Çalışanlarınız güvenlikle ilgili vereceği kararlarına yardımcı olmak için onlara nasıl rehberlik edeceğinizi biliyor musunuz?
Büyümüş de küçülmüş bir takım gençler gibi, bazı çalışanlarda da konu siber güvenliğe geldiğinde kendilerine ne yapılacağını söylenmesini duymak istemiyor. Teknolojiyle alakalı yapabilecekleri ve yapamayacaklarına dair çok fazla kural, firma verilerini kazara tehlikeye atacak kötü kararlara yönlendirebilir. Bunun yerine onlara karşı kendi başlarına daha iyi kararlar vermelerine yardımcı olacak daha incelikli bir yaklaşım gerekiyor.
Ancak çalışan davranışlarını değiştirmek kolay bir iş değil. İnsanlar doğuştan sosyalleşme ve bilgi paylaşım ihtiyacı duyarlar.” diyor Carnegie Mellon Üniversitesi IT profesörü Alessandro Acquisti.
Yapılan araştırmalarda kendini ifade etmenin, ödülle ilişkili olan nöral mekanizmalarını tetiklediği tespit edildi. Bu da gösteriyor ki insanların düşünce ve hislerini başkalarıyla paylaşmaya büyük bir değer verdiğini ortaya koyuyor. Testlerden birinde denekler kendileri hakkında bilginin ortaya çıkma ihtimali için para ödemeye gönüllü oldukları görüldü.
“Sorun şu ki; bugünün teknolojisi bizim bilgi ifşa etme yeteneğimizi öyle bir seviyeye yükseltti ki artık ne kadar insanın ne kadar çok bilgi verdiğimizin farkında bile değiliz” diyor Acquisti.
Aberdeen Group’a göre, çalışanlar için ‘Farkındalık Eğitimi’nin bu konuda büyük yarar sağlıyor. Çalışan davranışlarını değiştirmek, güvenlik ihlallerinin yüzde 45 ile 70 arasında azalmasına katkıda bulunuyor. Dahası doğru davranışsal iplerin elde tutulduğu takdirde güvenlik liderlerinin düşündüğünden çok daha az bir iş ile bu başarılabilir. İşveren ve araştırmacıların, çalışanlara güvenlik kararlarına daha iyi rehberlik etmesi için pozitif ve etkili insan davranışlarından yararlanma yolları ise şöyle:
-
Kahraman
Sigorta sağlayıcısı XL Group, sadece kurumsal verileri değil aynı zamanda kişisel verileri de korumak amacıyla çalışanların değerli güvenlik bilgilerini paylaşmamaları için onların dikkatini çekecek bir yol arayışındaydı.
Şirket, herkesin ortak bir hedef için çalışmasını ve merhamet hislerine başvurmak istedi. Çalışanlarından eğitimsel bir güvenlik videosunu izlemelerini istedi ve görülen her bir video için şirket, 70 ülkede yardım faaliyetleri yürüten uluslar arası sağlık yardımı organizasyonu olan ‘Sınır Tanımayan Doktorlar’a bir dolar bağışta bulunacaktı.
Şirket, internet, telefon dolandırıcılığı, botnet ve sosyal medya tehditleri başlıklarıyla şirketi, verilerini, mobil cihazları ve kişisel verileri koruma konusunda yedi adet eğitim videosu oluşturdu. Kısa videolar e-posta ve bloglar üzerinden aylık olarak dağıtıldı.
“Amaç videoların XL çalışanları tarafından 10 bin kez izlenmesini sağlamak, ‘Sınır Tanımayan Doktorlar’a 10 bin dolar bağış yapmaktı” şeklinde konuşuyor bilgi risk yönetim sorumlusu Thomas Dunbar. Kampanya hedefini kolayca aştı ve Dunbar’ın ekibi Aralık ayında yardım organizasyonuna çekini teslim etti. Şirket için aynı derecede önemli olan konu şuydu ki söz konusu kampanya dünya genelinde 4.500 XL Group çalışanını kurumsal ve kişisel verileri korumak için bir araya getirdi.
-
İteklemek
Ping’lendiniz, dürtüldünüz ve şimdi de iteklenmeye hazır olun. Ekonomik literatürden bir sayfadan alıntı alarak Carnegie Mellon’daki araştırmacılar “yumuşak paternalizm (pederşahi davranış)” ile denemeler yapıyor. “Kararı sizin vermenize izin vereceğiz ancak sizin için ne iyi olduğunu düşündüğümüz şeyin tarafına doğru sizi itekleyeceğiz” diyor CyLab Kullanılabilir Gizlilik ve Güvenlik Laboratuvarı direktörü Lorrie Cranor. Örneğin bir araç, pişman olmaktan kaçınmaya odaklanıyor ve sosyal medya kullanıcılarının gönderileriyle ilgili daha iyi seçimler yapmasına yardımcı oluyor. Kullanıcılar yazarken, araç gönderiyi görmek üzere olan kişinin kontak listesinden rastgele beş kişiyi seçiyor ve ekranda onların profil fotoğraflarını görüntülüyor. “Unutmuş olabileceğiniz insanlar önünüze çıkar ve bu da sizin yazmakta olduğunuz şey üzerinde yeniden düşünmenizi sağlar” diyor Cranor.
