Yıllık güvenlik eğitimi e-postası gelen kutularına düştüğünde birçok çalışan ya bunu görmezden gelme ya da son testten hızlıca geçmek için kısayollar arama eğilimindedir. Sadece bunu listelerinden çıkarmak isterler. Peki ya onlara bu eğitimlerin çok önemli olduğunu ve sıkıcı bir görevden daha fazlası olduğunu gösterebilirseniz? Yaratıcı olmanın ve sıradan eğitimleri ilgi çekici ve keyifli bir deneyime dönüştürmenin zamanı geldi!
Güvenlik eğitimi için zamanlama önemlidir
Her şeyden önce, güvenlik eğitimi çalışanlarınıza bir ceza ya da yük gibi gelmemelidir. Bunu başarmak için eğitimleri iş yükünün en yoğun olduğu dönemlere denk getirmekten kaçının ve çalışanlara eğitimi tamamlamaları için bolca zaman tanıyın. Destekleyici bir yaklaşım benimseyin ve üst yönetimin bile bu eğitimlere katıldığını ve değer verdiğini göstererek ekibinizi motive edin. Liderlik de dahil olmak üzere herkesin sürekli eğitim ve iyileştirme konusunda kararlı olduğunu vurgulayın.
Çalışanlarınızın siber farkındalığını nasıl artırabilirsiniz?
- Güvenlik eğitimlerini düzenli olarak tekrarlayın
- Çalışanlarınızı motive edin – cezalandırmak yerine cesaretlendirin
- Çalışanlarınızı öğrenmeye ve farkındalıklarını korumaya teşvik edin
- Beklenmedik bir anda test edin
Siber farkındalık kültürü oluşturma hakkındaki makalemizden daha fazla ipucu alın.
Şirketinize katıldıktan hemen sonra da herkesin temel ilkeleri anladığından emin olun. ESET Bilgi Güvenliği Baş Sorumlusu Daniel Chromek, “Çalışanlar ayrıca şüpheli etkinlikleri kime bildirmeleri gerektiğini, yazılım veya bulut hizmetlerini nasıl kullanacaklarını, ofis içinde şüpheli kişiler gördüklerinde ne yapacaklarını ve parola yöneticisi gibi güvenlik teknolojilerini nasıl kullanacaklarını bilmelidir” diyor. Olay bildirimi için bir şirket e-posta adresiniz varsa bunun ofisinizin görünür noktalarına yerleştirildiğinden emin olun.
Düzenli güvenlik eğitimi neden büyük bir önleyici tedbirdir
En iyi zamanlamayı belirledikten sonra çalışanlarınızı dijital tehditler hakkında düzenli eğitimin önemli olduğuna ikna etmeniz gerekir. Onlara dijital tehditlerin her zaman gelişmekte olduğunu ve sadece bu tehditler hakkında sürekli bilgi edinerek güvende kalabileceklerini açıklayın. İdeal olarak, çalışanlarınız e-posta gönderirken, verileri işlerken veya uygulamaları kullanırken günlük rutinleri boyunca tetikte olmalıdır. Çünkü çalışanlarınızın günlük olarak kullandığı uygulamalar ve web siteleri bile dijital güvenlik riski oluşturabilir.
Sosyal mühendislik
Kimlik avı gibi sosyal mühendislik yöntemleri en yaygın saldırı vektörlerinden biri olmaya devam etmektedir. PurpleSec 2023 Siber Güvenlik Trendleri Raporu‘na göre siber saldırıların %98 gibi şaşırtıcı bir oranı bir tür sosyal mühendislik içeriyor. Bu yöntemin cazibesi, herhangi bir güvenlik sistemindeki en zayıf halkadan, yani insanlardan faydalanabilmesinde yatmaktadır. Saldırganlar sistemleri ihlal etmek için teknik becerilere güvenmek yerine, güven kazanmak ve hassas bilgilere erişmek için psikolojik manipülasyon kullanırlar. Bu nedenle sosyal mühendislik taktikleri, simüle edilmiş saldırılar ve açık politikalar üzerine düzenli eğitim oturumları her kuruluş için çok önemlidir.
Sosyal mühendislik hakkında daha fazla bilgi edinin.
Önlemenin sistemleriniz için en iyi koruma olduğunu ve düzenli dijital güvenlik eğitimi almanın yapabileceklerinizin ve yapmanız gerekenlerin bir parçası olduğunu vurgulayın. NIS2 gibi düzenlemeler ve NIST gibi çerçeveler bile bunun önemini vurgulamaktadır. Önleyici tedbirlerin kuruluşunuza önemli miktarda para tasarrufu sağlayabileceğinden bahsetmeye bile gerek yok. IBM’e göre, 2023 yılında bir veri ihlalinin ortalama maliyeti 4,45 milyon dolardır ve bu rakam üç yıl öncesine göre %15 daha fazladır.
