A maiò parte di e discussioni di sicurezza presentanu l'impiegati cum'è una responsabilità. In seguitu, a furmazione furnita rinforza sta idea - cù lunghe presentazioni annuali, è cunsequenze alarmanti descritte per qualsiasi errore chì l'impiegati puderanu fà. Questu approcciu instilla paura, disinteressu è quasi nisun cambiamentu di cumpurtamentu. Tuttavia, un approcciu alternativu hè dispunibule, a premessa deve solu esse invertita.
Perchè a furmazione basata nantu à a paura ùn funziona micca
Sicondu à u Rapportu d'Investigazione di Violazione di Dati di Verizon, 74% di tutte e violazioni di dati implicanu l'elementu umanu. Ch'ella sia un attaccu d'ingegneria suciale riesciutu, un errore o un usu impropriu. E persone chì spartenu queste statistiche l'utilizanu spessu per indicà chì l'impiegati sò una debulezza, ma a statistica mostra veramente chì u cumpurtamentu umanu hè u bersagliu di un attaccu - è u cumpurtamentu umanu hè ancu induve pudete fermallu.
A furmazione basata nantu à a paura vede sta statistica cum'è un ghjudiziu. A furmazione basata nantu à a cuscenza a vede cum'è una opportunità. Quandu a vostra ghjente si rende contu ch'elli sò a prima linea di rilevazione - micca un anellu debule - cambianu a so mentalità. Notanu cose chì ùn anu mai nutatu prima. Parlanu, invece di sperà in silenziu ch'elli si sbaglianu.
U cuntrollu tecnicu importa menu chè questu psicologicu.
Andendu oltre a casella di cuntrollu annuale
Avvicinatevi à a furmazione di sicurezza di l'impiegati cù una mentalità di cunfurmità prima, è questu hè u ciclu in u quale vi chjudete. Una sessione hè prevista, a vostra squadra si prisenta (speremu), guarda un video o una presentazione, una casella hè spuntata in u vostru audit di sicurezza, è nunda ùn cambia finu à u listessu tempu l'annu prossimu, quandu fate tuttu di novu. À quellu puntu, quasi tutte l'infurmazioni è u cuntestu sò dapoi longu abbandunati a memoria à cortu termine di a vostra squadra. Lavate, sciacquate è ripetite.
Questu ùn hè micca un fiascu di squadra, hè un fiascu strutturale. U deterioramentu di a memoria umana ùn funziona micca secondu un ciclu di 12 mesi (saria bellu s'ellu fussi cusì), assai di quelle preziose informazioni di furmazione ùn esistenu più in a testa di una squadra quandu ne anu più bisognu - a prossima volta chì qualcosa di maliziosu hà cum'è mira a vostra urganizazione.
I cicli di furmazione automatizati anu dimustratu di superà i so seminarii annuali, manuali, per una sola ragione: tenendu contu di a sicurità durante tuttu l'annu, micca solu durante u seminariu. Formazione di sensibilizazione à a securità furnitu per mezu di una piattaforma automatizata vi permette di ghjunghje à tutti, seguità i progressi è adattassi in basa à u cumpurtamentu reale - dunque una squadra chì pratica una bona sicurezza travagliendu da casa durante un marzu stressante hè assai menu prubabile di fà sbagli in dicembre.
U mudellu d'apprendimentu ghjustu à tempu
A furmazione di sensibilizazione à a sicurità di l'impiegati hè più efficace quandu hè furnita à u mumentu ottimale. Per esempiu, quandu un impiegatu clicca nantu à un ligame di simulazione di phishing, a risposta ùn deve esse micca solu di signalallu è finisce. Piuttostu, hè l'occasione perfetta per furnisce li subitu un modulu di apprendimentu cortu è focalizatu.
Questu approcciu, cunnisciutu ancu cum'è apprendimentu just-in-time, riporta tassi di ritenzione megliu cà a furmazione pre-programmata. A lezziò hè direttamente ligata à ciò chì hè accadutu. L'impiegatu ùn si sente micca penalizatu, ma invece impara ciò chì deve evità ghjustu à u mumentu ghjustu quandu sta infurmazione hè più necessaria.
Custruisce una cultura di segnalazione senza culpabilità
Hè inevitabile chì ancu l'impiegati i più furmati facenu sbagli di tantu in tantu. A differenza trà un incidente minore è una violazione cumpleta hè spessu a rapidità cù a quale l'errore hè signalatu. Se l'impiegati temenu rappresaglie, stanu zitti. A violazione s'aggraverà. È quandu qualchissia finalmente si ne accorgerà, a ricuperazione serà assai più cara.
Hè per quessa chì un prucessu di segnalazione ben definitu è micca punitivu hè una di e cose più impurtanti chì una urganizazione pò mette in opera. Mostra à l'impiegati chì truvà è signalà un errore subitu hè a risposta curretta - micca qualcosa da ammuccià. Crea ancu allarmi chì u vostru persunale di sicurezza pò aduprà prima chì una violazione esce da u cuntrollu.
È questu parla assolutamente di u risicu di minaccia interna in un modu di u quale ùn parlemu micca abbastanza spessu. A maiò parte di l'incidenti interni ùn sò micca maliziosi. Sò sbagli - qualchissia chì installa software micca autorizatu, hè ingannatu da un attaccu di pretestu, cunfigura male un servitore in nuvola. Una cultura di sicurezza in a segnalazione cattura quelli prima ch'elli s'aggravinu. Una cultura di culpabilità li permette di piattassi.
Fà chì a sicurità si senti cum'è una cumpetenza prufessiunale
Calchì volta a gamificazione hè cunsiderata una cosa triviale, ma in realtà funziona perchè cambia u cuntestu: sta furmazione ùn hè micca qualcosa chì hè data à l'impiegati, hè qualcosa in quale ponu esse bravi. E classifiche, i ricunniscimenti è i badge di cumpletamentu scatenanu a stessa motivazione cumpetitiva è di successu chì porta e persone à perseguità certificazioni prufessiunali.
Quandu l'impiegati cumincianu à nutà i so progressi in a cuscenza di a sicurità o à nutà una bona prestazione di a so squadra in una simulazione di phishing, a sicurità ùn hè più un prublema di qualchì nerd informaticu, hè l'identità di un prufessiunale. È hè quì chì si forma a vera cultura di a cibersigurtà - micca da manifesti, tappetini per mouse o ghjoculi soffici, nè da adesivi d'avvertimentu in u manuale di l'impiegati.
L'adopzione di l'MFA, a riduzione di l'IT in l'ombra, è ancu l'aspetti culturali di a sicurezza fisica cum'è a sfida adatta per u tailgating o u piggybacking, migliuranu quandu l'impiegati accettanu l'idea chì si tratta di elementi decisivi per u funziunamentu di un bon prufessiunale. Ùn state micca spinghjendu per a cunfurmità; state spinghjendu per a cumpetenza.
L'urganisazioni chì rispondenu megliu à l'incidenti ùn sò micca quelle chì anu a tecnulugia di sicurezza più incredibile, degna di un X-Prize. Sò l'urganisazioni chì i so impiegati sò motivati à esse prufessiunalmente cumpetenti è, quandu vedenu qualcosa di stranu, cercanu assistenza subitu.