-
Geri sayım
İnsanların durup düşünmesini sağlamak için Carnegie Mellon Üniversitesi bir gönderi yayınlanmadan evvel 10 saniyelik bir geri sayım sağlayan bir başka araç inşa etti. Cranor, “O on saniye zarfında onu görebilir, düzenleyebilir ya da iptal edebilirsiniz. Bunun insanların durup düşünmesini sağlamanın oldukça etkin bir yolu olduğunu keşfettik” diyor ve şöyle devam ediyor: “Bu araçların her ikisi de ortamında oldukça etkin olabilir. Şirket ilkelerine karşı olan şeyleri arayan bir itekleme aracı geliştirebilir ve ‘göndermek üzere olduğun şeye tekrar bak ve çizgiyi aşıp aşmadığına bak’ önerisini sağlayabilir.”
-
Oyun
Kullanıcıları eğitmek ya da motive etmek için interaktif oyun tekniklerini kullanmak, -diğer adıyla oyunlaştırma- pazarlama tarafından yönlendirilen ‘müşteri odaklı’ uygulamalardan, güvenlik farkındalığı kazanmak için IT tarafından yönlendirilen daha çok ‘çalışan odaklı’ uygulamalara geçiş yapıldı.
Bu interaktif yazılım oyunları genellikle çalışanların rekabetçi doğasına dayanıyor ve oyuncuya belirli bir güvenlik konseptini öğretmek, ardından onların konsepti yerleştirebilecekleri senaryolar içerisine sokmayı içeriyor. Oyuncu saate karşı yarışıyor ve her bir doğru davranış için puan kazanıyor.
“Onlara çoklu görev yaptıkları ve hızlı kararlar vermek durumunda oldukları işlerindekine benzer bir deneyimi vermeye çalışıyoruz” şeklinde konuşuyor güvenlik farkındalığı ve eğitim firması Wombat Technologies başkanı ve CEO’su Joe Ferrara.
EMC dünya genelindeki çalışanların dolandırıcılık ve bunların şirket üzerindeki etkisi hakkında farkındalığını artırmak için online bir oyun ve Elvis temalı “Şüpheli Bağlantı” videosu (onun “şüpheli zihinler şarkısının bir parodisi) kullandı. Çalışanlar iPad Air kazanmaları için videoyu izlemesi ve ardından da tüm soruları doğru olarak yanıtlamak zorundaydı. Ayrıca dünya çapında ‘Mükemmeliyet Merkezleri’bir ofis partisi kazanmak için ekipler halinde yarıştı.
“Yarışmalar düzenlemekten keyif alıyoruz çünkü kullanıcılar yalnızca öğrenmek istemediklerini iyi biliyoruz” diyor risk analisti Brian Osterman. “Biz onu oyunlaştırmak ve rekabeti artırarak gerçekten eğlenceli olmasına çalışıyoruz” diye ekliyor Osterman.
-
Sade bir ‘Teşekkürler’
Illinois’taki güvenlik bilimleri firması UL LLC’de güvenlik fikirli davranışlar için nakit ödülü bulunmuyor. Ancak bir çalışan yüksek riskli bir oltalama saldırısı tespit ettiğinde ve buna cevap veren ilk kişiler arasında yer aldığında, güvenlik ekibi onların yöneticilerine, iş biriminin liderine ve hatta bazen CEO da dahil olmak üzere onlara bir teşekkür notu gönderiyor. “Bunun etkisi uzun sürüyor” diyor kıdemli başkan yardımcısı ve risk yöneticisi Steve Wenc.
UL yaklaşık 11 bin çalışanın oltalama saldırılarını fark edebilmesi ve bunları hızlıca UL’in güvenlik ekibine rapor etmesine yardımcı olacak biçimde tasarlanmış davranışsal bir güvenlik eğitim programı tasarladı. Program kitle kaynaklı bir “insan firewall’u oluşturdu. Günlük bazda UL çalışanları yeni saldırıları tespit ediyor ve sıklıkla dakikalar içerisinde durumu rapor ederek UL güvenlik ekibinin vakit kaybetmeden saldırıları önleyecek adımları atmasına, diğer kullanıcıları uyarmasına ve iyileştirmeleri yapmasına yardımcı oluyor. Projenin başlangıcından bu yana aylık vaka raporu sayısı 10’dan 1000 seviyesine çıktı ve UL virüs bağlantılı vakalarda %19’luk bir düşüş olduğunu bildiriyor. Wenc, “Bundan son derece memnunuz. Şirket üzerinde etkisi olan bir saldırıyı tespit ettiğimizde onlara ‘arkadaşlarınızı ve müşterilerimizi bir saldırıdan kurtardınız’ diyoruz.” diye konuşuyor.