İyi Güvenlik Farkındalığı Programları Yanlış Gittiğinde - Dünyadan Güncel Teknoloji Haberleri

İyi Güvenlik Farkındalığı Programları Yanlış Gittiğinde - Dünyadan Güncel Teknoloji Haberleri
“Çalışanlar güvenlik ekibine karşı temkinli davranıyor ve olayları bildirme veya gelecekteki eğitim girişimlerine katılma olasılıkları azalıyor Sahte bonus örneğine ek olarak, Arktik Kurt Hoenich, empatiden yoksun ve çalışanları eğitmek yerine kandırmaya odaklanan simülasyonlara karşı uyarıyor “Sadece kalpsiz Sonunda davranışları değiştirmeyle ilgili önemli konuşmayı kaçırıyoruz Analizi, diğer faktörlerin yanı sıra mevcut bilgi düzeyini (aşırı iletişimi önlemek için), gerçek gözlemlenen davranışı (varsayımlara karşı) ve son kullanıcıyı neyin motive ettiğini içerir “Bu durum hemen hemen tam tersiydi “Ancak tek amaç bu olduğunda, iş; hatırlatma gönderme, yöneticilerle konuşma ve çalışanları eğitimi bitirmeye sürükleme oyununa dönüşüyor

Odak noktasını cezalandırmadan güçlendirmeye kaydırmanın gerekliliğini kabul ederek, Rinehart simülasyonları kişisel değerlendirme ve şüpheli e-postaları bildirmenin önemini anlama fırsatları olarak yeniden çerçeveledi ”

Biogen’in Rinehart bunun nasıl olabileceğini biliyor ve farkındalık kariyerinin başlarında kimlik avı simülasyonlarını uygulama konusundaki ilk deneyiminin, başlangıçta çalışanların hedef alındığını ve savunmaya geçtiğini hissetmesine yol açtığını söylüyor

Reinhart, “Bu adım, çok reaktif siber güvenlik kuruluşlarında kolayca gözden kaçırılabilir, ancak programın son derece stratejik olmasını sağlayacaktır” diyor

“İnsanlar doğrudan bize veya yönetim ekiplerine ulaşarak ‘hedef alındıklarını’ hissettiklerini ve bunun sonucunda öğrenmeye açık olmadıklarını ve siber güvenlik ekibimizle bir bütün olarak etkileşime geçmekten kaçındıklarını açıkladılar” diyor

Arctic Wolf’ta farkındalık uzmanı ve aynı zamanda stratejiden sorumlu başkan yardımcısı olan Jason Hoenich, “Bu, birçok insan için önemli bir para” diyor “Güvenlik farkındalığını daha çok insanların satın alamayacak kadar meşgul olduğu ancak tüketmesi gereken bir ürünü satan bir pazarlama kampanyası olarak düşünmeyi seviyorum ”



siber-1

Çalışanların ikramiye almak yerine zorunlu güvenlik farkındalığı eğitimi almaları zorunlu kılındı

“Güvenlik farkındalığı yalnızca kötü tıklamalardan kaçınmak anlamına gelmiyor” diyor “Bu, programların çevik olması gerektiği anlamına geliyor — güvenlik programının çalıştığına dair bir işaret Bunu çalışanlarınız arasında kaybettiğinizde, farkındalık eğitiminin temel amacı olan davranışları değiştirme umudu da kaybolur Bu algı, gerçekçi olmayan beklentilere yol açar ve organizasyonları, davranışta anlamlı değişiklikler elde etmek yerine yalnızca tamamlama oranlarına odaklanmaya zorlayabilir ”

Hoenich, burada sorunun güven olduğunu söylüyor Yaklaşımdaki bu değişim, daha düşük tıklama oranlarına, artan rapor oranlarına ve gelişmiş meslektaş katılımına yol açtı “Bir güvenlik farkındalığı programının asıl amacı, çalışanların olağandışı herhangi bir şeyi derhal bildirdiği veya bir hata yaptıklarında bunu kabul ettikleri bir güvenlik kültürü yaratmaktır

