У большасці дыскусій па пытаннях бяспекі супрацоўнікаў паказваюць як цяжар. Пасля гэтага навучанне падмацоўвае гэтую ідэю — з працяглымі штогадовымі прэзентацыямі і трывожнымі наступствамі, якія вызначаюць за любыя памылкі, якія могуць зрабіць супрацоўнікі. Такі падыход выклікае страх, абыякавасць і амаль не змяняе паводзіны. Аднак існуе альтэрнатыўны падыход, проста трэба змяніць перадумову.
Чаму трэніроўкі, заснаваныя на страху, не прыносяць вынікаў
У адпаведнасці з Справаздача аб расследаванні ўцечкі дадзеных Verizon74% усіх уцечак дадзеных звязаны з чалавечым фактарам. Няхай гэта будзе паспяховая атака з выкарыстаннем сацыяльнай інжынерыі, памылка ці няправільнае выкарыстанне. Людзі, якія дзеляцца гэтай статыстыкай, часта выкарыстоўваюць яе, каб паказаць, што супрацоўнікі з'яўляюцца слабасцю, аднак статыстыка насамрэч паказвае, што чалавечыя паводзіны з'яўляюцца мэтай атакі, і менавіта чалавечыя паводзіны — гэта тое, чым можна яе спыніць.
Навучанне, заснаванае на страху, успрымае гэтую статыстыку як меркаванне. Навучанне, заснаванае на ўсведамленні, бачыць у ёй магчымасць. Калі вашы людзі разумеюць, што яны з'яўляюцца першай лініяй выяўлення, а не слабым звяном, яны мяняюць свой светапогляд. Яны заўважаюць рэчы, якіх раней ніколі не заўважалі. Яны выказваюцца, замест таго, каб моўчкі спадзявацца, што яны памыляюцца.
Тэхнічны кантроль менш важны, чым псіхалагічны.
Пераход ад штогадовага сцяжка
Падыходзьце да навучання супрацоўнікаў па бяспецы з пункту гледжання адпаведнасці патрабаванням, і гэта будзе цыкл, у які вы зачыняецеся. Запланаваны занятак, ваша каманда з'яўляецца (спадзяюся), глядзіць відэа ці прэзентацыю, ставіцца галачка ў полі вашага аўдыту бяспекі, і нічога не змяняецца да таго ж часу ў наступным годзе, калі вы паўтараеце ўсё спачатку. Да таго часу амаль уся гэтая інфармацыя і кантэкст даўно выйшлі з кароткатэрміновай памяці вашай каманды. Памыйце, прапалашчыце і паўтарыце.
Гэта не камандны правал, а структурны. Зніжэнне чалавечай памяці не адбываецца кожныя 12 месяцаў (было б вельмі крута, калі б гэта было так). Большая частка гэтай каштоўнай інфармацыі для навучання больш не існуе ў галаве каманды да таго часу, калі яна ёй найбольш патрэбна — у наступны раз, калі нешта шкоднаснае будзе накіравана на вашу арганізацыю.
Аўтаматызаваныя цыклы навучання даказалі сваю эфектыўнасць у параўнанні з штогадовымі семінарамі, якія праводзяцца ўручную, па адной прычыне: яны клапоцяцца пра бяспеку на працягу ўсяго года, а не толькі падчас семінара. Трэнінг па бяспецы Дзякуючы аўтаматызаванай платформе вы можаце звязацца з усімі, адсочваць прагрэс і адаптавацца да рэальных паводзін, таму каманда, якая добра кіруе бяспекай, працуючы з дому падчас напружанага сакавіка, значна радзей памыляецца ў снежні.
Мадэль навучання «дакладна ў тэрмін»
Навучанне супрацоўнікаў па пытаннях бяспекі найбольш эфектыўнае, калі яно праводзіцца ў аптымальны час. Напрыклад, калі супрацоўнік націскае на спасылку з сімуляцыяй фішынгу, рэакцыяй не павінна быць простае паведамленне пра яго і спыненне працэсу. Замест гэтага гэта ідэальная магчымасць адразу ж правесці кароткі, мэтанакіраваны навучальны модуль.
