Masallardan Güvenliğe: Siber Eğitimde Hikâye Anlatımının Etkisi

Şirketlerde, çalışanların kendi başlarına gelen siber dolandırıcılık deneyimlerini birbirlerine anlatmaları, bir uzmanın yaptığı bilgilendirmelerden daha etkili oluyor.

Dijital tehditlerin sürekli geliştiği bir çağda, siber güvenliğin önemi giderek artıyor ve çalışanların bu konuda bilinçli olması kritik bir gereklilik taşıyor. Bunun için şirketler, geleneksel eğitim yöntemlerine başvurup bu eğitimler için ciddi kaynaklar ayırsa da bu geleneksel eğitimlerin etkisi hala biraz tartışmalı...

Ancak çalışanların siber güvenliğe dikkat etmeleri ve şirketlerde daha güçlü bir siber güvenlik kültürünün teşvik edilmesi için ilgi çekici, üstelik son derece kolay bir alternatif daha var: Hikâye anlatmak.İşletmenizde siber güvenlik üzerine deneyim paylaşımını teşvik etmek, siber güvenlik farkındalığını güçlendirmenin en güçlü yollarından biri olabilir. Bunun arkasında ise hikâyelerin, insanların öğrenme biçiminin temelini oluşturması bulunuyor; hikâyeler, anlatılanları hatırlamayı kolaylaştıran duygusal bir tepki oluşturmaya yardımcı oluyor. Başka bir ifadeyle, hikâye anlatımının gücü insan unsurunda bulunuyor.

Siber güvenlikle ilgili olumsuz deneyimlerin, yaşayanlar tarafından paylaşılması konuyu dinleyenler açısından daha somut ve anlaşılabilir hale getiriyor. Üstelik bir çalışma ortamında siber güvenlik deneyimlerini paylaşmayı teşvik etmek yalnızca farkındalığı artırmakla kalmıyor, aynı zamanda dijital güvenliğe yönelik kolektif bir sorumluluk duygusunu da geliştiriyor. Böyle bir uygulama, geleneksel ve bir uzmanın liderliğinde yapılan eğitim oturumlarından daha etkili olabilir. Çünkü gerçek hayattaki veri ihlali hikâyelerini ve örneklerini kullanmak aynı duruma düşmenin aslında ne kadar kolay olduğunu ve basit bir hatadan kaynaklanabilecek hasarın etkisini doğrudan göstererek çalışanların daha dikkatli olmasına yardımcı oluyor.

Siber güvenlik eğitiminde bir paradigma değişimine işaret eden hikâye anlatımı ile çalışanlar siber tehditlerle ilgili kişisel anekdotlar paylaştıklarında, bu hikâyeler genellikle sıkıcı istatistiklerden veya kişisel olmayan uyarılardan daha büyük bir etkiye yol açıyor. Hikâyeler ilişkilendirilebilir ve soyut siber güvenlik kavramlarını gerçek hayattaki senaryolara dönüştürerek onları daha anlaşılır ve akılda kalıcı hale getiriyor.

Bir Siber Güvenlik Hikâyesinin Öznesi Olmak

Vodafone Business ve bir müşterisinin siber güvenlik uygulaması da bu konuda ilginç bir örnek oluşturuyor. Vodafone müşterisi olan bir petrol ve gaz şirketi, şirket genelindeki güvenlik farkındalığı düzeyini ölçmek için kapsamlı bir sosyal mühendislik uygulamasına ihtiyaç duydu. Bu doğrultuda uygulanan ve çalışanların kimliğine bürünmeyi içeren e-posta senaryolarıyla eğitim, daha fazla güvenlik politikası gibi ele almaları gereken temel ihtiyaçların tespit edilmesi amaçlanıyordu.

Şirketin karşı karşıya kaldığı siber güvenlik tehditleri gizli verilerin kaybına neden oluyor, IT sistemlerinde güvenlik açıkları oluşturuyor ve siber savunma mekanizmalarının iyileştirilmesinin maliyetini artırıyordu. Kimlik avı, sürekli değişen IT tehdit ortamı nedeniyle dünya çapında her gün meydana gelen önemli sayıda saldırıyla bu şirket için açık ara en büyük bilgi güvenliği sorununu oluşturuyordu. Bunun sona ermesi için çalışanlar arasında siber güvenlik farkındalığını yaymak, güvenlik politikalarına uymanın önemini güçlendirmek ve gerektiğinde ek kural veya yönergeler konusunda tavsiyelerde bulunmak hedeflendi.

Bazı şeyler göründüğü gibi değildir

Vodafone Business, Kimlik Avı Farkındalığı Hizmeti kapsamında çalışanların duyarlılığını ölçmek için çeşitli güvenilirlik düzeylerine sahip birden fazla e-posta tabanlı senaryo oluşturdu. E-postalar, kimliğine bürünülen çalışanlar adına gönderildi ve kötü amaçlı ekler, kimlik bilgileri çıkarma açılış sayfaları ve kullanıcı kimlik bilgilerinin ele geçirilmesine yönelik formlarla şirketin dahili iş birliği kanalları ile desteklendi.

Vodafone Business, buradan hareketle şirketin daha da dirençli olabilmesi için iyileştirilmiş bir güvenlik farkındalığı programı için önerilerde bulundu. Ayrıca geçerli bir müşteri hesabı kullanarak ve iş birliği ortamına ve kurumsal rehbere erişimle son derece güvenilir simülasyonlar oluşturuldu. 'Beni avla' aracı kullanılarak çalışanlara sunulan senaryolarla çok sayıda kimlik avı karşıtı kampanya yürütüldü. Geliştirme ve lansman, kullanıma sunma, izleme ve kullanıcı sorguları ile geri bildirimlerine yanıt verme dahil olmak üzere uçtan uca kimlik avı kampanyasını yönetildi.

Böylece şirket, simüle edilmiş gerçek dünya senaryolarını kullanarak kimlik avı saldırılarına karşı duyarlılık için bir temel çizgiyi başarıyla belirleyip izleyebildi. Vodafone Business, şirketin dünya çapındaki tüm çalışanları için bir bilgi güvenliği davranış değişikliği programı oluşturup hayata geçirirken Vodafone uzmanları, müşterinin ihtiyaçlarını karşılayan etik bir kimlik avı kampanyası tasarlayıp sunan çok aşamalı bir program uyguladı. Bu sayede artık şirketin varlıkları, çalışanları ve bilgileri güvende…