Siber güvenlik eğitimi çalışanlar tarafından genellikle sıkıcı, karmaşık ve zor olarak görülür. Bununla birlikte oyunlaştırma tekniklerini kullanarak, çalışanlarınızın bu konuda gösterdikleri direncinin üstesinden gelebilirsiniz. Kaspersky Türkiye Pazarlama Müdürü Ünsal Yurdakonar’ın yazısı.
Genel olarak insanlar kurumsal eğitimden hoşlanmazlar. Örneğin, 1000’den fazla çalışanı olan şirketlerde çalışanların yüzde 42’si, katıldıkları eğitim programlarının çoğunun yararsız ve ilgi çekici olmadığını söylüyor. Bu algı, güvenlik bilinci eğitimi söz konusu olduğunda genellikle doğruyu işaret ediyor.
Müşterilerimizden sık sık geleneksel, sıkıcı güvenlik temalı eğitimlerden bıktıkları yönünde geri dönüşler duyuyoruz. Bunun yerine eğlenceli, tamamen oyuna dayalı kursların kullanımını araştırıyorlar. Ancak buna karşıt bir düşünce silsilesi de var: Bazı müşteriler kurumsal eğitimde herhangi bir oyun tekniğinin uygulanması konusunda kendilerini rahat hissetmiyor. Hala oyunların sadece gençler ve çocuklar için olduğuna, yetişkinlere ve özellikle de işletme yöneticilerine öğrenme sürecinde oyun önermenin saçma olduğuna inanıyorlar.
Aslında oyunlar, yani bir kişinin hayali bir dünyada veya başka bir karaktere bürünerek hareket ettiği formatlar ve oyunlaştırma süreci, yani bunlara bazı oyun öğelerinin eklenmesi harika öğrenme teknikleridir. Diğer yöntemler gibi, belirli amaçlar ve sınırlamalar dahilinde hayata geçirildiklerinde en iyi sonucu verirler.
Neden Güvenlik Bilinci Oyununu Oynamıyoruz?
Her şeyden önce şunu kabul etmek lazım ki temel siber güvenlik kurallarının kapsamı oldukça geniş. Örneğin Kaspersky Security Awareness Platform güvenlik bilinci eğitimimizin içeriği, John Galsworthy tarafından yazılan Forsyte Saga’dan neredeyse üç kat daha geniş. Bunu simülasyon tabanlı eğitime çevirirseniz, kursun insanların en güvenli kararları alana kadar her seçeneği ‘kontrol etmelerine’ olanak tanıyan tüm olası durumları içermesi gerekir. Dolayısıyla böyle bir eğitim modülünü bitirmenin ne kadar süreceğine dair ancak tahminde bulunabiliriz.
Dikkate alınması gereken tek faktör zaman değil. Oyunlaştırmada kişi yapay bir ortama “dalmış” olduğundan, oyun teknikleri konsantrasyon ve katılım gerektirir. Araştırmalar, insan vücudunun oyunlardaki strese gerçek hayattaki sorunlu durumlarda olduğuna benzer şekilde tepki verdiğini gösteriyor. Bu yüzden insanlar video oyunları oynadıktan sonra yorgun hissedebiliyorlar. Siber güvenlik temellerine dayalı bir oyunda, oyuncu sürekli olarak ikilemlerle karşı karşıya kalır. Verdiği kararlar sanal parasını veya kariyerini etkileyebilir. Bu nedenle birkaç saatlik bu tür bir eğitimden sonra çalışanlar basitçe görevlerine geri dönemeyecekler, dinlenmek ve iyileşmek için zamana ihtiyaçları olacak.
Önce İlham Verin
Bu, oyun tekniklerinin uygulanmasının ve öğrenilmesinin çok zor olduğu anlamına mı geliyor? Bu soruyu cevaplamak için, öncelikle bir güvenlik bilinci kursunun nihai amacının ne olduğunu anlamalıyız.
