ÇALIŞANLARINIZA EĞİTİM VERİN

1.ADIM

İhtiyaç analizi

Güvenlik programınızın oluşturulmasında atılacak ilk adım değerlendirmedir ve bu güvenlik farkındalığı eğitimini de etkiler. Gidermek istediğiniz ana risklerin analizini yapın. Eğer denetim altındaki bir sektördeyseniz yasal gereksinimlere ihtiyaç duyacaksınız.

2.ADIM

Güvenlik kültürünün analizi

Güçlü bir güvenlik kültürü en tepeden başlar ve güvenliğin herkesin problemi ve sorumluluğu olduğu anlayışını benimser. Bu anlayış kültürü yerleştiği zaman, BT departmanı bu savaşta yalnız kalmaz. Bir programı başlatmadan önce bir ihtiyaç analizi yaparız ve sonrasında içerik üretimine geçeriz.

3.ADIM

Politikaların analizi

Çalışanlarla (kullanıcılar) ilgili tüm politikalar, yönetmelikler ve kriterler analiz edilmelidir. Sonraki adımlarda farkındalık eğitiminin içeriği bu politikalarla ilişkilendirilmelidir.

4. ADIM

Hedef grupların tanımlanması

Bir kimlik avı simülasyonuna çeşitli hizmetler dahil edilebilir. Bu hizmetler şirketlere risk analizini daha iyi yapmalarında yardımcı olur. Örnek olarak şunlar verilebilir:

• Yönetim Kurulu: Yönetim Kurulu Üyeleri, Bilgi Güvenliğinin önemi (ve kullanıcılara nasıl bir eğitim sunulacağı) ile ilgili bilgilendirme yapmak amacıyla yıllık olarak düzenlenen Kullanıcı Farkındalık Eğitimi’ne davet edilebilir.
• Yönetim: Verilecek eğitimler yönetimdeki kişilere birçok görevin yerine getirilmesinde destek sağlar (erişim yetkilendirmesi, veri sınıflandırması gibi).
• Teknik personel: verilerin korunmasında, politikaların uygulanmasında ve politikaların uygulanması için gereken sistemin oluşturulmasında teknik personelin rolü çok büyük olduğu için, eğitim programı tüm teknik personeli mevcut politikalar, prosedürler, araçlar, kriterler ve yönetmeliklerden haberdar edecek şekilde hazırlanmalıdır. Yıllık eğitimler kavrama testleri ile desteklenmelidir. Buna örnek olabilecek iyi uygulamalar şu şekildedir:
  • Kullanıcının yalnızca eğitim aldığını değil, güvenlik politikasını tüm hatlarıyla kavradığını belgeleyen bir ‘seviye sınavı’.
  • Aylık bildirim: Ayda bir kere seçilen konular ile ilgili bir e-posta mesajı gönderilir.
  • İhtiyaç dahilinde bilgilendirme: Yeni konular, zafiyetler ya da politikalar ortaya çıkınca, uygun kanallar aracılığıyla ek hatırlatmalar ya da duyurular göndeririz.
  • Süregelen farkındalık egzersizleri:  Yıl boyunca ve yıllık eğitimin başında, kimlik avı simülasyonları gibi birçok farkındalık egzersizi yapılır.
• Müşteri Farkındalığı Eğitimi: Kimlik avını engellemeye yönelik eğitimin broşürler, web sayfaları ve duyurular yoluyla yeterli miktarda müşteriye ulaşıp ulaşmadığından emin olmak için pazarlama personeli ve web tasarımcılar ile de ortaklaşa çalışırız.

5.ADIM

Bölümler arası ortaklıklar geliştirme

Bir farkındalık programında sürecin doğal paydaşı BT departmanıdır ve buna belki Risk Yönetimi departmanı da eklenebilir ancak söz konusu uygulama olduğu zaman diğer departmanlardaki paydaşlar da işin içine dahil edilmelidir. Bu paydaşlar bazı temel ihtiyaçların karşılanmasında yardımcı olurlar: programın verilmesi (canlı ve yüz yüze ders durumlarında) ve dağıtılması gibi. İnsan kaynakları katılımın zorunlu olması ile ilgili politikalar geliştirebilir ve devam kontrolü sağlayabilir. İletişim direktörü program içeriğinin sunulmasından sorumlu tutulabilir. Eğer risk yönetimi departmanının bir haber bülteni varsa, eğitimin içeriği bu yolla yaygınlaştırılabilir.

