Siber GüvenlikSosyal Mühendislik

Bilgi Güvenliği Eğitimi Nedir?

Kurumlarda bilgi güvenliğinin sağlanması, bilgi güvenliği farkındalık eğitim­lerinin farklı yöntemlerle çalışanlara periyodik olarak verilmesi ile gerçekleştiri­lebilir. Bu yöntemler farkındalık toplantıları, kurum içi web üzerinden eğitimler, e-posta yoluyla kullanıcılara bildirimler, yazılar ve duyurular, seminerler, kurum içi bültenler ve güvenlik posterleri şeklinde olabilir. (Bilgi Güvenliği Tehditleri yazımı okumak için buraya tıklayabilirsiniz.) İnsana bağlı güvenlik riski hiçbir zaman tamamen yok edilemese de iyi planlanmış bilgi güvenliği farkındalık eğitimleri riskin kabul edilebilir bir seviyeye indirilmesine yardımcı olacaktır. Çalışma gruplarının bilgiyi ve bilgi kaynaklarını koruma konusunda üzerlerine düşen sorumlulukları anlaması bilgi güvenliğinin sağlanması açısından kritik bir öneme sahiptir.

Çalışanlar hatalı davranışlarının kurum bilgi güvenliği üzerinde ya­ratabileceği etkiyi eğitimler aracılığıyla açıkça anlamalıdır.

Bilgi güvenliği farkındalık eğitimlerinin temel hedefi çalışanları kurumsal bilgilerin ve bilgi kaynaklarının gizlilik, bütünlük ve erişilebilirlik konusundaki yapması gereken görev ve sorumlulukları konusunda eğitmektir. Bilgi güvenliği eğitimleriyle insanlar sadece bilginin korunması konusunda nasıl katkı sağlaya­bileceklerini değil, aynı zamanda bilginin neden korunması gerektiğini de öğ­renmelidir. Çalışanlar hatalı davranışlarının kurum bilgi güvenliği üzerinde ya­ratabileceği etkiyi eğitimler aracılığıyla açıkça anlamalıdır. Kullanıcı farkındalık çalışmaları, güvenlik ihlallerinin maliyetini azaltmaya ve kontrollerin kurumun tüm bilgi kaynakları üzerinde dengeli uygulanmasına yardımcı olacaktır. Güven­lik farkındalık eğitimlerinin amacı, güvenlik ve güvenlik kontrollerinin önemi hakkında kurum çalışanlarında kolektif bir bilinç oluşturmasıdır. Bilinçlendirme mesajları basit ve açık olmalı, farkındalık eğitimleri çalışma gruplarının anlayabi­leceği basit bir formatta verilmelidir.

Yeni güvenlik önlemleri hayatı zorlaştırıcı, gereksiz değişiklikler olarak görülür.

Çoğu kurumda güvenliğin sağlanması için yapılması gereken kısıtlamaların kullanıcıların alışkanlıklarıyla ters düşmesinden dolayı güvenlikle ilgili yaptırım­ların uygulanmasında geç kalınmaktadır. Kurumsal güvenlik uygulamaları ba­şından itibaren uygulanmadığından zamanla her kullanıcının, güvenliğe dikkat etmeksizin farklı kullanım alışkanlıkları edindiği görülmüştür. Bu durum bilgi güvenliği farkındalık eğitiminin uygulanmasını zorlaştırarak, kullanıcılarda gü­venlik uygulamalarına karşı direnç oluşmasını sağlamaktadır. Çünkü sadece kullanıcıları eğitmek değil, aynı zamanda eski alışkanlıklarından kurtarmak ge­rekmektedir. Kullanıcılara göre kurum güvenlik önlemleri olmaksızın bugüne kadar gayet iyi çalışmıştır ve hiçbir sorunla karşılaşmamıştır. Yeni güvenlik önlemleri hayatı zorlaştırıcı, gereksiz değişiklikler olarak görülür. Farkındalık eğitimleri güvenlikle ilgili bilgi vermenin yanında kullanıcı alışkanlıklarından nasıl kurtarılacağı göz önüne alınarak hazırlanmalı, akıcı ve eğlenceli bir içerikle kullanıcılara sunulmalıdır.

 Farkındalık eğitiminin başa­rılı olabilmesi için kullanıcıların kafasındaki neden sorusunun cevabı kullanıcıyı ikna edecek şekilde verilmelidir. Örneğin, basit şifrelerin nasıl ve ne kadar kısa sü­rede kırıldığını, saldırganlar tarafından nasıl kötü niyetli kullanılabildiğini, şifrele­rin çalınması durumunda meydana gelebilecek güvenlik ihlallerinin sonuçlarının kendilerini nasıl etkileyeceği konusunda örnekler ve yaşanmış gerçek hikâyelerle desteklemesi eğitimin amacına ulaşmasına önemli ölçüde katkı sağlayacaktır. Ba­şarılı bir eğitim sonrasında kullanıcıların şifreleme politikasına sahip çıkarak yeni politikanın uygulanmasında gayretli olacakları görülecektir.

Etkili bir bilgi güvenliği için uygun eğitim programının geliştirilebilmesinde dikkat edilmesi gereken hususlar :

  • Kurumsal bilgi güvenliği politikalarının oluşturulması
  • Eğitim ihtiyaçlarının tespiti
  • Gerekli desteğin sağlanması
  • Eğitim gruplarının belirlenmesi
  • İletişim araçlarının belirlenmesi
  • Eğitim stratejisinin belirlenmesi
  • Ölçme
  • Sosyal Mühendislik
  • Şifre kullanımı ve yönetimi
  • Kötü niyetli yazılım
  • Güvenlik politikaları
  • E-posta kullanımı ve bilinmeyen e-posta eklentileri
  • Mobil cihazların güvenliği
  • Erişim kontrolü konuları
  • Masaüstü güvenliği

Etiketler

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu
Kapalı

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün
Göktürk evden eve nakliyat Göktürk evden eve nakliyat