Şimdi isterseniz, dış kuruluşlarla kıyaslama yaparken seviyelendirmenin neden önemli olduğuna bir göz atalım.
Önceki yazımızda belirtildiği gibi, kıyaslama konusu, uygulama bakımından çoğu zaman kolaydır. Çünkü, sonuçların geçerliliğini etkileyen çok sayıda değişken vardır. Bu değişkenlerden, hedef kitlenin demografisi veya oltalama enaryosu değişkenleri gibi çoğunun tanımlanması kolaydır.
Bununla birlikte, oltalanma zorluğunu tanımlamak, kullanılan simülasyon araçlarına ve senaryoların inandırıcılık derecelerine görece daha zordur.
Oltalama simülasyonlarını bir farkındalık aracı olarak kullanan birçok kurum vardır, bankacılık/finans gibi dikeylerdeki ve benzer sektör kurumları kolayca sayabiliriz. Bunu, boyut ve hatta çalışan (hedef kitle) olgunluğuna göre de daraltabiliriz. Ancak tipik olarak, gerçek simülasyon verilerindeki özellikler ve benzerliklerin karşılaştırılması zordur. SANS seviyelendirme modeli, karşılaştırma verilerinin mümkün olduğunca uygulanabilir olmasını sağlayarak daha iyi simülasyonlar yapabilmenizi sağlar.
Örneğin bir kuruluş, genel güvenlik duruşunun benzerleri arasında bir jüri tarafından değerlendirilmesini istiyorsa, seçilen seviyeye uygun değerlendirmeler yapılacak şekilde geçmiş simülasyon sonuçlarına bakılabilir. Her sektör kuruluşu belirli bir katmandaki ölçümleri paylaştığında, ölçümler tüm seviyelerdeki veya tüm zorluk düzeylerindeki ölçümlerden çok daha etkili şekilde karşılaştırılabilir.
İdeal durum, aynı özelliklerdeki simülasyonu temsil edilen bir seviyelendirme seçilerek, benzer sektörler ve benzer siber güvenlik programlarının uygulandığı koşullarda sağlanabilir. Eğer, hedef kitle demografisi de karşılaştırılabilirse, İstenmeyen Eylem Oranı (İng. UAR – Undesired Action Rate), oltalama şüphesine dair bildirim yapan çalışanların oranıyla birlikte, güvenilir bir karşılaştırma ölçütü sağlayacaktır.
Bu gibi karşılaştırmalar için dış kuruluşlar arasındaki iletişim ve iş birliği çok önemlidir, bu da bilgi güvenliği farkındalık programından sorumlu kişinin ve operasyonel ekiplerin tipik iş yüklerine bağlı olarak zor olabilir. Stratejik önceliklerin yanı sıra, simülasyonun uygulama süresi ve kaynaklar da ortak şekilde belirlendiğinde, seviyelendirme dikkate alınarak elde edilen geçmişteki sonuçların analitik değerlendirmeleri ve karşılaştırmaları ekipler için güvenilir olabilir. Bu durumda, ekipler, kaynakları azaltarak ve etkiyi planlayarak, simülasyonları benzer bir seviyedeki kriterler için hazırlamayı tercih edebilir.