Şunu hayal edin: Meslektaşınız tehlikeli olduğunu bildiğiniz bir bağlantıya tıklamak üzere. Olayı göz ucuyla görüyorsunuz ve çok geç olmadan müdahale ederek omzunuza zamanında dokunarak onları riskli eylemden uzaklaştırmaya hazırsınız. Şimdi bunun şüpheli bir USB belleği taktıkları, hassas bir dosya yükledikleri veya yanlışlıkla kimlik bilgilerini açığa çıkardıkları her seferde gerçekleştiğini hayal edin. İnsanların bu riskli davranışları her zaman eylem halindeyken yakalaması neredeyse imkansız olsa da, bu senaryo, dürtme teorisini nihai uygulamasına, anında, hatta ölçülebilir anlık rehberliğe taşıyor.
Ancak bu gerçek zamanlı müdahalelere dalmadan önce bazı temel soruları ele alarak başlayalım:
- Dürtü teorisi nedir?
- Seçim mimarisi nedir?
- Dürtüyü oluşturan nedir ve ne değildir?
- Dürtüleri kullanmaya nasıl başlanır?
- Dürtülemelerin uygulanmasına yönelik hedefler nelerdir?
Dürtme Teorisi ve Seçim Mimarisi
Dürtüleme teorisi, Richard H. Thaler ve Cass R. Sunstein’ın davranışsal ekonomiye odaklanan “Nudge” kitabının yayımlanmasıyla geniş çapta tanındı. İnsanların seçimlerini kısıtlamadan faydalı kararlar almalarına yardımcı olmayı amaçlayan “yumuşak, ataerkil dürtüklemeler” kavramını tanıttılar.
Davranışı etkilemenin geleneksel yöntemleri genellikle ‘insanları zorlamayı’ içerir; bu doğrudan olabilir ve bireylerin eylemlerini değiştirmeleri için önemli çabalar gerektirebilir. Bu yaklaşım, korkunun sıklıkla motive edici bir araç olarak kullanıldığı siber güvenlik alanında yaygındır. Bununla birlikte, kötü yürütülen girişimler direnişe veya bağlantının kesilmesine yol açabilir.
Bunun tersine, dürtme daha yumuşak bir strateji kullanarak bireylerin doğal olarak doğru seçimleri yapmalarına olanak tanır. Şu örnekleri göz önünde bulundurun:
Çocuklardan odalarını toplamalarını isterken, yönlendirici bir yaklaşım onlara talimat vermek olurken, dürtmek bunu bir oyuna dönüştürmeyi içerebilir.
“Çöp atmayın” yazan tabelalar güçlü bir yaklaşım gerektirir, ancak sadece çöp kutularını sağlamak ve vurgulamak daha dürtmeye dayalı bir stratejidir.
Sağlıklı beslenme bağlamında, kalori saymak ve porsiyonları kasıtlı olarak azaltmak, ciddi çaba gerektiren zorlayıcı bir yaklaşım olabilirken, daha küçük tabaklar kullanmak, davranışı teşvik etmek için bir dürtü görevi görür.
Seçim Mimarisinin Rolü
“Nudge”ın daha sonraki bir baskısında Thaler ve Sunstein, Seçim Mimarisi kavramını vurguladılar. Tüm seçimlerin bir bağlam içinde gerçekleştiğini ve bu bağlamın alınan kararları büyük ölçüde etkilediğini açıkladılar. Seçim Mimarisi, bu bağlamın seçimleri istenen yöne yönlendirecek şekilde tasarlanmasını içerir. Yazarlar, böyle bir mimarinin her zaman var olduğunu ve kasıtlı olarak tasarlanmış olsun ya da olmasın kararları etkileyeceğini belirtiyor.
Dahası, bilişsel önyargılarımız, kısayollarımız ve buluşsal yöntemlerimiz kararlarımızı şekillendirir. Çevre ile bu önyargılar arasındaki etkileşimi anlayarak insanları en uygun seçimlere doğru daha iyi yönlendirebiliriz.
