şekilde yapışırlar.
Burası, gerçekçi simülasyonların ve iyi düşünülmüş oyunlaştırmanın yardımcı olabileceği yerdir, doğal olarak beynin girdiği video oyunlarından öğeler ödünç alıyor. Aslında, fitness uygulamanız, egzersizleri onaylama için özlemimizi besleyen durum oyunlarına veya sosyal medya uygulamalarına dönüştürmek olsun, günlük uygulamalarınızın çoğu zaten oyunlaştırmayı destekleyen bazı ilkeleri içerir. Oyun mekaniği, her yıl sayısız BT uzmanının hevesle katıldığı bayrak yarışmalarını yakalamak için büyük bir başarı ile kullanılıyor.
Hikayeler için kablolu
Kuruluşunuzun güvenlik oyununun (cinas amaçlanmamış) yükseltilmesinin önemli bir yolu, hikaye anlatımının gücünden yararlanmayı içerir. Hikayeler, zaman geçirmenin bir yolundan çok daha fazlasıdır – her zaman dünyayı anlamamıza ve hatta hayatta kalma stratejilerini paylaşmamıza yardımcı oldular. Beynin zevkini ve duygusal bölgelerini aydınlatırlar, sonuçta tutum ve davranışları değiştirirler.
Dolayısıyla, bu hayatta kalma aracının gücünün, özellikle oyunlaştırma yoluyla, günümüzün dijital ormanında hayatta kalmak için giderek daha fazla kullanıldığı mantıklı. Güvenlik zorlukları, tehditleri karakter olarak sunan sürükleyici bir hikayeye dokunduğunda, güvenlik önlemleri ve çalışanlar olarak çalışanlar, bellek oluşumu ve hatırlama önemli ölçüde artabilir.
Bu arada, gerçekçi kimlik avı simülasyonları uygulamalı öğrenme sağlar ve kas hafızası oluşturmaya yardımcı olur. Sadece öğretmezler – doğru davranışları bağlamda ve güvenli bir ortamda test eder ve güçlendirirler. Senaryo tabanlı öğrenme ve gerçekçi simülasyonlar, çalışanları gerçek tehditleri yansıtan ve yaşamı güvenlik kavramlarına nefes alan durumlara yerleştirerek eğitim bittikten çok sonra devam eden duygusal bellek çapaları yaratmaya yardımcı olur. Deepfakes ve diğer AI seçmeli ployları içeren planların çoğalması, sadece aciliyeti daha da artırır-sadece bu davayı, sadece haftalar önce, bir finans uzmanının üst düzey personelin derin dipsi versiyonlarıyla bir görüntülü görüşmeden sonra 25 milyon dolar ödediği yerden göz önünde bulundurun.
Onay kutusundan checkmate’e
Yani, bu acil e -postayla karşı karşıya olan Sarah’nın panik olmadığını hayal edin; Bunun yerine duraklıyor. Kırmızı bayrakları tanıyor, çünkü ilgi çekici güvenlik eğitiminde benzer senaryolarla karşılaştı. Harekete geçmeden önce durdurmak, düşünmek ve doğrulamak için kas hafızasını inşa etti. Sonunda, fonları siber suçlu hale getirmek yerine, güvenlik ekibini sofistike bir saldırı girişimine karşı uyarır ve potansiyel olarak utanç verici bir aksilik (ardından başarılı bir siber-enjeksiyonun olumsuz medya kapsamını) kendisi ve şirketin geri kalanı için güçlü bir öğrenme anına dönüştürür.
Nihai hedef sadece uyumluluk değil – güvenlik davranışlarını yapışmasını sağlamak ve gerçekten de onları yangından kaçmak kadar içgüdüsel yapmaktır.
Neden ESET’in 30 yılı aşkın şirketin siber güvenlik deneyimini kapsamlı bir eğitim çözümüne sokan ve her büyüklükteki kuruluş için yenilikçi ve ilgi çekici içerik sunan siber güvenlik farkındalık eğitimini (şu anda ABD ve Kanada’da mevcut) denemiyorsunuz?