Enamik turvaarutelusid kujutab töötajaid kohustusena. Seejärel tugevdab pakutav koolitus seda ideed – pikkade iga-aastaste esitluste ja murettekitavate tagajärgedega, mida kirjeldatakse töötajate võimalike vigade eest. See lähenemisviis külvab hirmu, ükskõiksust ja peaaegu ei muuda käitumist. Siiski on olemas ka alternatiivne lähenemisviis, eeldus tuleb lihtsalt ümber pöörata.
Miks hirmupõhine koolitus ei toimi
Vastavalt Verizoni andmete rikkumise uurimise aruanne74% kõigist andmeleketest on seotud inimteguriga. Olgu tegemist siis eduka sotsiaalse manipuleerimise rünnaku, vea või väärkasutusega. Inimesed, kes seda statistikat jagavad, kasutavad seda sageli töötajate nõrkuse näitamiseks, kuid statistika näitab tegelikult, et rünnaku sihtmärgiks on inimkäitumine – ja inimkäitumine on ka see, kus saab seda peatada.
Hirmupõhine koolitus näeb seda statistikat hinnanguna. Teadlikkusel põhinev koolitus näeb seda võimalusena. Kui teie inimesed mõistavad, et nemad on esimene märkamisliin – mitte nõrk lüli –, muudavad nad oma mõtteviisi. Nad märkavad asju, mida nad varem pole märganud. Nad räägivad välja, selle asemel, et vaikselt loota, et nad eksivad.
Tehniline kontroll on vähem oluline kui see psühholoogiline.
Iga-aastasest märkeruudust mööda minnes
Lähene töötajate turvakoolitusele vastavust esikohale seadva mõtteviisiga ja see on tsükkel, millesse sa end lukustad. Sessioon on planeeritud, su meeskond ilmub (loodetavasti) kohale, vaatab video või esitluse, turvaauditi juures tehakse linnuke ja miski ei muutu kuni järgmise aasta sama ajani, kui teed kõik uuesti. Selleks ajaks on peaaegu kogu see teave ja kontekst teie meeskonna lühiajalisest mälust ammu väljunud. Pese, loputa ja korda.
See ei ole meeskonna, vaid struktuuri viga. Inimmälu lagunemine ei toimu 12-kuulise tsükli alusel (oleks päris lahe, kui see nii oleks). Suur osa sellest väärtuslikust koolitusinfost ei eksisteeri enam meeskonna peas selleks ajaks, kui nad seda kõige rohkem vajavad – järgmine kord, kui midagi pahatahtlikku teie organisatsiooni sihib.
Automatiseeritud koolitustsüklid on tõestatult paremad kui nende iga-aastased käsitsi läbiviidavad seminarid ja seda täpselt ühel põhjusel: pidades silmas turvalisust kogu aasta vältel, mitte ainult seminari ajal. Turvateadlikkuse koolitus Automatiseeritud platvormi kaudu edastamine võimaldab teil kõigiga ühendust võtta, edusamme jälgida ja tegeliku käitumise põhjal kohaneda – seega on meeskonnal, kes rakendab stressirohke märtsikuu jooksul kodust töötades häid turvalisusnõudeid, palju väiksem tõenäosus detsembris vigu teha.
Õigeaegse õppe mudel
Töötajate turvateadlikkuse koolitus on kõige tõhusam, kui seda pakutakse optimaalsel ajal. Näiteks kui töötaja klõpsab andmepüügi simulatsiooni lingil, ei tohiks reageerida lihtsalt temast teatamisele ja sellega ühele poole saamisele. Selle asemel on see ideaalne võimalus pakkuda neile kohe lühikest ja sihipärast õppemoodulit.
See lähenemisviis, mida tuntakse ka kui just-in-time õppimist, annab paremaid püsivusmäärasid kui ette planeeritud koolitus. Õppetund on otseselt seotud toimunuga. Töötaja ei tunne end karistatuna, vaid õpib hoopis, mida vältida, just õigel hetkel, kui seda teavet kõige rohkem vajatakse.
Süüdistusvaba aruandluskultuuri loomine
On paratamatu, et isegi kõige paremini koolitatud töötajad teevad aeg-ajalt vigu. Väikese intsidendi ja täieliku rikkumise vahe seisneb sageli selles, kui kiiresti veast teatatakse. Kui töötajad kardavad kättemaksu, siis nad vaikivad. Rikkumine eskaleerub. Ja selleks ajaks, kui keegi seda lõpuks märkab, on taastamine palju kallim.
Seepärast on selgelt määratletud ja mittekaristav aruandlusprotsess üks olulisemaid asju, mida organisatsioon saab kehtestada. See näitab töötajatele, et vea kohene leidmine ja sellest teatamine on õige reageering – mitte midagi, mida varjata. See loob ka alarmid, mida teie turvatöötajad saavad kasutada enne, kui rikkumine kontrolli alt väljub.
Ja see viitab kindlasti siseringi ohule viisil, millest me piisavalt tihti ei räägi. Enamik siseringi intsidente ei ole pahatahtlikud. Need on vead – keegi installib volitamata tarkvara, laseb end petta ettekäändega rünnakul, seadistab pilveserveri valesti. Turvaline aruandluskultuur tabab need enne, kui need eskaleeruvad. Süüdistamise kultuur laseb neil varjuda.
Turvalisuse tundmine professionaalse oskusena
Mõnikord peetakse mängustamist tühiseks asjaks, aga tegelikult see toimib, sest see muudab konteksti: see koolitus ei ole midagi, mida töötajatele antakse, vaid midagi, milles nad saavad head olla. Edetabelid, tunnustus ja lõpetamismärgid käivitavad sama võistlus- ja saavutusmotivatsiooni, mis paneb inimesi kutsetunnistusi taotlema.
Kui töötajad hakkavad oma turvateadlikkuse edusamme märkima või märkavad oma meeskonna head sooritust andmepüügisimulatsioonis, pole turvalisus enam mingi arvutinohiku probleem, vaid professionaali identiteet. Ja just seal kujunebki tõeline küberturvalisuse kultuur – mitte plakatitelt, hiiremattidelt või kohevatelt mänguasjadelt ega ka töötajate käsiraamatus olevatelt hoiatuskleebistelt.
MFA kasutuselevõtt, vari-IT vähendamine ja isegi füüsilise turvalisuse kultuurilised aspektid, nagu näiteks nõuetekohane väljakutse esitamine tagantjärele tegutsemise või kaasamise eest tasumise eest, paranevad, kui töötajad usuvad, et need on hea professionaali tegutsemise määravad tegurid. Te ei suru peale vastavust, vaid pädevust.
Organisatsioonid, mis intsidentidele kõige paremini reageerivad, ei ole need, millel on kõige uskumatum ja X-auhinna vääriline turvatehnoloogia. Need on organisatsioonid, mille töötajad on motiveeritud olema professionaalselt pädevad ja otsima kohe abi, kui nad näevad midagi kummalist.