Karar Verme ve Bilişsel Önyargılar
Bu kavramı kavramak için nasıl karar verdiğimizi düşünmemiz gerekir. Kararlarımızın kasıtlı ve iyi düşünülmüş olduğuna inanmayı sevsek de, aslında bunların yalnızca %5’i öyledir. Günlük kararlarımızın yaklaşık %95’i daha otomatik olarak verilmektedir. Bu durumlarda beyin, kısayollara güvenerek aşırı bilgi yükünü yönetir. İşte seçim mimarisinin gerçek hayattan bazı örnekleri:
Bir süpermarket kasasında her zaman bir raf olacaktır. Üzerine neyin yerleştirileceğinin seçimi, seçimin “mimarlığının” bir örneğidir. Kasaya şekerleme koymak sağlıksız seçimleri teşvik ederken, su, sebze ve meyve koymak daha sağlıklı kararları teşvik ediyor.
Okul kafeteryalarında çocukları daha sağlıklı seçimlere yönlendirmeye odaklanan dürtme konusunda çok sayıda çalışma yapılmıştır. Araştırmacılar, meyve ve sebzeleri yaratıcı isimlerle daha çekici hale getirmek veya kolaylık olsun diye göz hizasına yerleştirmek gibi basit stratejilerin çocukların seçimlerini olumlu yönde etkilediğini keşfetti. Ek olarak, sunucuların “Bunu denemek ister misiniz?” diye sormasını sağlayarak seçimi normalleştirmek. da etkili olduğunu kanıtladı.
Etkili Dürtüler ve Davranış Modelleri
Etkili dürtüklemeler, mesajları maksimum etkiyle oluşturmak için bilişsel önyargılar ve davranış bilimi anlayışından yararlanır. Bu sadece ifadeyi değil aynı zamanda bağlamı ve zamanlamayı da içerir. Birkaç model, dürtmelerin nasıl uygulanacağını kavramsallaştırmaya yardımcı olabilir. Birleşik Krallık hükümetinin Nudge Unit veya Behavioral Insights Team tarafından geliştirilen MINDSPACE kısaltması bir çerçeve sunmaktadır. Dürtmenin en basit uygulamaları için, halihazırda gönderdiğimiz mesajların ince ayarını yapmaya ve hassaslaştırmaya odaklanıyoruz. Kuruluşumuzla güvenlik farkındalığı konusunda zaten iletişim kuruyorsak, bu mesajları mümkün olduğunca etkili hale nasıl getirebileceğimizi düşünmeliyiz. MINDSPACE’teki her harf, bir dürtmenin etkisini arttırmak için dikkate alınması gereken önemli bir unsuru temsil eder. Örneğin, Messenger için M, bilgi kaynağının etkisini vurguluyor ve Hazırlama için P, bilinçaltı ipuçlarının etkisini vurguluyor.
Behavioral Insights Ekibi tarafından geliştirilen MINDSPACE’e daha basit bir alternatif EAST modelidir. Bu model, etkili dürtmelerin gerçekleştirilmesi kolay, çekici, sosyal ve zamanlı davranışları hedeflediğini öne sürerek etkili bir dürtmenin temel özelliklerini vurgulamaktadır.
Dürtüleri tasarlamak yalnızca mesajlara ince ayar yapmanın ötesine geçer; İstenilen davranışların zahmetsiz olduğu ve mesajların doğru zamanda iletildiği ortamların yaratılmasını içerir. Dürtme teorisi iletişim ifadelerini geliştirebilirken, MINDSPACE ve EAST gibi modeller güncellik ve alaka düzeyinin kritik rolünün altını çiziyor. Slack, Teams veya e-postalardaki mesajlar yalnızca bu platformlardaki ilgili riskleri veya davranışları ele aldıklarında etkili olur. Aksi takdirde, güncellik ve uygunluk testinde başarısız olurlar ve sadece dırdırcı olarak algılanabilirler.
Siber Güvenlik Eğitiminde Geleneksel Yaklaşımlarla İlgili Zorluklar
Siber güvenlik alanında geleneksel yöntemler genellikle insanların nasıl öğrendiğini ve davrandığını gözden kaçırıyor. Yıllık e-öğrenme veya PowerPoint sunumları zamansızdır, bağlamdan yoksundur ve nadiren anlaşılmasını kolaylaştırır. Aslında, son araştırmalar, siber güvenlik profesyonellerinin %60’ının yalnızca yılda bir kez (veya daha az sıklıkta) eğitim aldığını ortaya çıkardı. Siber tehditlerin sürekli olarak geliştiği göz önüne alındığında, bu tür “anlık görüntü” eğitimleri, güvenliğinizi korumanıza yardımcı olacak kadar ileri gitmez. İnsanlara en son siber güvenlik tehditleri hakkında güncel bilgiler. Eğitimi takip eden kimlik avı simülasyonları veya SIEM tabanlı davranış analizleri gibi araçlar da genellikle çok geç geldiğinden ve cezalandırıcı olarak algılanabildiğinden yetersiz kalıyor.
