Bazılarınız şimdiden 2024 için bütçe oluşturmaya ve kuruluşunuz içindeki güvenlik alanlarına fon ayırmaya başladınız. Çalışanların güvenlik farkındalığı eğitimlerinin de harcama kalemlerinden biri olduğunu söylemek yanlış olmaz. Bununla birlikte, insanların işyerinde hâlâ güvensiz davranışlarda bulunduğu göz önüne alındığında, bunun etkinliği açık bir sorudur. Ayrıca, sosyal mühendislik en yaygın saldırılardan biri olmaya devam ediyor ve bunu başarılı bir veri ihlali takip ediyor. Microsoft bulundu popüler bir video tabanlı eğitim biçiminin, kimlik avı tıklama davranışını en iyi ihtimalle yaklaşık %3 oranında azalttığını gösteriyor. Microsoft, bu sayının yıllar içinde sabit kaldığını ancak kimlik avı saldırılarının her yıl arttığını söylüyor.
Ne olursa olsun, kuruluşlar eğitime güveniyor ve saldırılardan sonra çalışan eğitimine yönelik güvenlik yatırımlarını artırma eğiliminde. IBM Security’ye göre, olay müdahale planlaması ve testinden hemen sonra kuruluşların %51’i için öncelik listesinde ikinci sırada yer alıyor “Veri İhlalinin Maliyeti Raporu 2023”.
Peki güvenlik farkındalığı eğitimleri bizi bundan vazgeçmekten alıkoyuyor mu? Anketlere baktık, BT güvenlik mühendisleriyle konuştuk ve yeni siber güvenlik kursunun yaratıcılarıyla eğitim içeriğini tartıştık.
İnsanlar öğrenmek istiyor ama zamanları yok
Eğitimin düşük verimliliği artık çalışanların ilgisizliğiyle açıklanamaz. Ankete katılanların %64’ü şaşırtıcı bir şekilde CybSafe araştırması güvenlik farkındalığı oturumlarını çalışma programlarına sığdırmak için tahsis edilen süreyi talep etti. Üstelik çalışanların %43’ü bağlılık ve etkileşimin finansal ödüllerden daha cazip teşvikler olduğunu buldu ve bu da dinamik ve pratik deneyimlere olan ihtiyacı ifade etti. CybSafe’in belirttiği gibi, “Bu, dışsal ödüller yerine eğitimin kendi rutinlerine entegrasyonuna değer veren bir iş gücüne işaret ediyor.”
Zaman, siber güvenlik öğreniminin önündeki en önemli kaynaktır. Çalışanların genellikle teslimat şartlarını kısa sürede karşılamaları beklenir. Hızlı tempolu bir çalışma ortamında, uzun eğitimleri atlamak ve KPI’yı karşılamak için günlük görevleri tamamlamak çok daha kolaydır.
Ancak mevcut çalışma şekline ve kısa dikkat süresine uyum sağlamaya hazır siber güvenlik uzmanları da var. Siber Güvenlik Yalnızca 1 dakika 30 saniyede güvenlik temellerini sağlamak için tasarlanmış bir siber güvenlik kursudur. Cybersecuritoons, alışılagelmiş uzun videolar ve sunumlar yerine 4 kısa karikatürde dört ana konuyu ele alıyor: şifreler, kimlik avı, uzaktan çalışma ve kötü amaçlı yazılım. Genel olarak kursun tamamı 6 dakika sürer.
Cybersecuritoons’un yaratıcıları, MacPaw adlı bir yazılım geliştirme şirketinin siber güvenlik bölümü olan Moonlock’taki uzmanlardan oluşan bir ekiptir. Moonlock Baş Ürün Müdürü Oleg Stukalenko, “Moonlock’un misyonu siber güvenliği herkes için erişilebilir kılmaktır” diyor. “Öncelikle kendi kötü amaçlı yazılım önleme teknolojimiz Moonlock Engine’i App Store’daki en popüler macOS temizleyicilerden biri olan CleanMyMac X’e entegre ettik. Kötü amaçlı yazılımların kaldırılması da dahil olmak üzere tüm sistem sorunlarını çözen büyük bir düğmeye sahip. Şimdi başlatıyoruz YouTube’daki herkesin erişebileceği eğlenceli ve kısa bir siber güvenlik kursu.”
Moonlock, kısa biçimli içerik seçerek çiviyi vuruyor. İçerik oluşturucular artık insanların kesintisiz ilgisine güvenemezler ve bu durum siber güvenlik içerikleri için de geçerlidir. Yoğun çalışma programları nedeniyle, kısa süreli eğitimlerin ardından ilgili pratikler ve etkileşimli oturumlar, siber güvenlik bilgilerini tazelemenin tercih edilen ve daha etkili bir yoludur.
