Çoğu güvenlik tartışması, çalışanları bir yük olarak gösterir. Ardından, verilen eğitim de bu fikri pekiştirir; uzun yıllık sunumlar ve çalışanların yapabileceği herhangi bir hata için endişe verici sonuçlar özetlenir. Bu yaklaşım korku, ilgisizlik ve neredeyse hiç davranış değişikliği yaratmaz. Ancak alternatif bir yaklaşım mevcuttur, sadece temel varsayımın tersine çevrilmesi gerekir.
Korkuya dayalı eğitimin neden etkili olmadığı
Göre Verizon Veri İhlali Araştırmaları RaporuVeri ihlallerinin %74'ünde insan faktörü rol oynuyor. Bu, başarılı bir sosyal mühendislik saldırısı, bir hata veya kötüye kullanım olabilir. Bu istatistikleri paylaşan kişiler genellikle çalışanların bir zayıflık noktası olduğunu belirtmek için kullanıyorlar; ancak istatistik aslında insan davranışının bir saldırının hedefi olduğunu ve bu saldırıyı durdurmanın da insan davranışında mümkün olduğunu gösteriyor.
Korkuya dayalı eğitim, bu istatistiği bir yargı olarak görür. Farkındalığa dayalı eğitim ise bunu bir fırsat olarak görür. İnsanlarınız zayıf bir halka değil, ilk tespit hattı olduklarını fark ettiklerinde zihniyetlerini değiştirirler. Daha önce hiç fark etmedikleri şeyleri fark ederler. Yanıldıklarını sessizce ummak yerine, seslerini yükseltirler.
Teknik kontrol, psikolojik kontrolden daha az önem taşır.
Yıllık onay kutusunun ötesine geçmek
Çalışan güvenlik eğitimine öncelikle uyumluluk odaklı bir yaklaşımla yaklaşırsanız, kendinizi bu döngüye kilitlersiniz. Bir oturum planlanır, ekibiniz (umarım) gelir, bir video veya sunum izler, güvenlik denetiminizde bir kutucuk işaretlenir ve bir sonraki yıl aynı zamana kadar hiçbir şey değişmez; o zaman her şey tekrar yapılır. O zamana kadar, bu bilgilerin ve bağlamın neredeyse tamamı ekibinizin kısa süreli hafızasından çoktan silinmiş olur. Yıka, durula ve tekrarla.
Bu bir takım hatası değil, yapısal bir hata. İnsan hafızasının zayıflaması 12 aylık bir döngüde işlemez (işleseydi çok güzel olurdu), bu nedenle değerli eğitim bilgilerinin çoğu, en çok ihtiyaç duydukları anda, yani bir sonraki sefer kuruluşunuzu hedef alan kötü niyetli bir saldırı olduğunda, artık takımın zihninde bulunmaz.
Otomatikleştirilmiş eğitim döngülerinin, yıllık, manuel atölye çalışmalarına kıyasla daha iyi performans göstermesinin tek bir nedeni var: Güvenliği sadece seminer süresince değil, tüm yıl boyunca akılda tutmak. Güvenlik farkındalığı eğitimi Otomatik bir platform üzerinden sunulan bu hizmet, herkese ulaşmanızı, ilerlemeyi takip etmenizi ve gerçek davranışlara göre uyum sağlamanızı sağlar; bu nedenle, stresli bir Mart ayında evden çalışırken iyi güvenlik uygulamaları sergileyen bir ekibin Aralık ayında hata yapma olasılığı çok daha düşüktür.
Anlık öğrenme modeli
Çalışanlara yönelik güvenlik bilinci eğitimi, en uygun zamanda verildiğinde en etkili olur. Örneğin, bir çalışan kimlik avı simülasyonu bağlantısına tıkladığında, verilecek yanıt sadece onları şikayet edip konuyu kapatmak olmamalıdır. Bunun yerine, bu, onlara hemen kısa ve odaklanmış bir eğitim modülü sunmak için mükemmel bir fırsattır.
