Siber güvenliğin inanılmaz derecede zor olmasının nedenlerinden biri, işletmenin bu kadar çok alanına dokunmasıdır. Veri uç noktalarına ve kesişme noktalarına odaklanmak cazip gelse de, insanların sistemleri nasıl kullandığı, kötüye kullandığı ve kötüye kullandığı da güvenlik üzerinde derin bir etkiye sahiptir.
Resilient Software Security’nin kurucu ortağı Damilare Fagbemi, “Tasarım ve kullanılabilirlik, güçlü güvenliğin temel taşlarıdır” diyor. “Kuruluşların arayüzlere ve kullanılabilirliğe yaklaşma şekli, imaj üzerinde ve aynı zamanda herkesin güvende olup olmayacağı üzerinde büyük bir etkiye sahiptir.”
Elbette, Kullanıcı arayüzü (UI) ve kullanıcı deneyimi (UX), web siteleri, uygulamalar, e-postalar, metin mesajları ve hatta fiziksel belgeler dahil olmak üzere çok sayıda alanı etkiler. Kimlik doğrulama yöntemleri, alışveriş sepetleri ve pazarlama ve ürün desteği gibi çeşitli alanlarla kesişebilirler. UI ve UX’in sistemleri ve cihazları kullanan çalışanları etkilediğini unutmak da oldukça kolaydır.
VPN Brains danışmanı Therese Schachner, “Siber güvenlik korumaları tasarım süreçlerine sorunsuz bir şekilde dahil edilmelidir” diyor. “İnsanlar, parola oluşturma ve çok faktörlü kimlik doğrulamayı kullanma da dahil olmak üzere çeşitli görevler için kapsamlı ve basit talimatlara ihtiyaç duyar.”
Dark Reading uzmanlarla güvenlik ve tasarımın kesişimi hakkında konuştu. UI ve UX iki farklı varlık gibi görünse de – ve bir dereceye kadar bunlar ayrı şeylerdir – aynı zamanda ayrılmaz bir şekilde bağlantılıdırlar. Bu makale, güvenli tasarıma yol açan görsel öğeleri araştırıyor.
Güvenli Tasarımın Arkasındaki Görsel Öğeler
Kuruluşlar güvenliği artırmaya çalışırken, genellikle gözden kaçan (hatta göz ardı edilen) bir şey güvenli tasarımdır. Görünüş önemlidir, ancak bir web sitesi, uygulama veya mesaj, başka bir güzel yüzden daha fazlası olmalıdır. Çeşitli unsurlar, insanların güvenlik açıklarına ve arızalarına yol açan hatalardan ve eylemlerden kaçınmasına yardımcı olmalıdır. Hiç kimse güvenlik kontrollerini uygulamak istemezken, herkes bunların gerekli olduğunun farkındadır.
Cisco’da Duo Security tasarım başkanı Amber Lindholm, güvenli UI ve UX’e doğru bir yolculuğun başlangıç noktası, temel ancak çok önemli bir hedef etrafında dönmektedir: “kullanıcıları değil saldırganları sinirlendiren güvenlik geliştirmek” diyor. “Herhangi bir güvenlik uygulaması için kullanıcı deneyimi, bu aracın kullanışlılığını ve güvenlik değerini artırabilir veya bozabilir. İyi bir kullanıcı deneyimi basit ve gezinmesi kolaydır, kullanıcının işleri halletmesine olanak tanır.”
Ne yazık ki, birçok tasarım öğesi, ziyaretçileri görevlerini terk etmeye teşvik etmek için yeterli sürtüşme yaratarak güvenliği gerçekten baltalıyor. Örneğin, kesin ölçütler karşılanmadığında kullanıcıyı sürekli olarak baştan başlamaya zorlayan bir parola giriş formu, zayıf ancak kabul edilebilir bir parolaya yol açabilir. Bir uygulama için oturum açma prosedürü çok hantalsa veya sürekli parola sıfırlama gerektiriyorsa, insanlar kontrolleri kapatır veya tamamen atlatır.
Tutarsız renkler, tasarımlar, iş akışları ve yazı tipleri de güvenliğe zarar verebilir. Kafa karıştırıcı seçimler yapabilir ve doğru yolu gömebilirler. Örneğin, bir Web sayfasındaki veya uygulamadaki tüm evet ve hayır düğmeleri monoton renkte göründüğünde, hata için daha büyük bir pencere vardır. Bir güvenlik öğesinin temel bir açıklamasının ve nasıl kullanılacağına ilişkin talimatların olmaması, iyi seçimleri baltalayabilir. Ayrıca, özellikle bir kişi bir siteyi ilk ziyaret ettiğinde, seçenekleri sınırlamak veya en azından gereksiz seçimleri azaltmak çok önemlidir. Bu, kullanıcıları push bildirimlerini kabul etme veya bir hesap oluşturma gibi görevlere zorlamayı içerir.