6. ADIM

İçeriğin oluşturulması

Eğitimin içeriği, her bir şirketin kurumsal yapısına ve şirketin faaliyet gösterdiği sektöre özel olmalıdır. Program, kullanıcılarda istendik davranış değişikliği oluşturacak konular üzerine yoğunlaşmalıdır. Sosyal Mühendislik, Kimlik Avı ve Mobil Güvenlik gibi konular tüm sektörlere hitap eder. Eğitim programının içeriği oluşturulurken, gerçek dünyadaki örnekleri dikkate alırız ve kullanıcılara gerçek bir saldırının nasıl olabileceğini göstermeyi amaçlarız.

7. ADIM

Doğru araçları bulmak

Uzun PowerPoint sunumları artık geçmişte kaldı – en azından farkındalık eğitimleri açısından. Çalışanları 45 dakika boyunca sandalyelere çivilemek, durmadan konuşan birisini dinletmeye zorlamak ana hedefe ulaşmak konusunda istenilen etkiyi göstermiyor. En iyi programlar, videolardan interaktif online modüllere, oyunlaştırma yönteminden kimlik avı saldırı simülasyonlarına kadar birçok farklı teknik kullanarak bu durumdan kaçınmaya çalışır. Birçok farklı yöntemle eğitim vermek iyi bir fikirdir. E-posta listeleri içerikleri göndermek için kolay bir yoldur. Ayrıca içeriklere web sayfalarından ya da intranet üzerinden ulaşılabilir.

8. ADIM

Eğitimi planlamak ve uygulamak

Birçok şirket yıllık eğitim programını ve en azından yeni işe alınanların eğitime tabi tutulmasını tercih eder. Başarılı bir farkındalık eğitimi programı ne tek seferlik ne de yılda bir seferlik bir programdır. Programın, uygun aralıklarda, düzenli ve sürekli olarak verilmesi ve farklı etkinlikleri içermesi gerekir – aylık, üç aylık ya da yıllık olarak planlanabilir. Mümkün olan durumlarda, içerikler karma ve dönemsel tehditlerle ilgili olmalıdır. Örneğin, sevgililer gününde e-kartlar saldırı amaçlı kullanılabilir. Personeliniz bu tür durumlarda nelerden şüphelenmeleri gerektiğini bilmelilerdir.

9. ADIM

Eğitimin etkisini ölçmek

Yeni bir güvenlik sistemi kurduğunuzda, sistemin doğru çalıştığından emin olmak istersiniz; bu durum güvenlik farkındalığı eğitimi için de geçerlidir. Eğitim içeriğinizin bir parçası olarak gerekli soruları eklemek isteyebilirsiniz. Çalışanlarınızın öğrenmeleri gereken bilgileri edinip edinmediklerini ölçmek için dersi bir test ile bitirmek etkili bir yoldur. Örneğin, eğitim bittikten birkaç hafta sonra kimlerin tuzağa düşeceğini görmek için bir kimlik avı e-postası gönderebilirsiniz.

10. ADIM

İzleme ve duruma göre hareket etme

Eğitimin etkisini ölçmek önemlidir ancak gönderdiğiniz eğitimleri kimlerin tamamladığını ve ne kadar zaman geçirdiklerini de takip etmek isteyebilirsiniz. Ayrıca, eğitimin gerçek güvenlik olaylarına etkisini de ölçmek isteyebilirsiniz. Eğer çalışanlar eğitimleri tamamlamaz ya da başarısız olurlarsa, yeni bir eğitime tabi tutulurlar ve sürekli başarısız olanlar ile yüz yüze bir görüşme tertiplenir. Eğer programınız gerçekten işe yarıyorsa, güvenlik ile ilgili olaylarda azalma görürsünüz. Eğer bir azalma görmezseniz, eğitim materyalleri üzerine yeniden planlama yapmanız ve yaklaşımınızı değiştirmeniz gerekir. Yeni tehditler oluştukça, bu tehditler doğrultusunda sürekli olarak eğitiminizi güncellemelisiniz. Ancak çalışanlarınızı doğru bir şekilde eğiterek ve ihtiyaçları olan bilgileri onlara sunarak siber güvenliğinizde ciddi bir iyileşme görebilirsiniz.