Většina diskusí o bezpečnosti vykresluje zaměstnance jako přítěž. Následně poskytovaná školení tuto myšlenku posilují – s dlouhými každoročními prezentacemi a alarmujícími důsledky popsanými za jakékoli chyby, kterých se zaměstnanci mohou dopustit. Tento přístup vzbuzuje strach, nezájem a téměř žádnou změnu chování. Existuje však i alternativní přístup, stačí jen obrátit předpoklad.
Proč trénink založený na strachu nefunguje
Podle Zpráva o vyšetřování úniků dat společnosti Verizon74 % všech úniků dat zahrnuje lidský prvek. Ať už se jedná o úspěšný útok sociálního inženýrství, chybu nebo zneužití. Lidé, kteří tyto statistiky sdílejí, je často používají k označení zaměstnanců za slabinu, nicméně statistika ve skutečnosti ukazuje, že cílem útoku je lidské chování – a právě lidské chování je také místem, kde ho můžete zastavit.
Trénink založený na strachu vnímá tuto statistiku jako úsudek. Trénink založený na uvědomění ji vnímá jako příležitost. Když si vaši lidé uvědomí, že jsou první linií detekce – nikoli slabým článkem – změní své myšlení. Všimnou si věcí, kterých si dříve nikdy nevšimli. Promluví, místo aby tiše doufali, že se mýlí.
Technická kontrola je méně důležitá než tato psychologická.
Překročení ročního zaškrtávacího políčka
Přistupujte ke školení zaměstnanců v oblasti bezpečnosti s myšlením, které je na prvním místě zaměřeno na dodržování předpisů, a to je cyklus, do kterého se uzavřete. Naplánujete si školení, váš tým se (doufejme) dostaví, pustí si video nebo prezentaci, zaškrtnete políčko v rámci bezpečnostního auditu a nic se nezmění až do stejné doby příští rok, kdy to celé zopakujete. V tom okamžiku už téměř všechny tyto informace a kontext dávno opustily krátkodobou paměť vašeho týmu. Umyjte, opláchněte a opakujte.
Nejde o selhání týmu, ale o strukturální selhání. Rozpad lidské paměti neprobíhá v 12měsíčním cyklu (bylo by docela fajn, kdyby ano). Spousta cenných informací o školení už v hlavě týmu neexistuje v době, kdy je nejvíce potřebuje – až příště na vaši organizaci zaútočí něco škodlivého.
Automatizované školicí cykly prokazatelně překonávají jejich každoroční manuální workshopy přesně z jednoho důvodu: tím, že dbají na bezpečnost po celý rok, nejen během semináře. Školení o povědomí o bezpečnosti Díky automatizované platformě můžete oslovit všechny, sledovat pokrok a přizpůsobovat se skutečnému chování – tým, který při práci z domova během stresujícího března dodržuje dobré bezpečnostní opatření, je tedy v prosinci mnohem méně pravděpodobné, že udělá chyby.
Model učení just-in-time
Školení zaměstnanců v oblasti bezpečnosti je nejúčinnější, když je provedeno v optimální čas. Například když zaměstnanec klikne na odkaz se simulací phishingu, reakcí by nemělo být jen nahlášení a ukončení. Místo toho je to ideální příležitost k okamžitému poskytnutí krátkého, cíleného vzdělávacího modulu.
Tento přístup, známý také jako učení „just-in-time“, vykazuje lepší míru udržení zaměstnanců než předem naplánované školení. Lekce přímo souvisí s tím, co se stalo. Zaměstnanec se necítí penalizován, ale místo toho se dozví, čemu se vyhnout, a to právě ve správný okamžik, kdy je tato informace nejvíce potřeba.
Budování kultury reportingu bez obviňování
Je nevyhnutelné, že i ti nejlépe vyškolení zaměstnanci čas od času udělají chyby. Rozdíl mezi drobným incidentem a plnohodnotným porušením bezpečnosti často spočívá v tom, jak rychle je chyba nahlášena. Pokud se zaměstnanci obávají odvety, budou mlčet. Porušení se bude stupňovat. A než si toho někdo konečně všimne, bude odškodnění mnohem dražší.
Proto je dobře definovaný a netrestavý proces hlášení jednou z nejdůležitějších věcí, které může organizace zavést. Ukazuje zaměstnancům, že okamžité nalezení a nahlášení chyby je správnou reakcí – nikoliv něco, co se má zatajovat. Zároveň vytváří alarmy, které mohou vaši bezpečnostní pracovníci použít dříve, než se narušení vymkne kontrole.
A tohle naprosto vypovídá o riziku vnitřních hrozeb způsobem, o kterém se dostatečně často nemluví. Většina vnitřních incidentů není zlomyslná. Jsou to chyby – někdo si nainstaluje neoprávněný software, nechá se oklamat útokem s podezřením, špatně nakonfiguruje cloudový server. Kultura bezpečnosti při hlášení odhalí tyto incidenty dříve, než se vyhnou eskalaci. Kultura obviňování jim umožňuje skrývat se.
Aby se bezpečnost jevila jako profesionální dovednost
Gamifikace je někdy považována za triviální věc, ale ve skutečnosti funguje, protože mění kontext: toto školení není něco, co se dává zaměstnancům, je to něco, v čem mohou být dobří. Žebříčky, uznání a odznaky za dokončení vyvolávají stejnou soutěživost a motivaci k dosažení úspěchu, která lidi vede k získání profesních certifikací.
Když zaměstnanci začnou zaznamenávat pokrok v oblasti bezpečnostního povědomí nebo si všimnou silného výkonu svého týmu v phishingové simulaci, bezpečnost už není problémem nějakého počítačového nadšence, ale identitou profesionála. A právě tam se formuje skutečná kultura kybernetické bezpečnosti – ne z plakátů, podložek pod myš nebo plyšových hraček, ani z varovných samolepek v příručce pro zaměstnance.
Zavedení vícefaktorové autentizace (MFA), redukce stínového IT a dokonce i kulturní aspekty fyzické bezpečnosti, jako je řádné vyzvání k dohledu nad dohledem nebo přidělování dalších pracovníků, se zlepšují, když zaměstnanci přijmou myšlenku, že se jedná o klíčové faktory pro fungování dobrého profesionála. Netlačíte na dodržování předpisů, ale na kompetence.
Organizace, které nejlépe reagují na incidenty, nejsou ty, které disponují nejúžasnější bezpečnostní technologií hodnou ceny X-Prize. Jsou to organizace, jejichž zaměstnanci jsou motivováni k profesionální kompetenci a když uvidí něco zvláštního, okamžitě vyhledají pomoc.