Dijital tasarım firması Robots & Pencils’ın yönetici deneyim direktörü Tyler Klein, “Kullandığınız tasarım formatı ne olursa olsun, güvenliği teşvik etmeli ve insanları bunaltmalı” diyor.
Şirketler küresel çapta iş yürüttüğünde zorluk büyür. “Farklı renk, şekil ve desenlerin farklı ülkelerde veya kültürlerde farklı anlamları vardır. Bu unsurları dikkatli bir şekilde düşünmelisiniz” diyor.
Güvenlik Üzerine Tasarımlar
Tüm tasarım öğeleri, güçlü ancak kullanımı kolay güvenlik kontrolleri yönüne işaret etmelidir. Birincil amaç, baypas kültüründen kaçınmaktır. Lindholm, “Fikir, kullanıcıları değil, saldırganları sinirlendirmektir,” diye açıklıyor.
Klein, harika bir site, uygulama veya öğenin güven oluşturduğunu söylüyor. Her şeyi net bir şekilde açıklar ve güvenlik öğelerini sezgisel bir şekilde görüntüler. “Kullanıcıların kafasında doğru şeyleri yaptıklarına dair herhangi bir şüphe istemezsiniz” diyor.
Güvenli tasarıma iyi bir örnek, anında geri bildirim sağlayan bir parola oluşturma kutusudur. Kişi çeşitli harfler, sayılar ve simgeler girdiğinde kutunun yanında yeşil bir onay veya kırmızı bir X işareti görüntülenir. Net bir metin görüntüleyici ile kullanıldığında, bu daha da iyidir – kullanıcının neyin iyi bir şifre oluşturduğunu tahmin etmesi veya ne yazdığı konusunda endişelenmesi gerekmez. Sonunda, kullanıcı tekrarlanan arızalara maruz kalmaz ve baştan başlamak zorunda kalır.
Güvenli tasarım, e-postalara ve metin mesajlarına da uzanır. İletinin geçerliliğini doğrulamaya yardımcı olmak için kısmi bir hesap numarası veya diğer hassas olmayan bilgilerin görüntülenmesi gibi öğeleri içerebilir. Giderek artan sayıda şirket, kullanıcılara e-postalarındaki bağlantıları tıklamaktan kaçınmalarını veya telefonda asla hassas bilgiler istemeyeceklerini söylemek gibi önemli bilgileri gösteren bir güvenlik başlığı kullanmaya başladı.
Lindholm’un açıkladığı ortak payda, iyi tasarlanmış bir web sitesi, uygulama veya elektronik mesajın doğru zamanda doğru bilgiye netlik ve dikkat getirmesidir. Nesnelerin göreli boyutu veya hiyerarşisi, renkler ve şekiller, ekrandaki konum ve beyaz boşluk dahil olmak üzere, kritik bilgiler hemen hemen her öğede yüksek düzeyde görünür. Bu öğeler, “gözleri çizin veya kullanıcının bir ekranda veya akışta gezinmesine yardımcı olur” diyor.
Akışa
Tasarım uzmanları, iyi güvenliğin aşamalı açıklama adı verilen bir yolu izlediğini söylüyor. Uygun seviyede güvenlik kontrollerini doğru zamanda sunmayı amaçlar. Daha karmaşık bilgiler veya iş akışları yalnızca gerektiğinde görünür.
Örneğin, Klein, bir perakendecinin bir deneyimi kişiselleştirebileceğini ve bir kişinin birkaç güvenlik kontrolüyle alışveriş sepetine bir şeyler koymasına izin verebileceğini söylüyor. Bununla birlikte, kişi bir satın alma işlemi yapmak veya hesabıyla etkileşim kurmak istediğinde giriş yapmalıdır. Benzer şekilde, bir banka bir hesaba para yatırmayı kolaylaştırabilir, ancak bir müşterinin para çekmek için ek güvenlik çemberlerinden geçmesini gerektirebilir. para çıktı.
Yol boyunca, uygun ipuçları çok önemlidir. Bir asansör ışığının talep edildiğini ve şu anda hangi katta olduğunu göstermesi gibi, en iyi uygulamalı tasarım teknikleri de kullanıcıları bilgilendirir. Bu, öğeler tamamlandığında yeşil ışıklı bir kontrol listesi oluşturmak anlamına gelebilir veya metin ve e-posta mesajları içerebilir.
Lindholm, “Web siteleri veya uygulamalar bu genel kurallara uymadığında, insanlar görevleri tamamlamakta ve beklenmedik hatalar yapmakta zorlanırlar” diyor.
Fagbemi’nin belirttiği gibi, “Doğru davranışı teşvik etmek için mümkün olan her şeyi yapmak istiyorsunuz. Doğru süreçler ve iş akışları ile birleştirilen tasarım öğeleri, çok daha iyi güvenlik sağlayabilir.”