De fleste sikkerhedsdiskussioner fremstiller medarbejdere som en belastning. Efterfølgende forstærker den givne træning denne idé – med lange årlige præsentationer og alarmerende konsekvenser skitseret for eventuelle fejl, som medarbejderne måtte begå. Denne tilgang indgyder frygt, manglende interesse og næsten ingen adfærdsændring. Der findes dog en alternativ tilgang, præmissen skal bare vendes om.
Hvorfor frygtbaseret træning ikke holder stik
Ifølge Verizon Data Breach Investigations Report74 % af alle databrud involverer den menneskelige faktor. Uanset om det er et vellykket social engineering-angreb, en fejl eller misbrug. Folk, der deler disse statistikker, bruger dem ofte til at indikere, at medarbejdere er en svaghed, men statistikken viser virkelig, at menneskelig adfærd er målet for et angreb – og menneskelig adfærd er også der, hvor du kan stoppe det.
Frygtbaseret træning ser denne statistik som en vurdering. Bevidsthedsbaseret træning ser den som en mulighed. Når dine medarbejdere indser, at de er den første opdagelseslinje – ikke et svagt led – ændrer de deres tankegang. De bemærker ting, de aldrig har bemærket før. De siger fra i stedet for i stilhed at håbe, at de tager fejl.
Teknisk kontrol betyder mindre end denne psykologiske.
Går forbi den årlige afkrydsningsfelt
Gå til medarbejdernes sikkerhedstræning med en compliance-tankegang først, og det er den cyklus, du låser dig fast i. En session planlægges, dit team møder op (forhåbentlig), ser en video eller præsentation, der sættes kryds i en boks i din sikkerhedsrevision, og intet ændrer sig før samme tidspunkt næste år, hvor du gør det hele igen. På det tidspunkt er næsten al den information og kontekst for længst væk fra dit teams korttidshukommelse. Vask, skyl og gentag.
Dette er ikke en teamfejl, det er en strukturel. Menneskelig hukommelsesforringelse opererer ikke på en 12-måneders cyklus (det ville være ret fedt, hvis det gjorde), og meget af den værdifulde træningsinformation findes ikke længere i et teams hoved, når de har mest brug for den – næste gang noget ondsindet rammer din organisation.
Automatiserede træningscyklusser har vist sig at overgå deres årlige, manuelle workshops af præcis én grund: ved at have sikkerhed i tankerne hele året rundt, ikke kun under seminaret. Sikkerhedsbevidsthedstræning Leveret via en automatiseret platform giver dig mulighed for at nå alle, spore fremskridt og tilpasse dig baseret på faktisk adfærd – så et team, der praktiserer god sikkerhed ved at arbejde hjemmefra i en stressende marts måned, er langt mindre tilbøjeligt til at begå fejl i december.
Just-in-time-læringsmodellen
Sikkerhedsbevidsthedstræning for medarbejdere er mest effektiv, når den leveres på det optimale tidspunkt. Når en medarbejder f.eks. klikker på et phishing-simuleringslink, bør reaktionen ikke bare være at anmelde dem og være færdige med det. I stedet er det den perfekte lejlighed til at give dem et kort, fokuseret læringsmodul med det samme.
Denne tilgang, også kendt som just-in-time-læring, viser bedre fastholdelsesrater end forudplanlagt træning. Lektionen er direkte relateret til, hvad der skete. Medarbejderen føler sig ikke straffet, men lærer i stedet, hvad han skal undgå, lige på det rette tidspunkt, hvor denne information er mest nødvendig.
Opbygning af en kultur uden skyldfølelse
Det er uundgåeligt, at selv de mest veluddannede medarbejdere vil begå fejl fra tid til anden. Forskellen mellem en mindre hændelse og et fuldt udviklet brud er ofte, hvor hurtigt fejlen rapporteres. Hvis medarbejdere frygter gengældelse, vil de tie stille. Bruddet vil eskalere. Og når nogen endelig bemærker det, vil genopretningen være meget dyrere.
Derfor er en veldefineret, ikke-straffende rapporteringsproces en af de vigtigste ting, en organisation kan indføre. Den viser medarbejderne, at det at finde og rapportere en fejl med det samme er den rigtige reaktion – ikke noget, der skal dækkes over. Den skaber også alarmer, som dine sikkerhedspersonale kan bruge, før et brud kommer ud af kontrol.
Og dette vidner absolut om risikoen for insidertrusler på en måde, som vi ikke taler om ofte nok. De fleste insiderhændelser er ikke ondsindede. De er fejl – en person installerer uautoriseret software, bliver narret af et falsk angreb, fejlkonfigurerer en cloudserver. En kultur præget af sikkerhed i rapporteringen fanger disse, før de eskalerer. En kultur præget af skyld lader dem gemme sig.
At få sikkerhed til at føles som en professionel færdighed
Nogle gange betragtes gamification som en triviel ting, men det virker faktisk, fordi det ændrer konteksten: denne træning er ikke noget, der gives til medarbejdere, det er noget, de kan være gode til. Ranglister, anerkendelse og færdiggørelsesmærker udløser den samme konkurrence- og præstationsmotivation, der får folk til at forfølge professionelle certificeringer.
Når medarbejdere begynder at markere deres fremskridt inden for sikkerhedsbevidsthed eller bemærker en stærk præstation fra deres team i en phishing-simulering, er sikkerhed ikke længere en computernørds problem, det er en professionels identitet. Og det er her, den virkelige cybersikkerhedskultur dannes – ikke fra plakater, musemåtter eller blødt legetøj, og heller ikke fra advarselsklistermærker i medarbejderhåndbogen.
Implementering af MFA, reduktion af skygge-IT og endda fysiske sikkerhedskulturelle aspekter som ordentlig udfordring til tailgating eller piggybacking forbedres, når medarbejderne accepterer ideen om, at disse er afgørende for, hvordan en god professionel arbejder. Du presser ikke på for compliance; du presser på for kompetence.
De organisationer, der bedst reagerer på hændelser, er ikke dem, der har den mest utrolige sikkerhedsteknologi, der er værd at være X-Prize. Det er de organisationer, hvis medarbejdere er motiverede til at være fagligt kompetente, og når de ser noget mærkeligt, søger hjælp med det samme.