Ancak meslektaşlarınızı yılda bir veya iki kez yarım günlük eğitimlerle eğitmek boşuna olabilir. Bu tür eğitimler kolayca unutulur çünkü bilgiler asla tazelenmez ve kullanılmaz. Klasik güvenlik eğitimini daha küçük ama daha sık yapmayı düşünün. “Gereken bilgileri çalışanların özümseyebileceği daha küçük parçalara bölmek daha mantıklıdır. Örneğin, tek bir önemli konuya odaklanan 10 dakikalık videolar kullanın. Daha sonra bu tür basitleştirilmiş örnekleri düzenli olarak dağıtarak çalışanlara güvenlik konularını takip etmenin önemli olduğunu hatırlatabilirsiniz” diyor Daniel.
Güvenlik eğitimi yaklaşımınızı daha eğlenceli hale getirin
Eğitiminizi daha ilgi çekici hale getirmenin birçok yaratıcı yolu vardır. Her zamanki sıkıcı slaytları komik bir hikayeye ya da sonunda oyuncunun ödüllendirildiği bir oyuna dönüştürebilirsiniz. Hatta eğitim oturumunu eğlenceli bir ekip aktivitesine dönüştürebilir, belki bir bilgi yarışması düzenleyebilir ve çalışanlarınızın bazı küçük ödüller için kendi aralarında yarışmasını sağlayabilirsiniz. Ya da çalışanların bilgilerini pratikte test etmek için bazı gerçek hayat senaryoları hazırlayabilirsiniz. İşte başlamanız için bazı fikirler:
QR kod senaryosu
Yılbaşı partisi QR kodlarını şirketiniz dışındaki asansörler veya giriş kapıları gibi bir saldırganın erişebileceği yerlere yerleştirin. Mümkün olduğunca gerçekçi görünmelerini sağlayın ve akılda kalıcı bir metin ekleyin; örneğin, kodu tarayanların yılbaşı partisinde bir hediye alabileceğini söyleyin. Bu tür QR kodları, çalışanları rastgele QR kodlarını taramanın onları potansiyel olarak tehlikeli web sitelerine götürebileceği konusunda bilgilendirmek için oluşturduğunuz bir sayfaya yönlendirmelidir, özellikle de söz konusu kodlar kamusal alanlara yerleştirilmişse.
Taklit senaryosu
Bu senaryo için biraz daha yaratıcı ve teknik olmanız gerekebilir. Deepfake ya da bir ses klonu kullanarak şirketinizdeki yüksek rütbeli bir kişinin kimliğine bürünmenin bir yolunu bulun (tabii ki onların izniyle). Ardından astlarına mesaj gönderin ve onlara bazı ayrıntılı talimatlar verin (örneğin, belirli bir hesaba bir miktar para göndermelerini söyleyin – tabii ki deney bittikten sonra bu parayı iade edeceksiniz). Daha sonra, bunu yapanın siz olduğunu söyleyin ve onları kandırmanın ne kadar kolay olduğuna dikkat çekerek deepfake ve ses klonlama gibi yöntemlerin giderek karmaşıklaştığının altını çizin.
Davetsiz misafir senaryosu
Bu son senaryoda şirketinizdeki çalışanların tanımadığı birine, giriş kartını evde unuttuğunu iddia ederek çalışanlardan binaya girmesine izin istemesini söyleyin. Durumu bir e-postayla açıklamadan önce birkaç çalışanı bu şekilde test edebilirsiniz. Elbette testi geçemeyen belirli kişileri ifşa etmemelisiniz ancak davetsiz misafirin içeri girmesinin ne kadar zaman aldığını veya kaç kişinin geçmesine izin vermek yerine niyetini sorguladığını gösteren rakamlar verebilirsiniz. Çalışanlarınızı, davetsiz misafirlerin şirketinizin dizüstü bilgisayarlarına ve diğer cihazlarına fiziksel erişim sağlayabileceği ve kolayca veri çalabileceği veya ağınıza virüs veya izleme yazılımı yerleştirebileceği konusunda eğitin.
Yaratıcı farkındalık
Sonuç olarak, çalışma arkadaşlarınız eğitimlerden sıkılmış veya hayal kırıklığına uğramış olarak değil eğitimli ve dijital güvenliğin zorluklarıyla yüzleşme konusunda daha özgüvenli hissederek ayrılmalıdır. Yaratıcılık ve yenilikçilik, çalışanlara sadece düzenli güncellemelerle kendilerinin ve şirketlerinin oyunun bir adım ötesinde kalabileceklerini bildirmekle el ele gitmelidir.
