Teknoloji tasarımcıları işe bir ürün oluşturarak ve onu kullanıcılar üzerinde test ederek başlar. Ürün önce gelir; Kullanıcı girişi, uygulanabilirliğini doğrulamak ve geliştirmek için kullanılır. Yaklaşım mantıklı. McDonald’s ve Starbucks da aynı şeyi yapıyor. İnsanlar, yeni ürünleri deneyimlemeden, tarifleri hayal edemedikleri gibi hayal edemezler.
Ancak paradigma, kullanıcı koruması için programlar oluşturduğumuz ve ardından kullanıcılardan bunları uygulamalarını istediğimiz güvenlik teknolojilerinin tasarımına da genişletildi. Ve bu mantıklı değil.
Güvenlik kavramsal bir fikir değildir. İnsanlar zaten e-posta kullanıyor, Web’de geziniyor, sosyal medya kullanıyor ve dosya ve görüntü paylaşıyor. Güvenlik, kullanıcıların e-posta gönderirken, internette gezinirken ve çevrimiçi paylaşımda bulunurken yaptıkları bir şey üzerinde katmanlı bir gelişmedir. İnsanlardan emniyet kemeri takmalarını istemeye benzer.
Güvenliğe Farklı Bakma Zamanı
Yine de güvenliğe yaklaşımımız, insanların nasıl araba kullandığını göz ardı ederek sürücü güvenliğini öğretmek gibidir. Tüm bunları yapmak, ancak kullanıcıların bir şeyi daha iyi olduğuna inanarak körü körüne benimsemelerini veya diğer taraftan, zorlandıklarında yalnızca ona uymalarını sağlar. Her iki durumda da, sonuçlar yetersizdir.
VPN yazılımı durumunu ele alalım. Bunlar çok teşvik ediliyor sahip olunması gereken bir güvenlik ve veri koruma aracı olarak kullanıcılara sunulur, ancak çoğu sınırlı geçerlilik yok. Korumalarına inanan kullanıcıları daha büyük risk altına sokarlar, bu tür korumalara inanan kullanıcıların daha fazla risk aldıklarından bahsetmiyorum bile. Ayrıca, şu anda birçok kuruluş tarafından zorunlu kılınan güvenlik bilinci eğitimini de göz önünde bulundurun. Eğitimin kendi özel kullanım durumlarıyla alakasız olduğunu düşünenler, genellikle sayısız güvenlik riskine yol açan geçici çözümler bulurlar.
Bütün bunların bir nedeni var. Çoğu güvenlik süreci, gelişen teknoloji ürünlerinde geçmişe sahip mühendisler tarafından tasarlanır. Güvenliğe teknik bir zorluk olarak yaklaşıyorlar. Kullanıcılar, öngörülebilir işlevleri gerçekleştirmek üzere programlanabilen yazılım ve donanımdan farklı olmayan, sistemdeki başka bir eylemdir. Amaç, sonuçların tahmin edilebilir hale gelmesi için hangi girdilerin uygun olduğuna dair önceden tanımlanmış bir şablona dayalı eylemleri içermektir. Bunların hiçbiri, kullanıcının ihtiyaç duyduğu şeye dayanmaz, bunun yerine önceden belirlenmiş bir programlama gündemini yansıtır.
Bunun örnekleri, günümüz yazılımlarının çoğuna programlanmış güvenlik işlevlerinde bulunabilir. Bazıları kullanıcıların gelen bir e-postanın kaynak başlığını kontrol etmesine izin veren e-posta uygulamalarını alın; bu, bir gönderenin kimliğini ortaya çıkarabilen önemli bir bilgi katmanı iken, diğerleri bunu yapmaz. Veya mobil tarayıcıları ele alın; burada, kullanıcılar tarayıcılar arasında aynı gereksinimlere sahip olsalar bile, bazıları kullanıcıların SSL sertifikası kalitesini kontrol etmesine izin verirken, diğerlerinin vermemesine izin verir. Birisinin SSL’yi veya kaynak başlığını yalnızca belirli bir uygulamadayken doğrulaması gerekmiyor. Bu farklılıkların yansıttığı şey, her bir programlama grubunun ürünlerinin kullanıcı tarafından nasıl kullanılması gerektiğine dair farklı görüşüdür – ürün öncelikli bir zihniyet.
