Повечето дискусии за сигурност изобразяват служителите като пасив. Впоследствие, предоставяното обучение подсилва тази идея – с дълги годишни презентации и тревожни последствия, очертани за всякакви грешки, които служителите биха могли да допуснат. Този подход внушава страх, липса на интерес и почти никаква промяна в поведението. Съществува обаче алтернативен подход, просто предпоставката трябва да се обърне.
Защо обучението, основано на страх, не е ефикасно
Според Доклад за разследвания на нарушения на данните на Verizon74% от всички пробиви на данни включват човешкия елемент. Независимо дали става въпрос за успешна атака чрез социално инженерство, грешка или злоупотреба. Хората, които споделят тази статистика, често я използват, за да посочат, че служителите са слабост, но статистиката всъщност показва, че човешкото поведение е целта на атаката – и човешкото поведение е и мястото, където можете да я спрете.
Обучението, основано на страх, разглежда тази статистика като преценка. Обучението, основано на осъзнаване, я разглежда като възможност. Когато вашите хора осъзнаят, че са първата линия на разпознаване – а не слабо звено – те променят начина си на мислене. Забелязват неща, които никога преди не са забелязвали. Те говорят, вместо мълчаливо да се надяват, че грешат.
Техническият контрол е по-малко важен от този психологически.
Преминаване отвъд годишното квадратче за отметка
Подходете към обучението по сигурност на служителите от гледна точка на съответствието на първо място и това е цикълът, в който се заключвате. Насрочена е сесия, вашият екип се появява (надяваме се), гледа видео или презентация, отметнато е квадратче от вашия одит за сигурност и нищо не се променя до същото време следващата година, когато правите всичко отново. До този момент почти цялата тази информация и контекст отдавна са изчезнали от краткосрочната памет на вашия екип. Измийте, изплакнете и повторете.
Това не е екипен провал, а структурен. Разпадането на човешката памет не се извършва на 12-месечен цикъл (би било доста готино, ако беше така) и голяма част от тази ценна информация за обучение вече не съществува в главата на екипа, когато той най-много се нуждае от нея – следващия път, когато нещо злонамерено е насочено към вашата организация.
Доказано е, че автоматизираните цикли на обучение превъзхождат годишните, ръчно провеждани семинари точно по една причина: като мислят за сигурността през цялата година, а не само по време на семинара. Обучение за осведоменост по сигурността Доставяната чрез автоматизирана платформа информация ви позволява да достигнете до всички, да проследявате напредъка и да се адаптирате въз основа на реалното поведение – така че екип, който прилага добра сигурност, работейки от вкъщи по време на стресиращ март, е много по-малко вероятно да допусне грешки през декември.
Моделът на обучение „точно навреме“
Обучението за повишаване на осведомеността на служителите за сигурност е най-ефективно, когато се провежда в оптималното време. Например, когато служител кликне върху линк за симулация на фишинг, реакцията не трябва да бъде просто да го докладвате и да приключите с това. Вместо това, това е идеалният повод да им предоставите веднага кратък, целенасочен обучителен модул.
Този подход, известен още като обучение „точно навреме“, отчита по-добри нива на задържане на служителите в сравнение с предварително планираното обучение. Урокът е пряко свързан с това, което се е случило. Служителят не се чувства наказан, а вместо това научава какво да избягва точно в точния момент, когато тази информация е най-необходима.
Изграждане на култура на безобидно докладване
Неизбежно е дори най-добре обучените служители да правят грешки от време на време. Разликата между дребен инцидент и пълномащабно нарушение често е колко бързо се докладва грешката. Ако служителите се страхуват от отмъщение, те ще мълчат. Нарушението ще ескалира. И докато някой най-накрая забележи, възстановяването ще бъде много по-скъпо.
Ето защо добре дефиниран, ненаказателен процес за докладване е едно от най-важните неща, които една организация може да въведе. Той показва на служителите, че откриването и докладването на грешка веднага е правилният отговор – а не нещо, което трябва да се прикрива. Освен това създава аларми, които вашият персонал по сигурността може да използва, преди нарушението да излезе извън контрол.
И това определено говори за риска от вътрешна заплаха по начин, за който не говорим достатъчно често. Повечето вътрешни инциденти не са злонамерени. Те са грешки – някой инсталира неоторизиран софтуер, бива измамен от атака с претекст, неправилно конфигурира облачен сървър. Културата на безопасност при докладването улавя тези инциденти, преди да ескалират. Културата на обвиненията им позволява да се скрият.
Да накараме сигурността да се усеща като професионално умение
Понякога геймификацията се смята за тривиално нещо, но всъщност работи, защото променя контекста: това обучение не е нещо, което се дава на служителите, а нещо, в което те могат да бъдат добри. Класациите, признанието и значките за завършване задействат същата състезателна и постижима мотивация, която кара хората да се стремят към професионални сертификати.
Когато служителите започнат да отбелязват напредъка си в осведомеността за сигурността или забележат силно представяне на екипа си във фишинг симулация, сигурността вече не е проблем на някой компютърен маниак, а е идентичност на професионалиста. И точно там се формира истинската култура на киберсигурност – не от плакати, подложки за мишка или пухкави играчки, нито от предупредителни стикери в наръчника за служители.
Въвеждането на многофакторни агенти (MFA), намаляването на скритите ИТ и дори аспектите на културата на физическата сигурност, като например подходящо предизвикателство за „tailgating“ или „piggybacking“, се подобряват, когато служителите приемат идеята, че това са ключови фактори за това как работи един добър професионалист. Вие не настоявате за съответствие; вие настоявате за компетентност.
Организациите, които реагират най-добре на инциденти, не са тези, които разполагат с най-невероятната, достойна за X-Prize технология за сигурност. Това са организациите, чиито служители са мотивирани да бъдат професионално компетентни и когато видят нещо странно, незабавно търсят помощ.