Siber Güvenlik Farkındalığı Yeterli Değil; Davranışlara Odaklanma Zamanı



Diyet Kola içmemem gerektiğini biliyorum ama birkaç haftada bir kendimi mutlu bir şekilde başka bir gümüş kutudan yudumlarken buluyorum. Sağlık risklerinden habersiz değilim. Aspartam hakkındaki en son DSÖ raporunu okudum. Hatta kutunun üzerinde “Uyarı: Fenilalanin içerir” yazıyor. (Eğer telaffuz edemiyorsam ve Coca-Cola’nın beni bu konuda uyarması gerekiyorsa, kesinlikle bu benim için iyi olamaz.) Ancak gizemli bir kimyasalın farkındalığı beni ara sıra bir Diyet Kolanın tadını çıkarmaktan alıkoymayacak; Davranışımı değiştirmek için yardıma ihtiyacım var.

Sosyal bilimcilerden bir alıntı yapmak gerekirse, “çok sayıda araştırma, yalnızca daha fazla bilgi verilen insanların inançlarını veya davranışlarını değiştirme ihtimalinin düşük olduğunu gösteriyor.” Ve yine buradayız, başka bir Siber Güvenlik Farkındalık Ay: Siber güvenlik eğitim videolarına, kimlik avı simülatörlerine ve çalışanlara güvenlik eğitimi, öğretimi ve farkındalığı konusunda açık büfe beslemek için ücretsiz öğle yemeklerine yapılan harcamaları teşvik eden sektörün Hallmark tatili.

Sorun Farkındalık Değil

Ancak çalışanlar zaten siber güvenliğin farkında. Aldıkları zorunlu eğitim, gönderdiğimiz sahte kimlik avı tuzakları, manşetlere çıkan siber saldırıların sürekli damlaması veya yakın zamanda çevrimiçi olarak dolandırılan aile üyesi olsun, siber güvenlik farkındalığı hiç bu kadar yüksek olmamıştı. Ancak yine de insan unsurunu içeren başarılı siber saldırıların hacminin azaltılmasında çok az fark yarattı.

Kolektif çabalarımızı farkındalıktan gerçek davranışlara kaydırmanın zamanı geldi. Bir ay sürecek bir kampanya yerine, çalışanların tüm yıl boyunca siber muhakeme kas hafızalarını oluşturup esnetmeleri için gerçek dünya fırsatları yaratmaya odaklanmalıyız.

15 yaşında, imrenilen sürücü ehliyeti özgürlüğünün peşinde koşan bir çocuğu düşünün. Öğrenmeye yönelik aşırı bir motivasyonla, bir sınıfta başlıyorlar, araba kullanmayla ilgili mümkün olan her şeyi özümsüyorlar, yetişkinleri araba sürerken gözlemliyorlar ve izin almak için yazılı bir sınavı geçiyorlar. Ancak direksiyona ilk kez geçtiğinizde, gerçek dünyada riskleri daha yüksek olan yeni bir öğrenme eğrisi başlıyor. Bir kişiyi kendi başına güvenli bir şekilde araç kullanmaya hazırlamak, sonuçta her türlü koşulda araba kullanmaktan oluşan aylarca pratik gerektirir.

Neden siber güvenliğin farklı olduğunu varsayıyoruz?

Çözüm Eğitim Değil

Siber güvenliğin insan unsurunu ele almaya yönelik evrensel yaklaşım, çalışanları günlük olarak dikkatimizi çeken tehditlerle başa çıkmaları için “eğitmek” olmuştur. Eğitim önleyici, teorik ve bağlam dışıdır: bir not, bir web semineri, bir testin de yer aldığı ilgi çekici bir tıklamalı video; bunların hepsi çalışanın hatırlayacağı umuduyla yapılır Kesinlikle bilinmeyen bir gelecekte benzer bir durumun ortaya çıkması durumunda ne yapmaları gerektiği. Başka hiçbir bağlamda bu şekilde öğrenmiyoruz ancak bazı nedenlerden dolayı siber güvenlikte bu başarısız yaklaşımı sürdürmeye devam ediyoruz. Neden? Uygunluk denetiminde bir kutuyu işaretlemek için mi?

Gerçek, kalıcı güvenlik davranışı değişikliği yaratmak için çalışanlarımızı açık İnternet otoyolunda direksiyon başına geçirmeliyiz. Bu zor ve korkutucu görünüyor, biliyorum. Ama öyle olmak zorunda değil. Çalışanlarla etkileşim kurma ve siber güvenlik bilgilerine müdahale etme şeklimizdeki küçük, basit değişikliklerin çok büyük bir etkisi olabilir.

Örneğin, Ekim ayında çalışanları tüm hesaplarında çok faktörlü kimlik doğrulamayı (MFA) kullanma konusunda keyfi olarak “eğitmek” ve Temmuz ayında yeni bir üretken yapay zeka aracına kaydolduklarında bunu hatırlayacaklarını ummak yerine, bu mesajın ulaşması gerekir. şu anda doğru bağlamdayken yeni bir hesap oluşturuyorlar. MFA kullanmanın faydaları veya soru veya şüphelerin önlenmesi gibi ek bilgilerle, istenen davranışı ve dolayısıyla istenen güvenlik sonuçlarını daha da teşvik edebiliriz.

Bir Sonraki Adımı Atmanın Zamanı Geldi

Siber güvenlik farkındalığı konusunda kolektif bir ateş noktasına ulaştık. Bu ay aynısından daha fazlasına ihtiyacımız yok. Olumlu alışkanlıkları ve güvenlik davranışlarını benimseyen tekrarlanabilir, gerçek dünya uygulamalarını uygulamaya yönelik bir sonraki adımı atmanın zamanı geldi. Modern nöropsikoloji ve davranış bilimi anlayışımızdan, diğer endüstri ve disiplinlerden öğrendiğimiz derslerden ve ortaya çıkan insan merkezli siber güvenlik teknolojilerinden yararlanarak, siber güvenlik anlayışını bugün ve her gün gerçeğe dönüştürebiliriz.



Source link