Teknoloji tasarımcıları bir ürün geliştirip bunu kullanıcılar üzerinde test ederek işe başlarlar. Ürün önce gelir; Kullanıcı girişi, uygulanabilirliğini doğrulamak ve geliştirmek için kullanılır. Yaklaşım mantıklı. McDonald's ve Starbucks da aynısını yapıyor. İnsanlar, deneyimlemeden tarifleri hayal edemedikleri gibi, yeni ürünleri de hayal edemiyorlar.
Ancak paradigma aynı zamanda kullanıcı korumasına yönelik programlar oluşturduğumuz ve kullanıcılardan bunları uygulamalarını istediğimiz güvenlik teknolojilerinin tasarımına da genişletildi. Ve bu hiç mantıklı değil.
Güvenlik kavramsal bir fikir değildir. İnsanlar zaten e-posta kullanıyor, zaten Web'e göz atıyor, sosyal medyayı kullanıyor ve dosya ve görsel paylaşıyor. Güvenlik, kullanıcıların e-posta gönderirken, internette gezinirken ve çevrimiçi paylaşım yaparken zaten yaptığı bir şeyin üzerine eklenen bir iyileştirmedir. Bu, insanlardan emniyet kemeri takmalarını istemeye benzer.
Güvenliğe Farklı Bakma Zamanı
Ancak güvenliğe yaklaşımımız, insanların araç kullanma şeklini göz ardı ederek sürücü güvenliğini öğretmek gibidir. Bunların hepsini yapmak, kullanıcıların ya bir şeyi daha iyi olduğuna inanarak körü körüne benimsemelerini ya da diğer taraftan, zorlandıklarında sadece ona uymalarını sağlar. Her iki durumda da sonuçlar optimalin altındadır.
VPN yazılımını ele alalım. Bunlar yoğun bir şekilde tanıtılıyor kullanıcılara mutlaka sahip olunması gereken bir güvenlik ve veri koruma aracı olarak sunuluyor, ancak çoğu geçerlilik yokluğuyla sınırlı. Korumalarına inanan kullanıcıları daha büyük risk altına sokarlar, bu tür korumalara inanan kullanıcıların daha fazla risk aldıklarından bahsetmiyorum bile. Ayrıca, artık birçok kuruluş tarafından zorunlu kılınan güvenlik farkındalığı eğitimini de göz önünde bulundurun. Eğitimin kendi özel kullanım durumlarıyla alakasız olduğunu düşünenler, genellikle sayısız güvenlik riskine yol açan geçici çözümler buluyor.
Bütün bunların bir nedeni var. Güvenlik süreçlerinin çoğu, teknoloji ürünleri geliştirme konusunda deneyimi olan mühendisler tarafından tasarlanmıştır. Güvenliğe teknik bir zorluk olarak yaklaşıyorlar. Kullanıcılar, öngörülebilir işlevleri gerçekleştirmek üzere programlanabilen yazılım ve donanımdan farklı olmayan, sistemdeki başka bir eylemdir. Amaç, hangi girdilerin uygun olduğuna ilişkin önceden tanımlanmış bir şablona dayalı eylemleri içermek ve böylece sonuçların öngörülebilir olmasını sağlamaktır. Bunların hiçbiri kullanıcının neye ihtiyacı olduğuna dayanmıyor; bunun yerine önceden belirlenmiş bir programlama gündemini yansıtıyor.
Bunun örnekleri günümüz yazılımlarının çoğunda programlanan güvenlik işlevlerinde bulunabilir. Bazıları kullanıcıların gelen bir e-postanın kaynak başlığını (gönderenin kimliğini açığa çıkarabilecek önemli bir bilgi katmanı) kontrol etmesine olanak tanıyan, bazıları ise bunu yapmayan e-posta uygulamalarını ele alalım. Veya mobil tarayıcıları ele alalım; burada yine, kullanıcılar farklı tarayıcılarda aynı ihtiyaçlara sahip olsa da, bazıları kullanıcıların SSL sertifikası kalitesini kontrol etmesine izin verirken diğerleri bunu yapmaz. Birisinin yalnızca belirli bir uygulamadayken SSL'yi veya kaynak başlığını doğrulaması gerekmiyor. Bu farklılıkların yansıttığı şey, her programlama grubunun, ürünlerinin kullanıcı tarafından nasıl kullanılması gerektiğine ilişkin farklı görüşüdür - ürün öncelikli zihniyet.