Daha Etkili Eğitim İçin Dürtme Teorisini Kullanın
İdeal çözüm, davranışın gerçekleştiği anda gerçekleştirilen, zamanında, bağlama duyarlı müdahalelerde yatmaktadır. Dürtüye dayalı yaklaşımlar, istenen davranışları yerleştirmek için bağlamdan ve zamanından yararlanarak güvenlik farkındalığını artırma konusunda önemli bir potansiyele sahiptir. Bunu güvenlik farkındalığı eğitimine uygulamak nasıl bir şey?
- Zamanında Yapın – Yıllık, hatta üç aylık bilinçlendirme çalışmaları yeterince zamanında yapılmıyor. Bunun yerine, damlamayla besleme içeriğini yıl boyunca daha sık değerlendirmeli ve bunun sürekli bir çaba olmasını sağlamalıyız. Ek olarak, içeriğin güncel hale getirilmesi kullanılabilirlik buluşsal yönteminden yararlanabilir; güncel haberlere bağlamak veya bireylerin özel yaşamlarına ve güvenliklerine atıfta bulunarak kişiselleştirmek, onu daha etkili hale getirebilir.
- Bağlamsal hale getirin – En büyük risk anında pragmatik tavsiyelerle dürtmek, insanların eylemlerinin yaratabileceği etkiyi anlamalarına ve daha güvenli seçim yapmalarına gerçekten yardımcı olur.
- Farkındalığınızı kolayca erişilebilir ve kullanıcı dostu hale getirin – Takip edilmesi kolay ve uygulanabilir tavsiyeler sunarak, anlaşılması hızlı ve basit olmasını sağlayın.
- İnsanları Motive Edin – Son derece etkili olduğunu düşündüğümüz kişisel bir bağlam içine yerleştirerek tehdit değerlendirmesinde insanlara yardımcı olun. Kendimizi ve ailemizi korumayı çok önemsediğimiz için daha fazla dikkat etme eğiliminde oluyoruz. Gerçek örnekleri, hikayeleri ve merakı bir araya getirmek, dikkat çekiciliği ve alaka düzeyini önemli ölçüde artırabilir.
İnsanlar her zaman rasyonel kararlar vermezler! Dürtü teorisi, beynimizin sıklıkla bilişsel önyargılardan ve bağlamdan etkilenen kısayolları kullandığını açıklıyor. Amacımız, insanları kendi çıkarlarına en uygun eylemlere yönlendirmek için bu eğilimden yararlanmaktır. Dürtüleme, her zaman bir seçim mimarisinin olacağını kabul ederek seçim ortamını tasarlamayı içerir. Bu nedenle, en olumlu sonuçlara ulaşmak için onu “mimarlamalıyız”.
Etkili dürtme örneklerini, MINDSPACE modelini, diğer davranış çerçevelerini ve anlık dürtme örneklerini inceleyerek, davranışları yönlendirmek için kampanyaların nasıl yürütüleceğini, etkili dürtmelerin neye benzeyeceğini, bunların nasıl uygulanacağını ve bunların potansiyel etkilerini keşfedebiliriz.
Yazar Hakkında
Tim Ward, Think Cyber Security Ltd.’nin CEO’su ve Kurucu Ortağıdır. Tim, BT alanında Logica, PA Consulting, Sepura gibi kuruluşlarla 25 yıldan fazla çalıştı ve daha önce BAE Systems’in (Detica) siber bölümünün Küresel BT Başkanı olarak görev yaptı.
Tim’e çevrimiçi olarak https://www.linkedin.com/in/tim-ward-cyber/ adresinden ve şirket web sitemiz https://thinkcyber.co.uk/ adresinden ulaşılabilir.