Kullanıcılar, farklı güvenlik teknolojilerinin geliştiricilerinin vaat ettiklerini yerine getirdiğine inanarak güvenlik gereksinimlerini satın alır, kurar veya bunlara uyar – bu nedenle bazı kullanıcılar bu tür teknolojileri kullanırken çevrimiçi eylemlerinde daha da cüretkar davranırlar.
Kullanıcı Öncelikli Güvenlik Yaklaşımı Zamanı
Güvenlik paradigmasını tersine çevirmemiz zorunludur – önce kullanıcıları koymak ve sonra onların etrafında savunma inşa etmek. Bunun nedeni yalnızca insanları korumamız gerektiği değil, aynı zamanda yanlış bir koruma duygusu geliştirerek riskleri körükleyip onları daha savunmasız hale getirmemizdir. Kuruluşların ayrıca maliyetleri kontrol etmek için buna ihtiyacı vardır. Dünya ekonomileri pandemiler ve savaşlardan yalpalarken bile, son on yılda kurumsal güvenlik harcamaları geometrik olarak arttı.
Kullanıcı öncelikli güvenlik, insanların bilgi işlem teknolojisini nasıl kullandıklarını anlamakla başlamalıdır. Şunu sormalıyız: Kullanıcıları e-posta, mesajlaşma, sosyal medya, tarama, dosya paylaşımı yoluyla korsanlığa karşı savunmasız kılan nedir?
Riskin temelini çözmeli ve davranışsal, beyinsel ve teknik köklerini bulmalıyız. Bu, geliştiricilerin güvenlik ürünlerini oluştururken uzun süredir görmezden geldikleri bilgilerdi, bu yüzden en güvenlik odaklı şirketler bile hala ihlal ediliyor.
Çevrimiçi Davranışa Dikkat Edin
Bu soruların çoğu zaten cevaplandı. Güvenlik bilimi, kullanıcıları sosyal mühendisliğe karşı savunmasız kılan şeyleri açıkladı. Sosyal mühendislik çeşitli çevrimiçi eylemleri hedeflediğinden, bilgi geniş bir davranış yelpazesini açıklamak için uygulanabilir.
Belirlenen faktörler arasında siber risk inançları — kullanıcıların çevrimiçi eylemlerin riskleri hakkında akıllarında tuttukları fikirler ve bilişsel işleme stratejileri — kullanıcıların bilişsel olarak bilgiyi nasıl ele aldığı, bu da kullanıcıların çevrimiçi olduklarında bilgiye verdikleri odaklanmış dikkatin miktarını belirler. Diğer bir faktör grubu ise medya alışkanlıkları ve ritüelleri kısmen cihaz türlerinden ve kısmen de kurumsal normlardan etkilenir. İnançlar, işleme stilleri ve alışkanlıklar birlikte bir çevrimiçi iletişim parçasının (e-posta, mesaj, web sayfası, metin) tetiklenip tetiklenmediğini etkiler. şüphe.
Kullanıcı Şüphelerini Eğitin, Ölçün ve Takip Edin
Şüphe, bir şeyle karşılaşıldığında duyulan huzursuzluk, bir şeylerin yolunda gitmediği duygusudur. Neredeyse her zaman bilgi aramaya yol açar ve bir kişi doğru bilgi veya deneyimle donanmışsa, aldatma-tespit ve düzeltmeye yol açar. Kimlik avı güvenlik açığına yol açan bilişsel ve davranışsal faktörlerle birlikte şüpheyi ölçerek, kuruluşlar, kullanıcıları neyin savunmasız hale getirdiğini teşhis edebilir. Bu bilgiler sayısallaştırılabilir ve en çok risk altında olanları belirlemek için kullanabilecekleri bir risk endeksine dönüştürülebilir — en zayıf halkalar – ve onları daha iyi koruyun.
Bu faktörleri yakalayarak, kullanıcıların çeşitli saldırılarla nasıl bir araya geldiklerini izleyebilir, neden aldatıldıklarını anlayabilir, ve bunu azaltmak için çözümler geliştirmek. Son kullanıcıların deneyimlediği gibi sorun etrafında çözümler üretebiliriz. Güvenlik yetkilerini ortadan kaldırabilir ve bunları kullanıcılarla alakalı çözümlerle değiştirebiliriz.
Güvenlik teknolojisini kullanıcıların önüne koymak için harcanan milyarlarca liradan sonra, siber saldırılara karşı savunmasız kalmaya devam ediyoruz. 1990’larda AOL ağında ortaya çıktı. Bunu değiştirmemizin ve güvenliği kullanıcılar etrafında oluşturmamızın zamanı geldi.