İnsan hatalarına insani çözüm
Stres, teslim tarihlerine yetişme baskısı ve tükenmişlik, insanların hata yapmasının ve sosyal mühendislik hilelerine başvurmasının nedenidir. Tessian işçilere anket yaptığında “İnsan Hatası Psikolojisi” Rapora göre katılımcıların %50’si, yanlış e-postayı yanlış kişiye veya yanlış eklentiyle gönderdikleri için zaman yetersizliğinden dolayı baskı altında olduklarını söyledi.
Güvenlik departmanları, çeşitli savunma hatlarına en ileri teknolojiyi kurabilir, ancak yalnızca bir insan tarafından yapılan tek bir tıklama, tüm araçları ve güvenlik duvarlarını gereksiz hale getirebilir. Farkındalık eğitimi, hangi şekliyle olursa olsun, kuruluşlarımızı milyonlarca dolarlık mali ve itibar kaybından kurtarabilecek günlük rutinin nazik bir hatırlatıcısıdır. IBM Security, iş yerinde güvenlik farkındalığı eğitimini yüksek ve düşük düzeyde benimseyen şirketler arasında veri ihlali maliyetinde 1,5 milyon ABD doları veya %33,9 oranında bir fark olduğunu söylüyor.
Gerçek şu ki, çalışanlara kurumsal güvenlik teknolojisinin daha iyi bekçileri olmayı öğretmeliyiz. Birlikte, siber saldırılara karşı dayanıklılığın insani boyutunu yaratacak ve kuruluşlarımızdaki tasarım gereği güvenlik süreçlerinin oluşumunu doğrudan etkileyecek araçlara sahibiz. İstatistikler, çoğu saldırının asgari güvenlik uygulamalarına uyulması halinde engellenebileceğini acımasızca göstermektedir. Bu nedenle yakın gelecekte Cybersecuritoons gibi daha fazla içerik göreceğiz: Kısa, farklı güvenlik uzmanlığı düzeyleri için tasarlanmış ve erişilebilir. Aslında siber güvenlik eğitimi pazarı bekleniyor 2026 yılına kadar 10 milyar dolara ulaşacak. Bu, 2014’teki yıllık 1 milyar dolarlık gelirden çok uzakta.
Geri bildirim farkındalık eğitimini nasıl dönüştürür?
İnsan odaklı herhangi bir yaklaşımda olduğu gibi, insan güvenlik duvarı oluştururken de insanların farklı olduğu gerçeği dikkate alınmalıdır. Bu, güvenlik ekiplerine güvenlik farkındalığı eğitimine yönelik stratejilerini sürekli olarak gözden geçirebilecek bir konuma getirir. Perspektiflerini örgün eğitimden, siber saldırı durumunda güvenlik uzmanlarına yardımcı olacak araçlarla meslektaşlarını donatmaya kaydırıyorlar.
Şu tarihte: MacPawBir yazılım geliştirme şirketi olan ve Moonlock ile Cybersecuritoons’a ev sahipliği yapan .com’da, kuruluşun güvenliğinin tüm ekibin sorumluluğunda olduğuna dair güçlü bir inanç var. MacPaw’ın BT Güvenlik Mühendisi Artem Bovtiukh, düzenli farkındalık eğitiminin temel amacının güvenlik hijyeninin temellerini hatırlatmak olmasına rağmen en önemli şeyin şirkette geri bildirimli bir güvenlik kültürü geliştirmek olduğunu söylüyor. Artem, “Eğitimin verimliliği iç denetimlerimiz aracılığıyla görülüyor. Ancak en değerli sonuç, meslektaşlarımızın şüpheli olaylara nasıl dikkat ettiği ve bunları bize nasıl bildirdiğidir” diyor.
Geri bildirim aynı zamanda güvenlik ekibinin eğitim sunumunu şekillendirmesine de yardımcı olur. Artem, herkesin günlük siber güvenlik meseleleriyle ilgili sorular, şüpheler ve görüşlerle kendilerine gelebileceğini belirtiyor. Bir sonraki çalışan eğitiminde içerik oluşturulurken bunların tümü dikkate alınacaktır. MacPaw Öğrenme ve Gelişim Uzmanı Anastasia Hutorova, “Deneyimlerimiz, güvenlik oturumlarını tamamlamaya yönelik en iyi teşvikin, tamamlanma süresine veya yalnızca tamamlanma gerçeğine bağlı olmadığını gösteriyor” diye paylaşıyor. “Eğitim hedefleri, etkileri, iş hedefleriyle ve/veya şirketin OKR’leriyle nasıl uyum sağladığı ve meslektaşlarımızın mesleki gelişiminde oynadığı rol konusunda şeffafız.”
MacPaw, tüm ekipleri güvenlik farkındalığı materyallerini incelemek için günlerce izin almaya teşvik ediyor. Politikaya göre, tüm ekip üyelerinin siber güvenlik bilgileri de dahil olmak üzere yeni bilgiler edinmeye odaklanabileceği eğitime özel günler vardır. Çalışanların eğitimi atlamalarının ya da işyerinde güvensiz davranışlara yönelmelerinin temel sebebinin zaman eksikliği olduğu dikkate alındığında, özel zaman ayırma fikri fazlasıyla makul görünmektedir.