Genel

Etkili Oltalama Eğitimi İçin Gerekli Adımlar

0

Her gün binlerce çalışan oltalama e-postasıyla karşı karşıya geliyor. E-posta sağlayıcıları kötü amaçlı e-postaları filtreleme konusunda giderek gelişse de siber koruma ancak çalışanların emeğiyle mümkün. 2020’de yapılan araştırmalara göre kötü amaçlı yazılımların çoğu oltalama e-postaları aracılığıyla bilgisayarımıza giriyor. Aynı araştırmada, çalışanların çeyreğinin oltalama e-postalarını tanıyamadığı ortaya çıktı. Bu yüzden, oltalama saldırıların yavaşlamadan artmaya devam ettiği bu günlerde oltalama eğitimleri oldukça revaçta. İşte, etkili oltalama eğitimi için gerekli adımlar.

Etkili Oltalama Eğitimi İçin Gerekli Adımlar Nasıl Kararlaştırılır?

Günümüzde kadar test ettiğimiz oltalama eğitimleri arasında şüphesiz en etkili olanlardan biri simüle edilmiş oltalama eğitimi. Oltalama simülasyonlarıyla olası bir oltalama saldırısını simüle edebilirsiniz. Bu sayede çalışanlarınız ne yapmaları gerektiğini deneyimleme şansı elde eder. Bu şekilde çalışanlar güvenli ve risksiz bir ortamda kendilerini test etmiş olurlar.

Ancak etkili bir oltalama eğitimi hazırlamak istiyorsanız dikkat etmeniz gereken birkaç şey var. Hangi sıklıkta ve kaç tane oltalama simülasyonu yapacağınıza karar vermelisiniz. Simülasyonlarınızın zorluğu nasıl olmalı, çalışanlarınızın ilerlemesini nasıl kaydedeceksiniz?

Bunların hepsi kayda değer konular. Bu yazımızda sizlere oltalama simülasyonlarıyla ilgili kayda değer konuların hepsiniz derledik. Aşağıdaki adımları takip ederek çalışanlarınıza oltalama hakkındaki her şeyi detaylıca öğretebilir, onlarla birlikte çalışarak kendinizi ve şirketinizi koruyabilirsiniz. Şimdi sırada, etkili oltalama eğitimi oluştururken takip etmeniz gereken adımlar var.

Etkili Oltalama Eğitimi İçin Gerekli Adımlar

1. Simülasyon Sonuçlarında Nelere Dikkat Edeceğinize Karar Verin.

Programınızın işe yarayıp yaramadığını oltalama simülasyonları sonuçlarında dikkat edeceğiniz noktalar belirler. Sonuçlar arasında en önemli noktalardan biri de çalışanlarınızın oltalama e-postalarını raporlama oranıdır. Çoğu şirket bunun yerine tıklama oranlarını kullansa da bu oranlar oltalama simülasyonunun zorluğuna göre değişir. Tıklama oranlarının az olması oltalama simülasyonunun çok kolay olduğu anlamına gelebilir.

Buna rağmen çalışanların e-postayı raporlama oranı size çok fazla şey söyler. Bu oranlardan çalışanlarınızın bilinçlenip bilinçlenmediğini, simülasyonlara ne kadar katılım gösterdiğini anlayabilirsiniz. Raporlama oranı yüksekse çalışanlarınız oltalama e-postalarını rahatlıkla tespit edebiliyor ve simülasyona katılım gösteriyor demektir. Simülasyonlardan beklentiniz çalışanlarınızın özverisi olmalıdır.

2. Detaylı bir plan hazırlayın.

Tüm etkili eğitimlerin arkasında detaylı bir plan yatar. Oltalama eğitiminizi hayata geçirmeden önce planınızı en azından kafanızda netleştiremelisiniz. Bu, eğitimi planlayacak ekip ve eğitimde yer alacak  departmanlar arasındaki iletişimi de kolaylaştırır. Planınızı aşağıdakilere dikkat ederek oluşturursanız eğitimleri düzenlemek oldukça basit hale gelebilir:

  • Çalışanlara ne sıklıkla oltalama e-postası göndereceğiniz,
  • Simülasyon içeriğine göre hazırlayacağınız destekleyici araçların neler olacağı,
  • Programı çalışanlarınıza nasıl duyuracağınız ve göndereceğiniz mesajın içeriği,
  • Çalışanlarınıza şüpheli bir durumu bildirme konusunda vereceğiniz tavsiyeler.

Ayrıca programınıza akılda kalıcı bir isim vermeniz de işleri kolaylaştırabilir. Bunun en iyi yolu bir siber güvenlik firmasıyla anlaşmak ve siber güvenlik eğitimlerini planlarken onlardan destek almaktır. Bizim siber güvenlik farkındalığı eğitimcimiz tam da bu amaçla ortaya çıkmıştır. Her anlamda birbirini destekleyen içerikleri sizlere sunan eğitimcimizle istediğiniz türde eğitimler planlayabilirsiniz.

