Brigham Young ve Pittsburgh üniversitelerinde yapılan çalışmalarda güvenlik uyarılarının %87’e varan oranlarda önemsenmeyebileceği sonucuna varılmış.

Çalışmalar bu kadar yüksek önemsememe oranını insan beyninin “multi tasking” –e çok da uygun olmamasıyla açıklamaktadır. Yapılan deneyler bir işe konsantre olmuş bireyin araya giren farklı iş ve uyarılara yeterince önem vermediğini ve araya giren işi biran önce tamamlayarak veya tamamlamayarak yürütmekte olduğu asıl işine geri dönmek istediğini gösteriyor. Güvenlik uyarılarının büyük bir kısmı ile ise web tarayıcısının veya farklı uygulamaların belirli bir görevi tamamlamak için kullanılması sırasında karşılaşılmaktadır.

Anatomik olarak bakıldığında düşük “multi tasking” kapasitesinin nedeninin “medial temporal lobe” olduğu görülüyor. Medial Temporal Lobe , güvenlik eğitimlerinin de dahil olduğu 15-30 saniyeden daha uzun süre saklanması gereken verilerin saklandığı alandır. Aslında Medial Temporal Lobe’u Veri yolu olan bir Bellek gibi düşünebiliriz (Memory & Bus gibi).  Veri yolu bir işlem için kullanıldığı zaman farklı bir işlem için de kullanılmak istenirse verimlilik düşerek stres artar ve birey işlemlerden sadece birini ve tabii ki daha çok önem verdiğini yürütme isteği sergiler.

Söz konusu veri yolunun multi tasking’e uygunluğu DTI(dual task interference) terimi ile tanımlanmaktadır. Yüksek DTI beynin multi tasking için kaynak ayıramaması ve dolayısıyla Güvenlik uyarılarını da gözardı etmesi anlamına gelmektedir.

Yapılan bir deney farklı DTI seviyelerinde beynin Güvenlik uyarılarına nasıl tepki verdiğini göstermektedir:

  • Düşük-DTI: Sayfa yüklenmesi beklenmektedir – 11% önemsememe
  • Düşük-DTI: Video izlendikten sonra – 75% önemsememe
  • Düşük-DTI: İki iş arasında geçiş – 32% önemsememe
  • Yüksek-DTI: Yazı yazarken – 89% önemsememe
  • Yüksek-DTI: Video izlerken – 38% önemsememe
  • Yüksek-DTI: Veri aktarımı yaparken – 23% önemsememe

Kurumların Bilgi Güvenliği uzmanlarının iki seçeneği var gibi görünüyor:

  • Pazarlamacılar tarafından gerçekleştiren çalışmaların benzerlerinin yürütülerek bireylerin davranış analizinin yapılması,hangi mesajın hangi zamanda ve nasıl verilmesi gerektiğinin detaylı incelenmesi ve sonuçlara göre aksiyon alınması.
  • Güvenlik uyarılarının Quiz,Oyun gibi uygulamalı,interaktif ve motive edici eğitim yöntemleriyle desteklenerek bireylerin ilgili eğitimleri planlayarak,zaman ayırarak ve dolayısıyla da önemseyerek ve odaklanmış bir şekilde almalarının sağlanması.

İkinci seçenek çok daha kolay ve uygulanabilir görünüyor..

Kaynak: Naked Security Sophos