Bu tür bir eğitim yalnızca personeli siber güvenlik kurallarını incelemeye teşvik etmekle kalmaz, aynı zamanda çalışanların yeni beceriler kazanmasını ve bunları gerçekten uygulamalarını sağlar. Şirket içinde kurgulanan yönergeler çalışanlara her zaman en uygun seçenekler gibi gelmeyebilir. Örneğin güvenli, şirkete özgü bir dosya paylaşım hizmeti kullanmak yerine, gizli bir belgeyi kedilerinin fotoğraflarını depolamak için kullandığı aynı bulut depolama alanı aracılığıyla paylaşmak çok daha kolaylarına gelebilir. Bu nedenle, bu tür davranış kalıplarını değiştirmek için yalnızca talimatlar vermek ve pratik beceriler geliştirmek değil, aynı zamanda motivasyon ve eğilim üzerinde de çalışmak gerekir.
Bu bakımdan oyunlar, çalışanları cesaretlendirmek için etkili bir seçenek olarak ortaya çıkıyor. Bir kişinin neden belirli bir şekilde davranması gerektiğini anlamanın en iyi yolu, kendi hatalarından ders almasını sağlamaktır. Siber güvenlik söz konusu olduğunda bir şirket, bir siber saldırının sonuçlarının ne kadar ciddi olabileceğini görmek için her çalışanın yanlış bir şey yapmasına izin veremez. Bir belgenin kötü niyetli kişilere sızdırılmasını beklemek gibi. Ancak onlara durumu “yaşayabilecekleri” ve şirkete herhangi bir zarar vermeden sanki gerçekte oluyormuş gibi deneyimleyebilecekleri bir oyun sunabilirler.
Önyargıları Ortadan Kaldırmak
Oyun teknikleri öğrenmeye karşı ilk direncin üstesinden gelmeye yardımcı olur. Siber güvenlik eğitimi genellikle sıkıcı, karmaşık ve zor olarak görülür. Ancak çalışanlar bir oyun simülasyonu ortamında tanıdık durumları işaret eden komik resimler gördüklerinde, siber güvenlik eğitiminin o kadar da korkunç bir şey olmadığını anlarlar.
Ek olarak, siber güvenlik becerilerine hâlihazırda hakim olduğunu düşünüp kursun zaman kaybı olduğundan emin olan bazı çalışanlar olacaktır. Bir kişinin üzerinde bahis oynadığı kısa çizgi roman benzeri bir testle onları kolayca ikna edebilirsiniz. Genellikle çalışanlar bu kısa değerlendirmelere katılma konusunda daha heveslidir. Oyunlaştırma insanları testi geçmeye ve sonuçlarını öğrenmeye daha meraklı hale getirir. İnsanlar bilgilerinde bazı boşluklar olduğunu gördüklerinde, güvenlik bilinci kursu almaya daha istekli olurlar.
Dahası, deneyimlerimiz eğitimden sorumlu yöneticilerin şüphelerine rağmen işletme yöneticilerinin de oyun formatlarına dahil olmaya hevesli olduğunu gösteriyor. Örneğin, C seviyesi yöneticilere bilgi güvenliği yöneticilerinin yerine geçmeye çalıştıkları Kaspersky Interactive Protection Simulation adlı özel bir oyun sunuyoruz. Sonuç olarak, kar kayıpları gibi kritik alanlar da dahil olmak üzere siber güvenliğin işletmeyi nasıl etkileyebileceğini görüyorlar.
Çalışanlar önyargılarının üstesinden gelirse, teorik kurs hazırlanmış bir zemine oturtulur ve öğrenme daha verimli hale gelir. Elbette başlangıçtaki motivasyon zamanla azalır, bu yüzden sadece bir oyuna başlamak yeterli değildir. Çalışanlar eğitim sürecinden geçerken müfredata takviye olarak oyun öğeleri veya simülasyonları eklemenizi öneririz.
Siber güvenliğin temellerine ilişkin başarılı bir eğitim, farklı formatlardan oluşmalıdır. Oyun teknikleri sihirli bir değnek değildir ve kurumsal eğitimle ilgili tüm sorunları tek başına çözmeyecektir. İstenilen sonuçları elde etmek için, tüm öğrenme döngüsüne uygun şekilde yerleştirilmeli ve bilgi temelli bir kursla etkili bir şekilde birleştirilmelidir. Bir oyun, her şeyi biraz daha iyi hale getiren herhangi bir eğitim menüsünün tatlısı gibi davranmalıdır. Tek başına ana yemek olamaz.