Kurumsal güvenlik farkındalığı için harcanan paranın boşa gitmesine neden olan 5 hata

Kurumsal güvenlik farkındalığı için harcanan paranın boşa gitmesine neden olan 5 hata

Şirketlerin yarısından fazlası, kurumsal siber güvenlikte en zayıf halkanın çalışanlar olduğunu düşünüyor. Çalışanların yaptığı hatalar şirket verilerini ve sistemleri riske atabiliyor. Bu nedenle şirketler, çalışanlarına temel BT güvenliği becerileri edindirmek için eğitim yatırımları yapıyor.

Maxim Frolov
Kaspersky Lab Global Satıştan Sorumlu Başkan Yardımcısı

Önde gelen analistler güvenlik farkındalığı pazarının 2027 yılında 10 milyar dolar büyüklüğe ulaşacağını tahmin ediyor. Buna rağmen, bazı işletmeler çalışanlarını eğitme konusuna şüpheyle yaklaşıyor. Bazıları, potansiyel tehditler hakkında eğitim alsalar da almasalar da insanların her zaman hata yapacağını düşünüyor. İstenen sonuçları vermeyen kurslara yatırım yapmak şirketin parasını boşa harcamak anlamına gelmiyor mu?
Güvenlik farkındalığı eğitiminin gerçek amacı aslında farkındalığı artırmak değildir. Bu eğitimler yalnızca çalışanlara tehditler ve önlemler hakkında bilgi vermek için değil onların internetteki davranışlarını da değiştirmeyi amaçlamalıdır. Kaspersky Lab olarak, siber güvenlik eğitiminin etkisiz olmasına neden olan beş unsuru belirledik.

1. Verimsiz biçim
Kurumsal eğitim ve gelişme farklı biçimlerde olabilir. Şirketin bir elemanı ders verebilir, dışarıdan bir konuşmacı getirilebilir veya bilgisayar tabanlı bir kurs düzenlenebilir. Bir şirkete uyan eğitim kursu başka bir şirket için uygun olmayabilir. Bu yüzden, şirketler belirli becerileri edindirme konusunda başarılı olduğu kanıtlanmış biçimlerden birini seçmelidir.
Yaptığımız çalışmada, sıkıcı ders anlatımlarının çalışanların pratik siber güvenlik becerilerini geliştirmeye yönelik eğitimlere uygun olmadığını gördük. Çevrim içi bir yöntem kullanıldığında, çeşitli tür içerikler ve oyunlaştırıcı unsurlarla dersleri sıkıcı bir zorunluluktan çıkarıp daha eğlenceli hale getirmek mümkün. Bu tür bir etkileşim, siber güvenlik kursunu çalışanlar için daha çekici ve merak uyandırıcı hale getiriyor. Ayrıca çevrim içi kurslarda, çalışanlar kendi istedikleri hızda ilerleyip daha karmaşık konulara daha fazla zaman ayırabiliyor. Bunu geleneksel ders anlatımıyla yapmak neredeyse imkansızdır.

2. Tüm çalışanlar için aynı eğitim
Her çalışan güvenliğe etki edebileceği için şirketlerde siber güvenliğin herkesin sorumluluğu olduğuna yönelik bir inanış var. Bu yüzden, tüm çalışanları birer siber güvenlik uzmanına dönüştürecek zorunlu güvenlik farkındalığı eğitimleriyle rahat etme fikri çekici geliyor.
Ancak bir güvenlik farkındalığı eğitim programının hangi çalışanlar için kullanışlı olacağı, o çalışanların erişebildiği sistemlere ve bilgilere bağlıdır. Çalışanlara hayatlarında (özellikle de işte) asla karşılaşmayacakları durumlar hakkında eğitim vermek maliyet açısından pek verimli olmaz. Basitçe anlatmak gerekirse, büyük saldırılardan kaçınmak için herkesin yazılım güncelleme yapılmasını isteyen siteler gibi zararlı web sitelerini tanıyabilmesi gereklidir. Hassas bilgilere ve iş için kritik sistemlere erişebilen personel ise daha ileri düzey eğitim almalı ve kişiye özel sahte e-postaları bile tanıyabilmelidir.

