Kuruluşların tehditlere karşı hazırlıkları ve dayanıklılıkları siber suçluların ilerlemeleriyle aynı hızda ilerlemiyor. Bazı CEO’lar hala siber güvenliğin sürekli dikkat yerine epizodik müdahale gerektirdiğine inanıyor. Bu birçok şirket için gerçek değil; siber tehditlere hazırlıklı olmak, koordineli bir eğitim çabası gerektirir, bu nedenle siber güvenlik ekipleri bir saldırı olduğunda hazır olur.
Siber güvenlik uygulayıcıları genellikle merakı temel bir kişilik özelliği olarak paylaşırlar ve birçoğu uygulamalı öğrenme yaklaşımlarından hoşlanır. Bu, doğal olarak yarışmalar ve bayrak kapmaca gibi oyunlaştırılmış deneyimleri harika bir uyum haline getirir. Zaten birbirleriyle iyi huylu rekabetçi zorluklara yatkın ekipleriniz varsa veya üniversite veya lise siber kulüplerinde deneyimi olanlar varsa, bu tür eğitimlere aşina olabilirler ve bunu işlerine getirmekten hoşlanabilirler.
Bu amaçla, liderlerin eğitim müfredatlarını yenilerken ve ekiplerinin siber tehditlerin bu yeni dönemine hazırlanmasına yardımcı olurken akıllarında bulundurmaları gereken bazı önemli hususlar şunlardır:
Şirket önceliklerini, girişimlerini ve risklerini anlamak
Veri ihlalinin maliyetinin 4,5 milyon dolara yaklaştığı düşünüldüğünde, kuruluşlar her dakikanın önemli olduğu bir acil durumda ekiplerinin anlaşmazlığa düşmesini göze alamaz.
Çapraz eğitim değerlidir ve herhangi bir eğitim planına dahil edilmelidir. Sadece bir kriz anında kapsama yardımcı olmakla kalmaz – gerçek bir mor takım zihniyeti yaratmaya yardımcı olur ve takımı genel olarak büyütür.
Örneğin, kırmızı takım için tasarlanmış oyunlar yapan bir SOC analistinin veya günlük analizi ve adli bilişimle uğraşan bir saldırgan güvenlik mühendisinin oyun oynamasında çok fazla değer vardır. Ekip liderleri, yönetişim veya risk uzmanlarının bellek adli bilişimi veya güvenli kodlama zorlukları yapmasını beklememeli olsa da, mümkün ve ilgili olduğunda (çevrimdışı, gerçek hayattaki bir kaçış odası gibi – daha sonra buna değineceğiz) iş birliğine dayalı eğitimin teşvik edilmesi, en önemli olduğunda işlevler arası çalışmayı güçlendirecektir.
Liderler, hangi bilgi veya kapsam boşluklarının mevcut olduğuna ve bunların işletmeyi nasıl doğrudan etkilediğine bakmak için zaman ayırmalıdır. Bu, önceki olay yanıtlarında, denetimlerde veya kaynak görüşmelerinde öğrenilen derslere bakılarak yapılabilir.
Kuruluşunuzun stratejik hedeflerini anlayın, ihtiyaç duyulan becerileri bu hedeflere geri eşleyin ve ardından eğitim planını oluşturun. Örneğin, güvenliğin şirket için önemli bir ölçüt olduğu bir endüstriyel/üretim kuruluşunda çalışın. Endüstriyel kontrol sistemlerini güvence altına almaya odaklanan öğrenme platformlarını keşfetmek faydalı olabilir. Önceki bir olay yanıtında bir web uygulaması yanlış yapılandırmasının bir tehlikeye yol açtığı tespit edildiyse, yaygın web uygulaması sorunlarını güçlendirmeye, savunmaya veya istismar etmeye odaklanan eğitim iyi bir başlangıç noktası olabilir.
Aşırı rekabetçi veya ileri düzey eğitim ≠ daha iyi sonuçlar
Eğitim ödüllendirici olabilir ve olmalıdır ve oyunlaştırma bu ödülleri çalışanlar için daha net hale getirir. Ekiplerle bulundukları yerde buluşun ve beceriler geliştikçe karmaşıklığı artırın. Katılımcıların kendileri için çok ileri olduğu için sahtekarlık sendromu hissetmelerine neden olan bir eğitim programına başlamak cesaret kırıcı ve zararlı olabilir. Daha zor, daha rekabetçi ve daha pahalı eğitim her zaman en iyi sonuçlarla ilişkilendirilmez.