3. Planınızı Yöneticilerle Paylaşın

Planınıza son halini verdikten sonra neyi, neden yapacağınızı ve nasıl bir plan oluşturduğunuzu yöneticilerinize haber verin. Onlar da haber verdiğiniz için mutlu olacaktır ve programı destekleyecektir. Ayrıca, oluşturduğunuz iletişim planını bu noktada işinizi kolaylaştıracaktır. Yöneticileriniz oltalama simülasyonlarına sıcak bakmıyorsa, onlara karşı karşıya olduğunuz riskler hakkında detaylı bilgi verin. Bunu yaparken çeşitli istatistiklerden yararlanın.

4. İlk Oltalama Simülasyonunuzu Kimseye Haber Vermeden Harekete Geçirin.

Planınızı uygulamaya koymadan önce ilk simülasyonunuzu gerçekleştirirken yalnızca güvenlik ekibinize haber verin. İlk oltalama simülasyonunu kimseye haber vermeden yapmak çalışanlarınızın oltalama bilincini anlamada en iyi yöntemdir. Çalışanlarınız bir beklenti içinde olmadığından doğal sonuçlar elde edeceksiniz. Bu oltalama simülasyonunun sonuçlarını kullanarak sonraki sonuçlarla karşılaştırma yapabilirsiniz. Bu karşılaştırmalar size çalışanlarınızın kat ettiği yolla ilgili bilgi verir.

Ayrıca ilk oltalama simülasyonunu çok kolay veya çok zor hazırlamanızı tavsiye etmiyoruz. Bu elde edeceğiniz sonuçların ekstrem sonuçlar olmasına yol açar. İlk simülasyon tıklama oranlarını belirlemeye ve rapor temeli toplamaya yönelik olmalı.

5. Oltalama Eğitim Planınızı Şirketle Paylaşın.

İlk oltalama simülasyonunuzu kimseye haber vermeden gerçekleştirdiniz ve sonuçları topladınız. Şimdi sıra çalışanlarınıza ve şirketinize bilgi vermekte. Eğitimlerin temelini attıktan sonra, ileriye dönük oltalama eğitim programınızı resmi olarak duyurun. Onlara eğitimin onlara bir şeyler öğretmeyi amaçladığını anlatın. Bunun için açık ve samimi bir dil kullanın. Duyurunuzda aşağıdakilerden bahsetmeyi unutmayın:

  • Şirketin siber güvenliğe ve güvenlik farkındalığına bakışı,
  • Oltalama simülasyonlarına ve şüpheli davranışlara yönelik tavsiyeler,
  • Oltalama saldırılarını veya e-postaları bildirme yöntemleri, çalışanların kullanabileceği raporlama düğmeleri,
  • Şirket oltalamaya karşı kullandığı diğer kaynaklar.

6. Departman Yöneticileriyle Veya Çalışanlarla İletişim Halinde Olun.

Çoğu oltalama saldırısında hackerlar şirket içi mesajlaşmaları taklit eder. İyi bir simülasyon hazırlamak istiyorsanız siz de bu mesajlaşmaları taklit edebiliyor olmalısınız. Bunun için oltalama simülasyonu planladığınız departmanın yöneticileriyle veya çalışanlarıyla iletişime geçin. Ayrıca simülasyonları planlamadan önce de önemli işleri aksatmamak adına departmanlarla sürekli iletişim kurmalısınız. Onlara aşağıdakilerden kısaca bahsedin:

  • Bu departmana yönelik oltalama simülasyonu planlamanızın nedeni.
  • Çalışan kişilerin şüpheli bir e-postayı nasıl raporlayacağı ve yöneticilerin bunu çalışanlara nasıl anlatması gerektiği.

7. Tüm Oltalama Eğitiminizi Harekete Geçirin.

Şirkete ve tüm departmanlara planınızı anlattınız. Şimdi planınızı gerçekleştirme zamanı. Araştırmalara göre oltalama simülasyonlarının en az üç ayda bir tekrarlanması gerekiyor. Fakat bu sıklığı arttırmamak gerekliyor, ayda birden fazla simülasyon yapmak çalışanların dikkatini dağıtabilir. İlk simülasyonun sonuçlarına göre çalışanlarınızın gelişimini test edin ve buna göre ilerleyin. Tıklama oranı yüksekse simülasyonları biraz kolaylaştırın. Raporlama oranı azsa çalışanlarınızı şüpheli e-postaları raporlamaya teşvik edin. Raporlama yapan çalışanlarınıza teşekkür etmeyi unutmayın.

Sonuçları departman departman incelemek bazı şeyleri tespit etmenizi sağlayabilir. Departman ortalamalarına bakarak hangi departmanların hangi konuda daha başarılı olduğunu anlayabilirsiniz. Planınızı buna göre modifiye etmek etkinliği arttıracaktır. Oltalama simülasyonlarınızda mutlaka hedefli oltalamaya, güçlü parola kullanımına, vergi iadelerine, fidye yazılımlarına yer verin. Buna ek olarak her zaman yaratıcılığınızı konuşturun. Birden farklı konuyu tek bir simülasyonda birleştirerek tek seferde birçok şey öğretebilirsiniz.