3. Aşırı fazla bilgi
Güvenlik farkındalığı eğitimleri genellikle tüm önemli konuları aynı anda kapsayacak şekilde tasarlanır. Ancak bu yöntem çalışanların davranışlarını değiştirmeye yeterli olmaz ve tüm bilginin alınması da pek mümkün değildir. İnsanların en fazla yedi parça yeni bilgiyi hatırlayabildiğine inanılıyor. Kendi deneyimlerinizden de aynı anda çok sayıda bilgi ve kuralı anlamanın zor olduğunu bilebilirsiniz.
İçerikler en iyi küçük parçalar halinde verildiğinde hatırlanabiliyor. Bunların diğer bilgilerle karşıma ve unutulma olasılıkları daha düşük oluyor. Tek bir konuya odaklanan kısa (değerli çalışma süresinden çok çalmayan) bir ders ile daha fazla bilgi edinilebiliyor. İnsanların tek bir tehdide karşı nasıl tepki vereceğini hatırlaması daha kolay oluyor.

4. Az çalışma ve tekrar
Bazen eğitimdeki içerikler iyi olsa da bunların yeteri kadar hatırlanmadığı olur. Bunun nedeni tekrar yapılmamasıdır. Ancak farkındalığın faaliyete dönüşmesinin temelinde tekrar yapmak vardır.
Güvenlik eğitimleri genellikle yönlendirmeleri dinleyen fakat ilgisiz kişilere verilir. Bu kişilerde öğrenme isteği pek yoktur. Bu nedenle şirketler hatırlaması kolay ve en kritik noktalara defalarca değinilen eğitimler vermelidir. Örneğin, güçlü parolaların önemi gibi bir konu; hassas bilgilerin korunması, sosyal medya, e-posta vb. eğitimleri boyunca defalarca tekrar edilmelidir.

5. Gerçek dünyayla bağlantı kurulmaması
Çalışanların siber güvenlik sorunlarının farkında olmaması sorununu çözmenin onlara genel siber güvenlik kurallarını ve politikalarını anlatmakla çözüleceği düşünülebilir. Ne yazık ki asıl amaç çalışanların davranışlarını değiştirmek olduğunda bu stratejinin işe yaraması zordur.
Çalışanların çoğunun güvenlik ve hatta genel BT ile ilgili bilgisi yoktur. Onlara uygulamalarını güncel tutmalarını ve şüpheli ekleri açarken dikkat etmelerini söylediğinizde tam olarak ne yapmaları gerektiğini anlayamayabilirler. Bu iletişim bariyerini aşmak için eğitim içeriğinin çalışanların karşılaşabileceği potansiyel durumlarla desteklenmesi gerekir. Örneğin e-postalar veya sevdikleri diziyi indirmek için site aramak gibi durumlar canlandırılmalıdır.
Siber güvenlik eğitimlerinin başarılı olması için yalnızca en önemli konuları ele alması yeterli değildir. Eğitimlerde bu konuların daha kolay anlaşılması ve hatırlanması sağlanmalıdır.

Örneğin, farklı kimyasal malzemelerin üretimini yapan Donau Chemie Group adlı müşterimiz çalışanları için geleneksel çevrim dışı siber güvenlik eğitimleri veriyordu. Ancak, bu eğitimler BT alanında çalışmayanların davranışlarını değiştirmeyi başaramadı. Ancak sorun çalışanların güvenilmez olması değildi. Şirket bizim tavsiye ettiğimiz, etkileşimli dersler ve simülasyonlardan oluşan eğitimi uyguladığında durum tamamen değişti. Örneğin, deneme için yapılan kimlik avı saldırılarına (veri kaybına en çok yol açan ilk üç saldırı türünden biri) tıklama oranı yüzde ikinin de altına düştü.

Çalışanlar, iş sorumlulukları arasında olmayan bir konuda uzun süren eğitimlerde vakit harcamaya zorlandığında verilen tavsiyeleri uygulamakta zorlanıyor. Ancak, eğitimi tamamlamak çok vakit almadığında ve derslerin anlaşılması kolay olduğunda daha az hata ve daha güçlü güvenlik gibi sonuçlar elde etme imkânı artıyor.

Categories: GÖRÜŞLER, Uncategorized

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*