Гэты падыход, таксама вядомы як навучанне «дакладна ў тэрмін», паказвае лепшыя паказчыкі ўтрымання супрацоўнікаў, чым запланаванае навучанне. Урок непасрэдна звязаны з тым, што адбылося. Супрацоўнік не адчувае сябе пакараным, а замест гэтага даведваецца, чаго варта пазбягаць, менавіта ў патрэбны момант, калі гэтая інфармацыя найбольш патрэбная.
Фарміраванне культуры рэпартажаў без абвінавачванняў
Непазбежна, што нават самыя добра падрыхтаваныя супрацоўнікі будуць час ад часу рабіць памылкі. Розніца паміж нязначным інцыдэнтам і паўнавартасным парушэннем часта заключаецца ў тым, як хутка пра памылку паведамляецца. Калі супрацоўнікі баяцца помсты, яны будуць маўчаць. Парушэнне будзе абвастрацца. І да таго часу, як хтосьці нарэшце заўважыць гэта, аднаўленне будзе значна даражэйшым.
Вось чаму добра акрэслены працэс справаздачнасці без пакарання — адна з найважнейшых рэчаў, якія можа ўкараніць арганізацыя. Ён паказвае супрацоўнікам, што правільнае рашэнне — знайсці памылку і неадкладна паведаміць пра яе, а не тое, што трэба хаваць. Ён таксама стварае сігналы трывогі, якія вашы супрацоўнікі службы бяспекі могуць выкарыстоўваць, перш чым парушэнне выйдзе з-пад кантролю.
І гэта, безумоўна, сведчыць пра рызыку ўнутраных пагроз, пра якую мы недастаткова часта гаворым. Большасць унутраных інцыдэнтаў не з'яўляюцца зламыснымі. Гэта памылкі — усталёўка несанкцыянаванага праграмнага забеспячэння, падман з дапамогай падманнай атакі, няправільная канфігурацыя воблачнага сервера. Культура бяспекі ў паведамленнях выяўляе такіх людзей да таго, як яны пагоршаць сітуацыю. Культура абвінавачвання дазваляе ім хавацца.
Зрабіць так, каб бяспека ўспрымалася як прафесійны навык
Часам гейміфікацыя лічыцца дробяззю, але яна сапраўды працуе, бо змяняе кантэкст: гэта навучанне не тое, што даюць супрацоўнікам, а тое, у чым яны могуць быць добрымі. Табліцы лідэраў, прызнанне і значкі завяршэння выклікаюць тую ж матывацыю да спаборніцтваў і дасягненняў, якая прымушае людзей імкнуцца да прафесійных сертыфікатаў.
Калі супрацоўнікі пачынаюць адзначаць свой прагрэс у павышэнні дасведчанасці аб бяспецы або заўважаюць высокія паказчыкі сваёй каманды ў фішынгавай сімуляцыі, бяспека — гэта ўжо не праблема нейкага камп'ютэрнага зануды, а ідэнтычнасць прафесіянала. І менавіта тут фарміруецца сапраўдная культура кібербяспекі — не з плакатаў, кілімкоў для мышы ці мяккіх цацак, і не з папераджальных налепак у кіраўніцтве супрацоўніка.
Укараненне шматфактарных аўдыторый, скарачэнне ценявых ІТ-сістэм і нават культурныя аспекты фізічнай бяспекі, такія як належная праверка на некантраляванае выкарыстанне рэсурсаў або дадатковых паслуг, паляпшаюцца, калі супрацоўнікі разумеюць, што гэта асноўныя стаўкі для таго, як працуе добры спецыяліст. Вы не імкнецеся да адпаведнасці патрабаванням, вы імкнецеся да кампетэнтнасці.
Найлепш рэагуюць на інцыдэнты не тыя арганізацыі, якія маюць самыя неверагодныя тэхналогіі бяспекі, годныя прэміі X-Prize. Гэта арганізацыі, супрацоўнікі якіх матываваныя быць прафесійна кампетэнтнымі і, калі бачаць нешта дзіўнае, неадкладна звяртаюцца па дапамогу.