Anlık öğrenme olarak da bilinen bu yaklaşım, önceden planlanmış eğitime göre daha yüksek öğrenme kalıcılığı oranları sunmaktadır. Öğrenilen ders doğrudan yaşanan olayla ilişkilidir. Çalışan kendini cezalandırılmış hissetmez, aksine bu bilgiye en çok ihtiyaç duyulduğu anda neyden kaçınması gerektiğini öğrenir.
Suçlama içermeyen bir habercilik kültürü oluşturmak
En iyi eğitimli çalışanların bile zaman zaman hata yapması kaçınılmazdır. Küçük bir olay ile tam teşekküllü bir ihlal arasındaki fark genellikle hatanın ne kadar çabuk bildirildiğine bağlıdır. Çalışanlar misillemeden korkarlarsa sessiz kalırlar. İhlal daha da büyür. Ve sonunda birileri fark ettiğinde, kurtarma çok daha pahalıya mal olur.
Bu nedenle, iyi tanımlanmış, cezalandırıcı olmayan bir raporlama süreci, bir kuruluşun hayata geçirebileceği en önemli şeylerden biridir. Çalışanlara, bir hatayı hemen bulup bildirmelerinin doğru tepki olduğunu, örtbas edilmesi gereken bir şey olmadığını gösterir. Ayrıca, güvenlik personelinizin bir ihlal kontrolden çıkmadan önce kullanabileceği alarmlar oluşturur.
Bu durum, yeterince konuşmadığımız bir şekilde, içeriden gelen tehdit riskine kesinlikle değiniyor. İçeriden kaynaklanan olayların çoğu kötü niyetli değildir. Bunlar hatalardır – yetkisiz yazılım yüklemek, bir aldatmaca saldırısına kanmak, bulut sunucusunu yanlış yapılandırmak gibi. Raporlamada güvenlik kültürü, bunların büyümeden önce yakalanmasını sağlar. Suçlama kültürü ise bunların gizlenmesine izin verir.
Güvenliği profesyonel bir beceri gibi hissettirmek
Bazen oyunlaştırma önemsiz bir şey olarak görülür, ancak aslında işe yarar çünkü bağlamı değiştirir: bu eğitim çalışanlara verilen bir şey değil, iyi olabilecekleri bir şeydir. Liderlik tabloları, takdir ve tamamlama rozetleri, insanları profesyonel sertifikalar almaya yönlendiren aynı rekabetçi ve başarı motivasyonunu tetikler.
Çalışanlar güvenlik bilincindeki ilerlemeyi kaydetmeye başladığında veya ekiplerinin kimlik avı simülasyonunda güçlü bir performans sergilediğini fark ettiğinde, güvenlik artık sadece bir bilgisayar uzmanının sorunu olmaktan çıkıp, bir profesyonelin kimliği haline gelir. Ve gerçek siber güvenlik kültürü işte burada oluşur – posterlerden, fare altlıklarından veya peluş oyuncaklardan ya da çalışan el kitabındaki uyarı etiketlerinden değil.
Çok faktörlü kimlik doğrulama (MFA) benimsenmesi, gizli BT'nin azaltılması ve hatta yetki devri veya izinsiz giriş gibi fiziksel güvenlik kültürel unsurları, çalışanlar bunların iyi bir profesyonelin çalışma biçiminin olmazsa olmazları olduğu fikrini benimsediklerinde gelişir. Uyumluluğu değil, yetkinliği teşvik ediyorsunuz.
Olaylara en iyi şekilde müdahale eden kuruluşlar, en inanılmaz, X-Prize ödülüne layık güvenlik teknolojisine sahip olanlar değil; çalışanları profesyonel olarak yetkin olmaya motive olmuş ve garip bir şey gördüklerinde hemen destek arayan kuruluşlardır.