Oltalama simülasyonunuzu hayata geçirirken güvenlik ekibinize haber vermeyi unutmayın. Onlarla ekran görüntülerini paylaşın. Çalışanlar güvenlik ekibine danıştığında simülasyonu ifşa etmek yerine onlara tavsiye vermelerini söyleyin.

8. Destekleyici Materyaller Kullanın.

Oltalama simülasyonları destekleyici materyallerle desteklenmediği sürece etkili olmaz. Çalışanlarınızı yalnızca oltalama simülasyonları dışında oyunlarla, sunumlarla, bilgilendirici blog yazılarıyla desteklemelisiniz. Bunun için göz alıcı görsellerden kısa makaleler ve videolardan yararlanabilirsiniz. Çalışanlarınızı zinde tutmak için ara sıra oltalama e-postası raporlama hakkında bilgilendirmeler göndermek de işe yarayacaktır.

Ayrıca simülasyonda kullanılan kötü amaçlı sayfanın içeriğini eğitici ve destekleyici materyallerden oluşturmaya dikkat edin. Çalışanları kandırmaya veya tuzağa düşürmeye çalışmayın. İçeriğin şirketinizin genel siber güvenlik politikasıyla uyumlu olması programın etkili olmasına yardımcı olacaktır. Bunun sonucunda, çalışanlarınız bu eğitim içerikleri arasındaki bağlantıyı anlamış olur. İçerikler arası bağlantıyı pekiştirmek için benzer bir görünüme sahip materyaller kullanabilirsiniz.

Şirket içinde etkili bir siber güvenlik kültürü oluşturmak için Oltalama Simülasyonlarına ek olarak Tehdit Paylaşım aracımızdan yararlanabilirsiniz. Tehdit Paylaşımı aracımız siber saldırılara karşı  proaktif olarak hareket etmek ve savunma mekanizmalarını güçlendirmek amacıyla geliştirilen bir saldırı veya tehdit istihbarat paylaşım platformudur. Oltalama eğitimlerinin bir amacı da şirketi içi kültürel değişimi tetiklemektir. Aracımızı kullanarak şirket içinde güvenli iletişimi teşvik ederek davranış değişikliğini sağlayabilirsiniz. Daha fazla bilgi için sitemizi ziyaret ederek diğer araçlarımıza bir göz atın.

9. Oltalama Eğitim Sonuçlarını Analiz Edin.

Oltalama eğitim planınızı aksiyona geçirdiniz. Peki şimdi ne yapmalısınız? Sıra eğitim sonuçlarını analiz etmekte. Sonuçlara göre oltalama e-postalarını raporlayan çalışanları belirleyin, ve bu çalışanları kişisel olarak tebrik edin. Bunu basitçe bir ‘Tebrikler, Oltalamayı Fark Ettiniz!’ yazısı göndererek yapabilirsiniz. Buna ek olarak, e-postayı bildiren çalışanlara hediyeler, bedava ürünler veya yemek ikramları yaparak raporlamayı teşvik edebilirsiniz.

Eğer çok fazla çalışanınız varsa ve oltalama e-postasını bildiren çalışanların sayısı da fazlaysa ödülleri çekilişle dağıtabilirsiniz. Kullanabileceğiniz bir yöntem de, her eğitim sonucu oltalamayı tespit eden kişileri şirket ağı üzerinden tebrik etmektir. Bunu da çalışanınıza tebrik e-postası gönderirken yöneticilerini cc’ye ekleyerek yapabilirsiniz. Bu e-postaları atması için birini görevlendirmek işleri kolaylaştıracaktır.

Oltalama e-postalarını tespit etmek ve bildirmekte sorun yaşayan çalışanlarınız için detaylı bir siber güvenlik eğitimi programı edinin ve çalışanlarınızın bu programa katıldığından emin olun. Bunun için sizlere Siber Güvenlik Farkındalık Eğitimcimizi öneriyoruz. Sürekli olarak sahte e-postalarınıza aşık olan kişiler için kısa bir eğitim kursunu takip edin ve tamamladıklarını izleyin.

Oltalama simülasyon sonuçlarını analiz ederken önceden belirlediğiniz kriterlere dikkat edin. Bu kriterlere göre verilerin ne anlama gelebileceğini anlamaya çalışın. Çalışanlarınızın tıklama oranları ne durumda, hangi departman daha çok oltalamaya düşüyor? Raporlama sıklığı nasıl ilerliyor, çalışanlarınız ilerleme kat ediyor mu? Bu analizleri detaylıca yapın.

10. Eğitim Sonucunda Ne Kazandığınızı Belirleyin.

Son olarak eğitimlerin ve oltalama simülasyonlarının ekibinize ve şirkete neler kattığını belirleyin. Günün sonunda oltalama eğitimlerinin amacı şirkette bir siber güvenlik kültürü oluşturmaktır. Katılımın yüksek olması bu kültürün oluşmasını hızlandıracaktır. Çalışanlarınız bu kültürü yayma konusunda elçileriniz olmalıdır. Gerektiği durumlarda çalışanlarınızdan dönüt almayı ihmal etmeyin.

“Bu gönderi orijinal olarak www.oltalama.com.tr adresinde yayımlanmıştır”

RSS Teknoloji Haberleri