Dijital dünyalarımızda güvende kalmak söz konusu olduğunda, bazen vazgeçmek tek seçenekmiş gibi gelebilir. Bu “güvenlik nihilizmi” fikri yeni değil. Güvenlik ekipleri, kullandığımız tüm teknolojilerde güvenli ve güvenilir deneyimler sağlamaya çalışırken her zaman inanılmaz derecede zorlu sorunlarla karşı karşıya kaldı. Güvenlik uygulayıcıları için üstesinden gelinmesi zor bir tuzak olabilir, ancak çalışanlar bunu hissetmeye başladığında daha da tehlikelidir. Güvenlik nihilizmi, bir şirketin verilerini ve bu verilerin koruyucusu olan çalışanları riske atan yeni ve mevcut sorunları kötüleştiriyor.
Ne yazık ki, güvenlik ve BT ekipleri istemeden bir güvenlik nihilizmine neden olabilir. Bazı kurumsal güvenlik taktikleri, iyi niyetli olsalar da, BT ve güvenlik ekiplerini korumaya çalıştıkları çalışanlarla karşı karşıya getirebilir. Korkutma taktiklerine dayanan, çalışanları hata yaptıkları için utandıran veya çalışanları bilgiyle bunaltan stratejiler, hayal kırıklığına ve katılım eksikliğine yol açabilir. Daha da kötüsü, insanların pes etmesine neden olabilirler. İhlaller kaçınılmaz görünüyorsa ve güvenliği doğru bir şekilde elde etmek çalışanlar için bu kadar zor ve külfetliyse neden rahatsız oluyorsunuz?
Güvenlik ekipleri, çalışanları meşgul tutmak için sorumluluk almalıdır. Çalışanları güçlendirmek ve herkesin aynı tarafta olduğu bir kültür yaratmak için mesajı değiştirmenin zamanı geldi. İşte bu hedefe doğru üç adım.
1. Çalışanların Hatalarını Utandıran “Gotcha” Tarzı Taktikleri Bitirin
Hata yapan çalışanları suçlamak veya utandırmak verimsizdir ve güvenlik nihilizmine yol açabilir. Çalışanlar cesareti kırılabilir ve pes edebilir ya da bir kimlik avı e-postası aldıklarında veya kötü niyetli bir bağlantıya tıkladıklarında güvenlik ekiplerine haber vermezler. Çalışanlar sorunun bir parçası değildir; onlar çözümün bir parçası. Güvenlik ekipleri, bilmiyorlarsa bir tehdide veya ihlale yanıt veremezler, bu da çalışanların şirket verilerini korumada önemli müttefikler olduğu anlamına gelir.
“Gotcha” tarzı kimlik avı testleri bu soruna iyi bir örnektir. Böyle bir test, bir şirketin tüm çalışanlarına tatil ikramiyesi hakkında bilgi içeren e-posta göndermeyi içerir. Bağlantıya tıklayan kişiler daha fazla siber güvenlik eğitimi ile “cezalandırılır”. Bunun gibi taktikler, çalışanları, güvenlik ekiplerini ve BT ekiplerini ortak bir şirket güvenliğini sağlama hedefi altında birleştirmek yerine düşmanca bir dinamik yaratır. Hesap verebilirlik, çalışanlardan güvenlik ekiplerine geçmelidir. Her çalışanın işini yapmaya çalışırken bir güvenlik uzmanı olmasını beklemek mantıksız. Anlatının, çalışanları suçlamaktan, ilk etapta neden hata yapabilecek durumda olduklarını sormaya değişmesi gerekiyor.
2. Güvenlik Yorgunluğuyla Mücadele Etmek İçin Olumlu Teşvikler Kullanın
Ödüller cezadan çok daha etkilidir. Olumlu teşvikler, güvenlik nihilizmiyle mücadeleye yardımcı olabilir, çalışanların katılımını sağlayabilir ve güvenlik ekipleri ile çalışanlar arasında bir ortaklık zihniyeti oluşturabilir.
Bunun örnekleri tüketici güvenliği tarafında görülebilir ve iyi sonuç verdi. Epic Games kullanıcıları ödüllendiriyor Onlara yeni ifadeler (Fortnite oyununda yapabileceğiniz bir dans hareketi veya başka bir eylem) ve karakterleri için öğeler vererek hesaplarında iki faktörlü kimlik doğrulamayı etkinleştiren kişiler. Şirket, son kullanıcı güvenlik yorgunluğuyla mücadele etme ve genellikle olumsuz veya bunaltıcı olan tüketici siber güvenliğine biraz eğlence katma sorumluluğuna ve fırsatına sahip olduğunun farkındadır.
Çalışanlar şüpheli bir e-posta tespit ettiğinde, bir eğitimi tamamladığında, şifresini güncellediğinde veya hassas verileri yanlış kişiye göndermek gibi bir hatayı kabul ettiğinde olumlu teşvikler sağlanabilir. Kuruluşların buna çok fazla kaynak ayırması gerekmez; tanıma ve çıkartmalar uzun bir yol kat ediyor.
3. FUD’u Güvenlik Farkındalığı Eğitiminden Çıkarın
Güvenlik farkındalığı eğitimi, sıkıcı ve alakasız olmakla ün kazanmıştır. Çalışanların dikkatini çekmek için korku, belirsizlik ve şüphe (FUD) kullanmak cezbedicidir, ancak daha etkili bir yaklaşım, güvenlik kazanımlarını kutlayan bireyselleştirilmiş eğitimi içerir.
Üç ayda bir, tüm şirket için hazır eğitim yerine, eğitim, ilgili, bağlamsal senaryolar kullanılarak daha küçük gruplara veya bireylere göre uyarlanmalıdır. Örneğin, satış ekibindeki yeni bir uzaktan çalışanın eğitimi, genellikle bu tür çalışanı hedefleyen gerçek dünya kimlik avı tekniklerini kullanabilir. Odak noktası, güvenlik tehditlerini tespit etmek ve önlemek ve güvenli davranış uygulamak için bireysel bir çalışanın neyi başarması gerektiğine odaklanmalıdır.
Bu tür bir eğitim aynı zamanda bir çalışanın şüpheli bir talebi işaretlemesi gibi başarıları paylaşmalı ve kutlamalıdır. Güvenlik riskleri karşısında kazançları ve başarılı sonuçları vurgulamak, şirket çapında başarı için kritik olan çalışanların katılımını ve davranışını güçlendirir.
Güvenlik Korkutucu Olmaz
Şirket verilerini korumanın önündeki en büyük engellerden biri, güvenliğin ceza, korku ve zorlukla ilişkilendirilmesidir. İnsanlar zor ve korkutucu şeyleri görmezden gelme veya kaçınma eğilimi gösterirler ya da sadece omuzlarını silkip “Kimin umurunda?” derler. Bu nihilist zihniyet ele alınmalı ve buna karşı koymak güvenlik ekiplerine kalmış.
İleriye dönük daha iyi bir yol, çalışanların güvenlik risklerinden kaçınırken işlerini yapabilecekleri bir ortam yaratmaktır. Kazançları ödüllendirerek, hataların utancını ortadan kaldırarak ve çalışanları bir organizasyonu korumak için çok önemli olarak kutlayan eğitimler oluşturarak onları gruba dahil edin.