Većina sigurnosnih diskusija prikazuje zaposlenike kao teret. Nakon toga, obuka koja se pruža pojačava ovu ideju - s dugim godišnjim prezentacijama i alarmantnim posljedicama navedenim za bilo kakve greške koje zaposlenici mogu napraviti. Ovakav pristup usađuje strah, nezainteresovanost i gotovo nikakvu promjenu ponašanja. Međutim, dostupan je alternativni pristup, samo je potrebno obrnuti koncept.
Zašto trening zasnovan na strahu ne uspijeva
Prema Izvještaj o istrazi kršenja podataka Verizon74% svih povreda podataka uključuje ljudski element. Bilo da se radi o uspješnom napadu socijalnim inženjeringom, grešci ili zloupotrebi. Ljudi koji dijele ove statistike često ih koriste kako bi ukazali na to da su zaposleni slabost, međutim, statistika zapravo pokazuje da je ljudsko ponašanje meta napada - i da je ljudsko ponašanje također mjesto gdje ga možete zaustaviti.
Trening zasnovan na strahu vidi tu statistiku kao sud. Trening zasnovan na svijesti to vidi kao priliku. Kada vaši ljudi shvate da su prva linija detekcije – a ne slaba karika – oni mijenjaju svoj način razmišljanja. Primjećuju stvari koje nikada prije nisu primijetili. Progovaraju, umjesto da se tiho nadaju da nisu u pravu.
Tehnička kontrola je manje bitna od ove psihološke.
Prelazak preko godišnjeg polja za potvrdu
Pristupite obuci za sigurnost zaposlenika s naglaskom na usklađenost na prvom mjestu i to je ciklus u koji se zatvarate. Zakaže se sesija, vaš tim se pojavi (nadamo se), pogleda video ili prezentaciju, označi se kućica na vašoj sigurnosnoj reviziji i ništa se ne mijenja do istog vremena sljedeće godine, kada sve ponovite. Do tog trenutka, gotovo sve te informacije i kontekst su odavno izašli iz kratkoročnog pamćenja vašeg tima. Operite, isperite i ponovite.
Ovo nije timski neuspjeh, već strukturni. Propadanje ljudskog pamćenja ne funkcioniše u ciklusu od 12 mjeseci (bilo bi prilično kul da funkcioniše), mnoge od tih vrijednih informacija o obuci više ne postoje u glavi tima kada im najviše zatrebaju - sljedeći put kada nešto zlonamjerno cilja vašu organizaciju.
Dokazano je da automatizirani ciklusi obuke nadmašuju njihove godišnje, ručne radionice iz tačno jednog razloga: time što sigurnost imaju na umu tokom cijele godine, a ne samo tokom seminara. Trening o svesti o sigurnosti Isporučeno putem automatizovane platforme omogućava vam da doprete do svih, pratite napredak i prilagođavate se na osnovu stvarnog ponašanja – tako da tim koji praktikuje dobru sigurnost radeći od kuće tokom stresnog marta ima mnogo manje šanse da napravi greške u decembru.
Model učenja "tačno na vrijeme"
Obuka o sigurnosnoj svijesti zaposlenika je najefikasnija kada se održi u optimalno vrijeme. Na primjer, kada zaposlenik klikne na link za simulaciju phishinga, reakcija ne bi trebala biti samo prijava i završetak s tim. Umjesto toga, to je savršena prilika da im se odmah pruži kratak, fokusiran modul učenja.
Ovaj pristup, poznat i kao učenje „just-in-time“, pokazuje bolje stope zadržavanja zaposlenih u odnosu na unaprijed zakazanu obuku. Lekcija je direktno povezana s onim što se dogodilo. Zaposlenik se ne osjeća kažnjeno, već umjesto toga uči šta treba izbjegavati upravo u pravom trenutku kada su mu te informacije najpotrebnije.
Izgradnja kulture izvještavanja bez okrivljavanja
Neizbježno je da čak i najobučavaniji zaposlenici s vremena na vrijeme prave greške. Razlika između manjeg incidenta i potpunog kršenja sigurnosti često je u tome koliko brzo se greška prijavi. Ako se zaposlenici boje odmazde, šutjet će. Kršenje sigurnosti će eskalirati. I dok neko konačno primijeti, oporavak će biti mnogo skuplji.
Zato je dobro definiran, nekažnjavajući proces prijavljivanja jedna od najvažnijih stvari koje organizacija može uspostaviti. On pokazuje zaposlenicima da je pronalaženje i prijavljivanje greške odmah ispravan odgovor – a ne nešto što se može prikriti. Također stvara alarme koje vaše sigurnosno osoblje može koristiti prije nego što povreda izmakne kontroli.
I ovo apsolutno govori o riziku od insajderskih prijetnji na način o kojem ne govorimo dovoljno često. Većina incidenata iznutra nije zlonamjerna. To su greške - neko instalira neovlašteni softver, bude prevaren napadom s izgovorom, pogrešno konfiguriše cloud server. Kultura sigurnosti u prijavljivanju hvata te prije nego što eskaliraju. Kultura okrivljavanja im omogućava da se sakriju.
Da sigurnost postane profesionalna vještina
Ponekad se gamifikacija smatra trivijalnom stvari, ali ona zapravo funkcionira jer mijenja kontekst: ova obuka nije nešto što se daje zaposlenima, već nešto u čemu mogu biti dobri. Ljestvice najboljih, priznanja i značke za završetak potiču istu takmičarsku i motivaciju za postignuće koja potiče ljude da teže profesionalnim certifikatima.
Kada zaposleni počnu bilježiti napredak u podizanju svijesti o sigurnosti ili primijete snažan učinak svog tima u simulaciji phishinga, sigurnost više nije problem nekog kompjuterskog štrebera, već identitet profesionalca. I tu se formira prava kultura sajber sigurnosti – ne s postera, podloga za miša ili plišanih igračaka, niti s naljepnica s upozorenjima u priručniku za zaposlenike.
Usvajanje višestrukih favorizovanih profesionalaca (MFA), smanjenje shadow IT-a, pa čak i aspekti fizičke sigurnosti poput odgovarajućeg izazova za praćenje ili dodavanje novih zaposlenika, poboljšavaju se kada zaposleni prihvate ideju da su to ključni faktori za rad dobrog profesionalca. Ne forsirate usklađenost; forsirate kompetentnost.
Organizacije koje najbolje reaguju na incidente nisu one koje imaju najnevjerovatniju, X-Prize sigurnosnu tehnologiju. To su organizacije čiji su zaposleni motivisani da budu profesionalno kompetentni i, kada vide nešto čudno, odmah traže podršku.