Kullanıcılar, farklı güvenlik teknolojileri geliştiricilerinin vaat ettiklerini yerine getirdiğine inanarak güvenlik gereksinimlerini satın alır, kurar veya bunlara uyar; bazı kullanıcıların bu tür teknolojileri kullanırken çevrimiçi faaliyetlerinde daha da bilinçli davranmasının nedeni budur.
Kullanıcı Öncelikli Güvenlik Yaklaşımının Zamanı
Güvenlik paradigmasını tersine çevirmemiz zorunludur; kullanıcıları ilk sıraya koyarız ve ardından savunmayı onların etrafında inşa ederiz. Bunun nedeni yalnızca insanları korumamız gerektiği değil, aynı zamanda sahte bir koruma duygusunu teşvik ederek riski körüklememiz ve onları daha savunmasız hale getirmemizdir. Kuruluşların maliyetleri kontrol etmek için de buna ihtiyacı var. Dünya ekonomileri salgın hastalıklardan ve savaşlardan sarsılmışken bile son on yılda kurumsal güvenlik harcamaları geometrik olarak arttı.
Kullanıcı öncelikli güvenlik, insanların bilgi işlem teknolojisini nasıl kullandıklarının anlaşılmasıyla başlamalıdır. Şunu sormamız gerekiyor: Kullanıcıları e-posta, mesajlaşma, sosyal medya, gezinme, dosya paylaşımı yoluyla hacklenmeye karşı savunmasız kılan şey nedir?
Riskin temelini çözmemiz ve davranışsal, beyinsel ve teknik kökenlerini bulmamız gerekiyor. Bu, geliştiricilerin güvenlik ürünlerini geliştirirken uzun süredir göz ardı ettiği bilgilerdir; bu nedenle, güvenliğe en fazla önem veren şirketler bile hala ihlallere maruz kalmaktadır.
Çevrimiçi Davranışlara Dikkat Edin
Bu soruların çoğu zaten cevaplandı. Güvenlik bilimi, kullanıcıları sosyal mühendisliğe karşı neyin savunmasız bıraktığını açıkladı. Sosyal mühendislik çeşitli çevrimiçi eylemleri hedef aldığından, bilgi geniş bir davranış yelpazesini açıklamak için uygulanabilir.
Tanımlanan faktörler arasında şunlar yer almaktadır: siber risk inançları — Kullanıcıların çevrimiçi eylemlerin riskleri hakkında akıllarında tuttuğu fikirler ve bilişsel işlem stratejileri — kullanıcıların bilişsel olarak bilgiyi nasıl ele aldıkları, bu da kullanıcıların çevrimiçi olduklarında bilgiye ne kadar odaklandıklarını belirler. Diğer bir dizi faktör ise medya alışkanlıkları ve ritüelleri kısmen cihaz türlerinden, kısmen de organizasyonel normlardan etkilenir. İnançlar, işlem tarzları ve alışkanlıklar birlikte bir çevrimiçi iletişim parçasının (e-posta, mesaj, web sayfası, metin) tetikleyici olup olmayacağını etkiler. şüphe.
Kullanıcı Şüphelerini Eğitin, Ölçün ve Takip Edin
Şüphe, bir şeyle karşılaştığımızda duyulan tedirginlik, bir şeylerin yolunda gitmediği hissidir. Neredeyse her zaman bilgi aramaya yol açar ve eğer kişi doğru türde bilgi veya deneyimle donanmışsa, aldatmaya, tespit etmeye ve düzeltmeye yol açar. Şüpheyi, kimlik avı güvenlik açığına yol açan bilişsel ve davranışsal faktörlerle birlikte ölçerek, kuruluşlar, kullanıcıları neyin savunmasız bıraktığını teşhis edebilir. Bu bilgi ölçülebilir ve en fazla risk altında olanları belirlemek için kullanılabilecek bir risk endeksine dönüştürülebilir. en zayıf halkalar — ve onları daha iyi koruyun.
Bu faktörleri yakalayarak, kullanıcıların çeşitli saldırılarla nasıl ortak seçildiğini takip edebilir, neden aldatıldıklarını anlayabiliriz. ve bunu hafifletecek çözümler geliştirmek. Son kullanıcıların yaşadığı soruna yönelik çözümler üretebiliriz. Güvenlik zorunluluklarını ortadan kaldırabilir ve bunları kullanıcılara uygun çözümlerle değiştirebiliriz.
Güvenlik teknolojisini kullanıcıların önüne koymak için milyarlarca dolar harcadıktan sonra, siber saldırılara karşı aynı derecede savunmasız kalıyoruz. 1990'larda AOL ağında ortaya çıktı. Artık bunu değiştirmemizin ve güvenliği kullanıcılar etrafında oluşturmamızın zamanı geldi.
