BLOG

Bilgi Güvenliği Farkındalık Programınızın Değerlendirilmesinde Karşılaştırmaların Etkili Kullanımı-2

Yayınlanma Tarihi

Haziran 3, 2022

Paylaş

Önceki yazıda Bilgi Güvenliği Farkındalık Programınızı değerlendirmek için yapılan dış (diğer kurumlarla) ve iç (kurum içindeki birimlerle) karşılaştırmalarda etkili metrikleri seçmenin önemini ve bunların kuruluşunuzun olgunluk modelindeki  konumunuzla nasıl ilişkili olduğuna değinmiştik.

Bu serinin ikinci yazısında, oltalama tatbikat verilerinin analizinin daha etkin değerlendirmesi, diğer bir deyişle “elmalarla elmaların” karşılaştırmasını sağlayan Seviyelendirme (Tiering) konusunu ele alıyoruz. Seviyelendirme kavramı kapsamında, oltalama senaryosunun içeriği, hangi metriklerin kullanılacağı ve oltalamanın fark edilebilme zorluğu ele alınır.

SANS seviyeleme modeli, aşağıda tanımlanan 5 seviyeyi içerir. Her seviyenin 3 özel alanı vardır: hedef kitle, deneyim ve simülasyon senaryosunun özellikleri. Hedef kitle ve deneyim seviyeden seviyeye değişebilse de seviyeleri birbirinden ayıran ana faktör simülasyon senaryosunun özellikleridir.

Aşağıdaki diyagramdan da görebileceğiniz gibi, bir Seviye-1 simülasyonu, doğası gereği çok “spam” içermesi nedeniyle, oltalama olduğunun fark edilmesi kolaydır. Seviyeler yükseldikçe, senaryolarda bilinen markaların veya hedef kitlenin aşina olabileceği tarzda içeriklerin kullanılması ile oltalamanın tespit edilmesi daha zorlaşır. Bu durum, Seviye-2’deki tanınmış bir
markanın kullanıldığı bir senaryo örneğinde veya Seviye-3’teki Zoom işiyle
ilgili bir senaryo örneğinde görülebilir.

Seviye-4 ise, kişiselleştirmenin, güvenilirliğin ve bazı ön bilgilerinin kullanıldığı oltalama senaryolarını içerir. Seviye-5, yüksek profildeki hedeflenmiş bireylere (Yönetim Kurulu, C-Seviyesi Yöneticiler vb.) yöneliktir ve senaryolar yönetici liderler özelinde kişiselleştirilmiştir.

Aşağıdaki örnekteki Seviye-1 simülasyonunda da görebileceğiniz gibi, göstergelerin belirlenmesi kolaydır ve eğitimli çalışanlar (hedef kitle) tarafından hızlı bir şekilde tanımlanabilecek şekilde olmalıdır.

SANS - Farkındalık Örnek

Şimdi isterseniz, dış kuruluşlarla kıyaslama yaparken seviyelendirmenin neden önemli olduğuna bir göz atalım.

Önceki yazımızda belirtildiği gibi, kıyaslama konusu, uygulama bakımından çoğu zaman kolaydır. Çünkü, sonuçların geçerliliğini etkileyen çok sayıda değişken vardır. Bu değişkenlerden, hedef kitlenin demografisi veya oltalama enaryosu değişkenleri gibi çoğunun tanımlanması kolaydır.

Bununla birlikte, oltalanma zorluğunu tanımlamak, kullanılan simülasyon araçlarına ve senaryoların inandırıcılık derecelerine görece daha zordur.

Oltalama simülasyonlarını bir farkındalık aracı olarak kullanan birçok kurum vardır, bankacılık/finans gibi dikeylerdeki ve benzer sektör kurumları kolayca sayabiliriz. Bunu, boyut ve hatta çalışan (hedef kitle) olgunluğuna göre de daraltabiliriz. Ancak tipik olarak, gerçek simülasyon verilerindeki özellikler ve benzerliklerin karşılaştırılması zordur. SANS seviyelendirme modeli, karşılaştırma verilerinin mümkün olduğunca uygulanabilir olmasını sağlayarak daha iyi simülasyonlar yapabilmenizi sağlar.

Örneğin bir kuruluş, genel güvenlik duruşunun benzerleri arasında bir jüri tarafından değerlendirilmesini istiyorsa, seçilen seviyeye uygun değerlendirmeler yapılacak şekilde geçmiş simülasyon sonuçlarına bakılabilir. Her sektör kuruluşu belirli bir katmandaki ölçümleri paylaştığında, ölçümler tüm seviyelerdeki veya tüm zorluk düzeylerindeki ölçümlerden çok daha etkili şekilde karşılaştırılabilir.

İdeal durum, aynı özelliklerdeki simülasyonu temsil edilen bir seviyelendirme seçilerek, benzer sektörler ve benzer siber güvenlik programlarının uygulandığı koşullarda sağlanabilir. Eğer, hedef kitle demografisi de karşılaştırılabilirse, İstenmeyen Eylem Oranı (İng. UAR – Undesired Action Rate), oltalama şüphesine dair bildirim yapan çalışanların oranıyla birlikte, güvenilir bir karşılaştırma ölçütü sağlayacaktır.

Bu gibi karşılaştırmalar için dış kuruluşlar arasındaki iletişim ve iş birliği çok önemlidir, bu da bilgi güvenliği farkındalık programından sorumlu kişinin ve operasyonel ekiplerin tipik iş yüklerine bağlı olarak zor olabilir. Stratejik önceliklerin yanı sıra, simülasyonun uygulama süresi ve kaynaklar da ortak şekilde belirlendiğinde, seviyelendirme dikkate alınarak elde edilen geçmişteki sonuçların analitik değerlendirmeleri ve karşılaştırmaları ekipler için güvenilir olabilir. Bu durumda, ekipler, kaynakları azaltarak ve etkiyi planlayarak, simülasyonları benzer bir seviyedeki kriterler için hazırlamayı tercih edebilir.