La majoria de debats sobre seguretat presenten els empleats com un passiu. Posteriorment, la formació impartida reforça aquesta idea, amb llargues presentacions anuals i conseqüències alarmants descrites per qualsevol error que puguin cometre els empleats. Aquest enfocament inculca por, desinterès i gairebé cap canvi de comportament. Tanmateix, hi ha un enfocament alternatiu disponible, només cal invertir la premissa.
Per què l'entrenament basat en la por no funciona
D'acord amb el Informe d'investigació de violacions de dades de VerizonEl 74% de totes les filtracions de dades impliquen l'element humà. Ja sigui un atac d'enginyeria social reeixit, un error o un mal ús. Les persones que comparteixen aquestes estadístiques sovint les utilitzen per indicar que els empleats són una debilitat, però l'estadística realment mostra que el comportament humà és l'objectiu d'un atac, i el comportament humà també és on es pot aturar.
La formació basada en la por veu aquesta estadística com un judici. La formació basada en la consciència la veu com una oportunitat. Quan la teva gent s'adona que són la primera línia de detecció, no un punt feble, canvien la seva mentalitat. S'adonen de coses que no havien notat mai abans. Parlen clar, en lloc d'esperar en silenci que s'equivoquen.
El control tècnic importa menys que aquest psicològic.
Superant la casella de selecció anual
Abordeu la formació en seguretat dels empleats des d'una mentalitat de compliment normatiu, i aquest és el cicle en què us tanqueu. Es programa una sessió, el vostre equip es presenta (amb sort), mireu un vídeo o una presentació, es marca una casella a la vostra auditoria de seguretat i res canvia fins a la mateixa data l'any que ve, quan ho torneu a fer tot de nou. En aquest punt, gairebé tota aquesta informació i context ja fa temps que han sortit de la memòria a curt termini del vostre equip. Renteu, esbandiu i repetiu.
Això no és un fracàs d'equip, és estructural. La deterioració de la memòria humana no funciona en un cicle de 12 mesos (seria genial si ho fes), molta d'aquesta valuosa informació de formació ja no existeix al cap d'un equip quan més la necessita: la propera vegada que alguna cosa maliciosa tingui com a objectiu la vostra organització.
S'ha demostrat que els cicles de formació automatitzats superen els tallers manuals anuals per una sola raó: tenint en compte la seguretat durant tot l'any, no només durant el seminari. Formació de conscienciació sobre seguretat La implementació d'una plataforma automatitzada permet arribar a tothom, fer un seguiment del progrés i adaptar-se en funció del comportament real; de manera que un equip que practica una bona seguretat treballant des de casa durant un març estressant té moltes menys probabilitats de cometre errors al desembre.
El model d'aprenentatge just-in-time
La formació en conscienciació sobre seguretat dels empleats és més efectiva quan es proporciona en el moment òptim. Per exemple, quan un empleat fa clic en un enllaç de simulació de phishing, la resposta no hauria de ser simplement denunciar-lo i acabar. En canvi, aquesta és l'ocasió perfecta per proporcionar-los immediatament un mòdul d'aprenentatge breu i específic.
Aquest enfocament, també conegut com a aprenentatge just-in-time, registra millors taxes de retenció que la formació preprogramada. La lliçó està directament relacionada amb el que va passar. L'empleat no se sent penalitzat, sinó que aprèn què ha d'evitar just en el moment adequat, quan més es necessita aquesta informació.
Construint una cultura de denúncia sense culpa
És inevitable que fins i tot els empleats més ben formats cometin errors de tant en tant. La diferència entre un incident menor i una violació de seguretat en tota regla sovint és la rapidesa amb què es denuncia l'error. Si els empleats temen represàlies, callaran. La violació s'agreujarà. I quan algú finalment se n'adoni, la recuperació serà molt més costosa.
És per això que un procés de denúncia ben definit i no punitiu és una de les coses més importants que una organització pot implementar. Mostra als empleats que trobar i denunciar un error immediatament és la resposta correcta, no quelcom que s'hagi d'encobrir. També crea alarmes que el vostre personal de seguretat pot utilitzar abans que una bretxa es descontroli.
I això parla absolutament del risc d'amenaça interna d'una manera de la qual no parlem prou sovint. La majoria dels incidents interns no són maliciosos. Són errors: algú instal·la programari no autoritzat, és enganyat per un atac pretextualitzat, configura malament un servidor al núvol. Una cultura de seguretat en la denúncia detecta aquests abans que s'escalin. Una cultura de culpa els permet amagar-se.
Fer que la seguretat es vegi com una habilitat professional
De vegades, la gamificació es considera una cosa trivial, però en realitat funciona perquè canvia el context: aquesta formació no és quelcom que es dóna als empleats, sinó quelcom en què poden ser bons. Les taules de classificació, el reconeixement i les insígnies de finalització desencadenen la mateixa motivació competitiva i d'assoliment que fa que les persones busquin certificacions professionals.
Quan els empleats comencen a marcar el seu progrés en la consciència de seguretat o a notar un bon rendiment del seu equip en una simulació de phishing, la seguretat ja no és un problema d'un friqui informàtic, sinó la identitat d'un professional. I aquí és on es forma la veritable cultura de ciberseguretat, no a partir de pòsters, estoretes de ratolí o peluixos, ni d'adhesius d'advertència al manual de l'empleat.
L'adopció de l'MFA, la reducció de les tecnologies de la informació a l'ombra i fins i tot els aspectes culturals de la seguretat física, com ara un repte adequat per a la "tailgating" o el "piggybacking", milloren quan els empleats accepten la idea que aquests són factors clau per a la manera com opera un bon professional. No esteu pressionant pel compliment normatiu; esteu pressionant per la competència.
Les organitzacions que millor responen als incidents no són les que tenen la tecnologia de seguretat més increïble i digna d'un X-Prize. Són les organitzacions els empleats de les quals estan motivats per ser professionalment competents i, quan veuen alguna cosa estranya, busquen ajuda immediatament.