Faydalanabileceğiniz çok sayıda ücretsiz ve topluluk temelli eğitim programı ve ortamı bulunmaktadır. Bunlar arasında ücretsiz yakalama bayraklarını (CTF) kişisel olarak keşfetmeyi teşvik etmek veya ücretli hizmetlere ve kurumsal eğitim tasarımına geçmeden önce güçlü ve zayıf yönlerin nerede olduğunu ölçmeye yardımcı olmak için platformları kullanmak yer alır.
Eğitimin bilgisayarda yapılması da gerekmez. Oyunlar, ekiplerinizin kendi kendilerini organize etmelerine, strateji geliştirmelerine, zamanı yönetmelerine ve kaynaklar veya stratejik rehberlikle destekleyerek iletişim kurmalarına olanak tanır. Bu nedenle, yüz yüze kaçış odası veya Black Hills Infosec’in Backdoors ve Breaches gibi kart oyunları gibi bir ekip oluşturma egzersizi bu amaca hizmet eder. Bu aktiviteler boyunca yeni veya beklenmedik liderler ortaya çıkar ve her kişi akranlarının güçlü yönlerini öğrenebilir.
Eğitimin amacı, ekiplerinizin bir sınavda %100 almasını sağlamak değil, onların eğitimden yeni bir “aha” anı veya daha önce sahip olmadıkları bir yöntem bilgisiyle ayrılmalarını sağlamaktır.
Oyunlaştırılmış eğitim beklenmedik becerileri ortaya çıkarıyor
Siber güvenlik ekiplerinde teknik beceri olmazsa olmazdır; oyunlaştırılmış eğitim, tehditleri başarılı bir şekilde engellemek veya ortadan kaldırmak için gereken empati, delege etme ve zaman yönetimi gibi yumuşak becerilerin ortaya çıkarılmasına ve geliştirilmesine yardımcı olur.
Örneğin, takım tabanlı CTF’lerde en güçlü oyuncular belirli özellikleri paylaşma eğilimindedir. Takımlarının güçlü yönlerini empatik bir şekilde değerlendirebilen takım kaptanları, planlama yaparak, iletişim kurarak ve takım stratejisini bireylerin güçlü yönleriyle uyumlu hale getirerek başarılı olurlar. En iyi siber güvenlik liderleri gibi, olağanüstü CTF oyuncuları da bunun “rock yıldızı tek boynuzlu atlara” sahip olmakla ilgili olmadığını, bunun yerine, üstün oldukları yere göre doğru sorunları ele alacak doğru bireyleri bulmakla ilgili olduğunu bilirler.
CTF kariyerimin başlarında öğrendiğim ikinci en önemli ders zaman yönetimiyle ilgiliydi. Bazen, “öne geçmek” için önce kolay zorlukları aşmak arasında bir tercih yaparsınız – ancak bu, daha zor zorluklar için zamanınızın tükenmesiyle sonuçlanabilir. Tıpkı profesyonel dünyada olduğu gibi, oyunlar görevleri tamamlamak için sınırlı kaynaklarımız ve zamanımız olduğunu gösterir ve değeri zaman maliyetine ve hangi becerilere veya araçlara sahip olduğumuza göre tartmalıyız. Hangi zorlukları hangi sırayla çözeceğimizi stratejik olarak nasıl seçeceğimizi öğrenmek – özellikle hepsini çözmek imkansız olduğunda – profesyonel dünyada stratejik risk veya olay önceliklendirme kararlarını nasıl aldığımızla doğrudan paraleldir.
Çözüm
Siber güvenlik ekiplerini motive tutmak ve yeni zorluklara hazır tutmak için eğitim ve geliştirme taktiklerimiz evrimleşmelidir. Oyunlar (güvenlikle ilgisi olmayanlar dahil) ve siber güvenlikte çalışma arasındaki sinerjiler yaygındır ve IDC araştırmasına göre, giderek daha da kötüleşecek önemli bir BT beceri eksikliğiyle birlikte, ekiplerin siber güvenlik için personel bulundurmasını sağlamak kritik öneme sahiptir.
Masa üstü rol yapma oyunları veya rekabetçi e-sporlarda liderlik veya katılım için gereken planlama ve koordinasyon konusunda deneyime sahip olanlar, sektör için değerli olabilecek meraklı, motive olmuş, sorun çözme yeteneğine sahip olası yetenek havuzunu temsil edebilir.
Oyunlaştırılmış eğitim ve ekip aktiviteleri aracılığıyla “nasıl düşünülür” konusunu tazelemek, bu bulmacanın temel bir parçasıdır ve aynı zamanda daha sıkıcı atölyeler veya eğitim sunumlarıyla birlikte gelen tükenmişliği azaltır. İşverenler ve ekip liderleri siber güvenlikteki yetenek eksikliğini ve beceri açığını gidermeye çalışırken, oyunlarda ekip iş birliğini ve becerileri geliştirmek için önemli fırsatlar bulunmaktadır.