BLOG

Bilgi Güvenliği Farkındalık Programınızın Değerlendirilmesinde Oltalama Metriklerinin Etkili Kullanımı

Yayınlanma Tarihi

Nisan 15, 2022

Paylaş

Bilgi Güvenlik Farkındalığı Programını düzenlerken, bir kuruluşun genel güvenlik durumunu benzer kurumlarla ve benzer programlarla karşılaştırması doğaldır. 

Bu yazıda, farkındalık programınızın etkinliğini değerlendirirken hem dış, hem de iç karşılaştırmalarda kullanabileceğiniz ölçüm kriterlerini belirlerken, ölçüm sonuçlarınızı benzer sektörlerdeki kurumlarla karşılaştırırken dikkat etmeniz gerekenleri ele almayı hedefliyoruz.

Peki, kriterler nelerdir? Ve kıyaslamanın geçerli olması, hatta mantıklı olması için kaç değişkenin benzer olması gerekir? Bernard Marr & Co’ya göre, kıyaslamalar, performansınızı genellikle kurum içindeki departmanlar veya dış rakipler arasında başkalarının performansıyla karşılaştırmak için kullandığınız referans noktalarıdır. İş süreçleri, prosedürler ve performans analitiği, benzer kuruluşların en iyi uygulamaları ve istatistikleri dikkate alınarak karşılaştırılır.

Bilindiği üzere, oltalama simülasyonları, çeşitli sektörlerden birçok şirket tarafından, hassas ve kişisel bilgileri toplamak için aldatma (İng. deception) yöntemleri kullandıkları oltalama saldırılarını daha iyi tanımlamayı ve durdurmayı öğreten önemli bir siber eğitim taktiği olarak kullanılmaktadır. Oltalama simülasyonları genellikle istenmeyen işlem (tıklama, veri girişi, vb.) oranını ve sonucunda oluşan rapor oranını ölçer. Karşılaştırmaların çeşitleri olsa da oltalama performans metriklerini içeren performans kıyaslaması kapsamına girer ve yalnızca benzer endüstrilerdeki diğer şirketler veya rakiplerle karşılaştırmayı değil, aynı zamanda sektörden bağımsız olarak küresel karşılaştırmayı ve hatta farklı departmanları, bölgeleri veya iş birimlerini karşılaştırmak gibi kendi şirketinizdeki dahili karşılaştırmayı da içerebilir.

Çoğu Bilgi Güvenliği Yetkilisi, farkındalık programı metriklerinin benzer kurumlarla nasıl karşılaştırıldığıyla ilgilenir. Ancak burada, performans karşılaştırması çok daha fazla öne çıkabilir. Sektör bazlı karşılaştırılabilir iyileştirme alanlarını belirlemek kilit öneme sahip olsa da oltalama simülasyonlarını kullanırken birden fazla değişkeni izlemek önemlidir ve sonuçlar başlıca itici güçtür.

Oltalama simülasyonlarının sonuçlarının analitik ayrıntılarını değerlendirirken göz önünde bulundurulması gereken bazı değişkenler şunlardır:

  • Kurumun temsili olarak simülasyon kapsamına alınan örneklem büyüklüğü,
  • Bilgi güvenliği farkındalığı programının geçmişi ve uzunluğu,
  • Simülasyonun zorluğu ve göstergelerin sayısı,
  • Simülasyon içeriğiyle ilgili deneyim (bağlantı/ek/kimlik bilgisi isteği),
  • Simülasyon için kullanılan senaryo ve tüm katılımcılarla ne kadar ilgili olabileceği,
  • Ne zaman gönderildiği (konuma göre gün/saat),
  • Raporlama kolaylığı/seçenekleri,
  • Eğitim ve farkındalık materyallerinin mevcudiyeti ve çeşitliliği,
  • Kurumda ya da kuruma uyum sürecinde (İng. onboard) “Geçirilen Zaman” (örneğin, yeni çalışanların yoğun akışı etkili olabilir),
  • Simülasyon kapsamındaki çalışanların göreceli demografisi,
  • Ve Güvenlik Farkındalığı Programı’nın veya çabalarının genel olgunluğu

Örneğin oltalama programınız, daha önce siber farkındalık taktiklerini desteklediğiniz ve uzun vadeli sürdürülebilirlik ve kültür değişikliği deneyimlemiş olduğunuz SANS Olgunluk Modeli‘nin üst ucuna denk geliyorsa, oltalama değerlendirme sonuçlarınız – benzer bir kimlik avı simülasyonuyla bile – programı Uyumluluk Odaklı seviyesinin altında kalan benzer kuruluştan çok daha farklı olabilir. Uyumluluk Odaklı seviyesinin altındaki çalışanlar, eğitime ayırdıkları süreler olarak ve güvenli siber farkındalık taktiklerini kullanmak için daha az zamana sahiptir.

Dikkate alınması gereken bir diğer değişken de simülasyonların zorluğudur. Çeşitli işletme veya kuruluştaki simülasyonlar aynı veya benzer ise, istatistikler de daha geçerli olacaktır. Karşılaştırma için kullandığınız simülasyonların zorluk derecesi farklılık gösteriyorsa, karşılaştırmada çarpıklık olabilecektir.

Bu nedenle, kıyaslama önemliyken ve artan liderlik desteği için kullanılabilirken, mümkün olan her yerde elmaları elmalarla kıyasladığınızdan emin olmak için özen gösterilmelidir. Kıyaslama, yalnızca tüm faktörleri ve değişkenleri göz önünde bulundurma kapasiteniz varsa değerli bir değerlendirme aracı olarak kullanılabilir. Aksi takdirde, rapor oranı ve tıklama oranı gibi daha etkili metrikler yerine karşılaştırma istatistiklerine çok fazla önem verilmesi yanlış davranışa neden olabilir.

Bunu takip eden yazıda, “kimlik avı programınızın değerlendirilmesinde karşılaştırmaların (İng. benchmark) etkili kullanımı” konusunu ele alacağız. Kendi kuruluşunuzdaki kıyaslamayla ilgili gelecekteki yazılarımız için bizi izlemeye devam edin.

Kaynak: https://www.sans.org/blog/how-to-use-phishing-benchmarks-effectively-to-assess-your-program/