Die meeste sekuriteitsbesprekings beskryf werknemers as 'n las. Gevolglik versterk die opleiding wat verskaf word hierdie idee – met lang jaarlikse aanbiedings en kommerwekkende gevolge wat uiteengesit word vir enige foute wat werknemers mag maak. Hierdie benadering boesem vrees, ongeïnteresseerdheid en skaars enige gedragsverandering in. 'n Alternatiewe benadering is egter beskikbaar, die uitgangspunt moet net omgekeer word.
Waarom vreesgebaseerde opleiding nie werk nie
Volgens die Verizon Databreuk Ondersoekverslag, 74% van alle data-oortredings behels die menslike element. Of dit nou 'n suksesvolle sosiale ingenieurswese-aanval, 'n fout of misbruik is. Mense wat hierdie statistieke deel, gebruik dit dikwels om aan te dui dat werknemers 'n swakpunt is, maar die statistiek wys werklik dat menslike gedrag die teiken van 'n aanval is – en menslike gedrag is ook waar jy dit kan stop.
Vreesgebaseerde opleiding sien daardie statistiek as 'n oordeel. Bewustheidsgebaseerde opleiding sien dit as 'n geleentheid. Wanneer jou mense besef dat hulle die eerste linie van opsporing is – nie 'n swak skakel nie – verander hulle hul denkwyse. Hulle sien dinge raak wat hulle nog nooit tevore opgemerk het nie. Hulle praat, eerder as om stilweg te hoop dat hulle verkeerd is.
Tegniese beheer maak minder saak as hierdie sielkundige een.
Verby die jaarlikse blokkie beweeg
Benader werknemersekuriteitsopleiding vanuit 'n voldoenings-eerste ingesteldheid, en dit is die siklus waarin jy jouself vasvang. 'n Sessie word geskeduleer, jou span daag op (hopelik), kyk na 'n video of aanbieding, 'n blokkie word gemerk op jou sekuriteitsoudit, en niks verander tot dieselfde tyd volgende jaar nie, wanneer jy dit alles weer van voor af doen. Teen daardie tyd het byna al daardie inligting en konteks lankal jou span se korttermyngeheue verlaat. Was, spoel en herhaal.
Dit is nie 'n spanmislukking nie, dit is 'n strukturele een. Menslike geheueverval werk nie op 'n 12-maande siklus nie (dit sou nogal gaaf wees as dit wel gebeur). Baie van daardie waardevolle opleidingsinligting bestaan nie meer in 'n span se kop teen die tyd dat hulle dit die nodigste het nie – die volgende keer wat iets kwaadwilligs jou organisasie teiken.
Outomatiese opleidingsiklusse is bewys om hul jaarlikse, handmatige werkswinkels om presies een rede te oortref: deur sekuriteit dwarsdeur die hele jaar in gedagte te hou, nie net tydens die seminaar nie. Sekuriteitsbewustheidsopleiding Deur 'n outomatiese platform afgelewer te word, kan jy almal bereik, vordering dophou en aanpas op grond van werklike gedrag – so 'n span wat goeie sekuriteit toepas deur van die huis af te werk gedurende 'n stresvolle Maart, is baie minder geneig om foute in Desember te maak.
Die net-betyds leermodel
Opleiding vir werknemersekuriteitsbewustheid is die doeltreffendste wanneer dit op die optimale tyd aangebied word. Byvoorbeeld, wanneer 'n werknemer op 'n phishing-simulasieskakel klik, moet die reaksie nie wees om hulle net aan te meld en daarmee klaar te wees nie. In plaas daarvan is dit die perfekte geleentheid om hulle dadelik van 'n kort, gefokusde leermodule te voorsien.
Hierdie benadering, ook bekend as net-betyds-leer, rapporteer beter retensiekoerse as voorafgeskeduleerde opleiding. Die les hou direk verband met wat gebeur het. Die werknemer voel nie gepenaliseer nie, maar leer eerder wat om te vermy op die regte oomblik wanneer hierdie inligting die nodigste is.
Die bou van 'n kultuur van geen blaam-rapportering
Dit is onvermydelik dat selfs die mees goed opgeleide werknemers van tyd tot tyd foute sal maak. Die verskil tussen 'n geringe voorval en 'n volskaalse oortreding is dikwels hoe vinnig die fout aangemeld word. As werknemers vergelding vrees, sal hulle stilbly. Die oortreding sal eskaleer. En teen die tyd dat iemand dit uiteindelik agterkom, sal herstel baie duurder wees.
Daarom is 'n goed gedefinieerde, nie-strafbare rapporteringsproses een van die belangrikste dinge wat 'n organisasie in plek kan stel. Dit wys werknemers dat die vind en rapportering van 'n fout dadelik die korrekte reaksie is – nie iets wat toegesmeer moet word nie. Dit skep ook alarms wat jou sekuriteitspersoneel kan gebruik voordat 'n oortreding buite beheer raak.
En dit spreek absoluut tot die risiko van binnebedreiging op 'n manier waaroor ons nie gereeld genoeg praat nie. Die meeste binnebedreigings is nie kwaadwillig nie. Dit is foute – iemand wat ongemagtigde sagteware installeer, deur 'n voorwendselaanval gekul word, 'n wolkbediener verkeerd konfigureer. 'n Kultuur van veiligheid in rapportering vang diegene op voordat dit eskaleer. 'n Kultuur van blaam laat hulle wegkruip.
Om sekuriteit soos 'n professionele vaardigheid te laat voel
Soms word gamifikasie as 'n triviale ding beskou, maar dit werk eintlik omdat dit die konteks verander: hierdie opleiding is nie iets wat aan werknemers gegee word nie, dit is iets waarin hulle goed kan wees. Leierborde, erkenning en voltooiingskentekens veroorsaak dieselfde mededingende en prestasiemotivering wat mense kry om professionele sertifisering na te streef.
Wanneer werknemers hul vordering met sekuriteitsbewustheid begin merk of 'n sterk prestasie van hul span in 'n phishing-simulasie opmerk, is sekuriteit nie meer 'n rekenaarnerd se probleem nie, dit is 'n professionele persoon se identiteit. En dit is waar die ware kuberveiligheidskultuur gevorm word – nie van plakkate, muismatte of sagte speelgoed nie, en ook nie van waarskuwingsplakkers in die werknemershandboek nie.
Aanvaarding van MFA, vermindering van skadu-IT, en selfs fisiese sekuriteitskulturele aspekte soos behoorlike uitdaging vir tailgating of piggybacking, verbeter wanneer werknemers die idee aanvaar dat dit die belangrikste punte is vir hoe 'n goeie professionele persoon werk. Jy druk nie vir voldoening nie; jy druk vir bekwaamheid.
Die organisasies wat die beste op voorvalle reageer, is nie dié wat die ongelooflikste, X-prys-waardige sekuriteitstegnologie het nie. Hulle is die organisasies wie se werknemers gemotiveerd is om professioneel bekwaam te wees en, wanneer hulle iets vreemds sien, onmiddellik ondersteuning soek.