“Eğitim yerine ‘yakaladım’ anlarına odaklanan kimlik avı simülasyonları bir güvensizlik ve endişe kültürü yaratabilir” diyor Çoğu program, yıllık bilgisayar tabanlı eğitim ve kimlik avı simülasyonlarına dayanan yalnızca onay kutuları olarak başlar — ve çok daha fazlası değil, diyor



Bir zamanlar bir şirket tüm çalışanlarına e-posta gönderdi (yaklaşık 500 kişi) onlara 650 dolarlık bir tatil ikramiyesinden bahsediyordu Kötü taktiklere dayanan iyi niyetli eğitim programları her türlü kötü sonucu doğurabilir

Bu nasıl olduğuna dair bir örnek Olumsuz insanları eğitmek

Wizer’dan Friedlander’a göre uyumluluk odaklı bir zihniyet, kuruluşların çalışanlara güvence altına alınması gereken başka bir şey olarak baktığı anlamına geliyor Çalışanlar tarafından erken tespit edilmesi büyük önem taşımaktadır

“Güvenlik farkındalığı çoğunlukla, uyumluluk %100 tamamlanma oranı gerektirdiği için öne çıkıyor” diyor Gelişen bir tehdit ortamında tüm yıl boyunca konuların planlanıp aynı anda eğitim verilmesini önermiyor Zihniyetteki bu değişiklik, eğitim içeriğinin organizasyona özgü gelişen ihtiyaçlar ve tehditlerle uyumlu olacak şekilde uyarlanmasını gerektirir

Rinehart, “Bir güvenlik farkındalığı programı için bu genel bakış açısının sürdürülmesi, kaçırılan büyük bir fırsattır ve uzun vadeli davranış değişiklikleri veya etkileşimle sonuçlanmayacaktır” diyor ”

Kimlik Avı Simülasyonunun Tuzakları

Kimlik avı simülasyonları, güvenlik farkındalığı programlarının yaygın bir bileşenidir ancak düzgün bir şekilde yürütülmezse kolayca geri tepebilir

Esneklik ve Uyarlanabilirlik Eksikliği

CISO olarak görev yapmış ve birçok farkındalık programında çalışmış, güvenlik sektörünün duayenlerinden Tonia Dudley, güvenlik farkındalığı programlarında esnekliğin önemini vurguluyor Odak noktasını uç nokta korumasından, çalışanların olağandışı etkinlikleri veya hataları derhal bildirdiği bir güvenlik kültürü geliştirmeye kaydırmayı öneriyor Sebep olan hasarın telafisi zor ”

‘Kutuyu İşaretle’ Eğitimi

Biogen’de güvenlik farkındalığı programları yürüten Julie Rinehart, birçok kuruluşun bir farkındalık eğitim programı hazırlarken benimsediği uyumluluk odaklı yaklaşımın hatalı olduğunu söylüyor ”

Rinehart’a göre bu, izleyici analizini içeren stratejik bir yaklaşım anlamına geliyor

“Hızlı bir düzeltme yok ve tehdit manzarası değişmeye devam ediyor” diyor

Farkındalık eğitimi veren Wizer’ın kurucusu Gabriel Friedlander, güvenlik ekibinin, insanların şüphe uyandıran bir şey fark etmeleri veya hata yaptıklarını düşünmeleri durumunda onlara serbestçe yaklaşabilecekleri güvenli bir ortam oluşturması gerektiğini söylüyor Hedef kitlenin bilgilerini, davranışlarını ve motivasyonlarını anlamanın etkili güvenlik farkındalığı programları tasarlamak için şart olduğunu söylüyor Bu tür simülasyonlar çalışanlar ile güvenlik ekipleri arasındaki güveni zedeliyor ve programın hedeflerine engel oluyor ”

Friedlander da bu düşünceyi yineleyerek davranış değişikliklerinin zaman aldığını ekliyor Bonusu almak için bir bağlantıya tıklamaları ve kişisel bilgilerini içeren bir formu doldurmaları istendiğinde çalışanlar, e-postanın bir kimlik avı simülasyonunun parçası olduğu konusunda bilgilendirildiklerinde şaşırdılar ve formu doldurarak testte başarısız oldular Reinhart Hedeflenen farkındalık için eğitimi bölümlere ayırmanın ilk adımı olarak kitle analizine güvenir