Güvenlik uzmanları bu hafta, şirketlerin güvenlik kavramlarını doğru zamanlarda güçlendirmenin yollarını bulmak için güvenlik bilinci ve eğitimi (SA&T) çabalarının ötesine geçmesi gerektiğini söyledi.
Güvenlik bilinci ve eğitimi (SA&T) programları, siber güvenlik bilincini artırmada etkili bir ilk adım olsa da, odak noktası genellikle uyumluluğa ve güvenliği geliştirmeye daha az odaklanıyor, öyle ki gerekli kutuların işaretlenmesi önemli olan tek şey, diyor Russell Spitler. – siber güvenlik girişimi Nudge Security’nin kurucusu ve CEO’su. Güvenlik eğitimi sınıfları göz kamaştırıcı olmaktan daha azdır – çalışanlar genellikle zorunlu sınıflardan hoşlanmazlar – ve aktif kimlik avı alıştırmaları genellikle daha çok “alma” girişimleri gibi görünür.
“Bunlar, organizasyon ve çalışanlar arasında yapay bir düşmanlık oluşturan yaklaşımlar” diyor. “Öyle olması amaçlanmamıştı, ancak egzersizi yapan insanlar ‘Ah, ha! Benim numarama düştün!’ dediğinde. … Çok üretken olmayan bir eylem gibi geliyor.”
Siber Güvenlik Farkındalık Ayının ortasında şirketler, iş güçlerini şu anda karşı karşıya oldukları siber güvenlik tehditlerine karşı güçlendirmek için güvenlik bilinci ve eğitiminden (SA&T) ve uyumluluktan daha fazlasına ihtiyaçları olduğunu giderek daha fazla fark ediyor. Algılardaki değişim, saldırganlara karşı ilk savunma hattı olma sürecinde çalışanların ofislerinden evden çalışma düzenlemelerine geçişini takip ediyor.
Sadece Kurslar Değil, Kültürü Geliştirmek
Forrester Research’e göre, kuruluşlar sadece kurslar ve eğitime değil, insan riskini azaltmanın ABC’si olan farkındalık, davranış ve kültüre odaklanmalıdır. Araştırma firması raporunda, insan risklerini ölçmeye ve bu riskleri gerçek kullanıcı davranışına dayalı olarak belirlemeye odaklanmanın daha iyi sonuçlara yol açtığını belirtti. Forrester Wave: Güvenlik Bilinci ve Eğitim Çözümleri, Q1 2022.
Forrester’ın analistleri, “Uzaktan veya fiziksel olarak çalışan çalışanlarla, güvenlik bilinci artık sınırsız – bu nedenle ‘her yerde güvenlik’ kültürünü aşılamak çok önemli,” diye yazdı. “Bütün bunlar, uzun süredir durgun olan bir pazarda çok ihtiyaç duyulan aksamalara neden oluyor. Neyse ki, birçok satıcı bu zorluğun üstesinden geldi ve artık yalnızca insanları bu amaç için eğitmeye yaramayan çözümler üretti.”
Örneğin, Nudge Security, öncelikle bir güvenlik bilinci eğitim aracı değil, hizmet olarak yazılım kullanımına ilişkin görünürlük kazanma ve bu hizmetler için güvenliği otomatikleştirme yöntemidir. Şirket, kullanıcıların bir hizmete ne zaman kaydolduklarını gösteren e-postaları tarayarak işletmelere çalışanlarının eylemlerine ilişkin görünürlük sağlar.
Bununla birlikte, hizmet ayrıca, kullanıcının güvenlik bilgisini yinelemeli olarak geliştiren, bağlama özel etkileşimler veya “dürtmeler” kullanarak iyi siber güvenlik davranışını güçlendirmek için kullanıcılara otomatik olarak hatırlatıcılar gönderir.
“Bu nispeten basit etkileşimlerin amacı, bu çalışanları ekibinizin bir parçası olarak dahil ettiğinizde ve bu güveni genişlettiğinizde uyum fırsatının çok daha yüksek olmasıdır” diyor. “Çalışanları bilgisayarın bir uzantısı olarak görmüyoruz. Çalışanın işini yapacağını varsayıyoruz ve sonra onlara durum için daha fazla bağlam sunuyoruz.”
Davranışı Değiştirmek için ‘Mikro Eğitim’
Nudge Security yalnız değildir. Kasım 2021’de güvenlik bilinci ve eğitimi (SA&T) sektörünün en köklü oyuncusu KnowBe4, satın alınan Güvenlik Danışmanı, gerçek zamanlı davranış analizi ve mikro öğrenme sağlayıcısı. KnowBe4’ün güvenlik bilinci savunucusu Erich Kron, şirketin doğru anlarda eğitim veren bir “insan algılama ve yanıt” hizmeti oluşturmak için iki yaklaşımı birleştirmeyi hedeflediğini söylüyor.
“Bir çalışanın kimlik avı e-postasına yanıt vermesi ve PII içermesi durumunda bir gelecek görüyorum. [personally identifiable information] veya diğer hassas bilgiler, kötü niyetli kişilerin tercih ettiği bir taktik, yalnızca veri kaybını önleme (DLP) kontrolü bilgilerin kuruluştan ayrılmasını engellemekle kalmaz, aynı zamanda bilgilerin korunması ve bu tür dolandırıcılık hakkında kısa bir eğitim oturumunu tetikler” diyor. “Bu gibi durumlarda, kişi teknik kontrolün kötü bir şeyin olmasını engellediği için şükreder ama aynı zamanda hatayı tekrar yapmamayı öğrenmek için motive olur.”
Diğer bir firma olan CybSafe, belirli eylemleri ölçen ve bağlama özel geri bildirim sağlayan bir platform oluşturmak için veri tabanlı ölçümleri ve davranışsal psikolojiyi kullanarak davranışları değiştirmeye odaklandı.
Şirket bir blog yazısında, “Farkındalığa sahip olmak elbette iyidir, ancak davranışı değiştirmez” dedi. “Yine de kuruluşlar çalışanlarına daha geleneksel güvenlik bilinci eğitimi vermeye devam ediyor. Evet, biz de şaşkınız.”
Riski Yönetmek ve Azaltmak
Güvenlik bilinci ve eğitimi ile ilgilenen şirketlerin, yalnızca çalışanları siber güvenlik konusunda eğitmek için değil, aynı zamanda riski azaltmak için ölçülebilir yollar bulmak için daha iyi yollar bulması gerekiyor. Forrester Research raporunda, güvenlik gruplarının insan riskini izlemek için en iyi ölçütleri belirlemesi ve bu riski azaltmak için geliştirilmiş yollar bulması gerektiğini belirtti.
“İnovasyon önemli [businesses] çünkü endüstrinin uzun süredir SA&T’yi ele alma şekli, çalışanlar için hayal kırıklığından başka bir şey sağlamadı, güvenliğin markasını ve iyi niyetini aşındırdı,” diye belirtti analistler, “İnsanları eğitmek için daha iyi yollara değil, insan riskini yönetmek için farklı bir yola ihtiyacınız var.”
