Segurtasunari buruzko eztabaida gehienek langileak pasibo gisa aurkezten dituzte. Ondorioz, ematen den prestakuntzak ideia hori indartzen du – urteko aurkezpen luzeekin eta langileek egin ditzaketen akatsen ondorio kezkagarriekin. Ikuspegi honek beldurra, interes falta eta ia ez du portaera aldaketarik sortzen. Hala ere, beste ikuspegi bat dago eskuragarri, premisa alderantzikatu besterik ez da egin behar.
Zergatik ez du beldurrean oinarritutako entrenamendua eusten
Arabera Verizonen datu-urraketaren ikerketa-txostenaDatu-urraketa guztien % 74k giza elementua dakar. Ingeniaritza sozialeko eraso arrakastatsu bat, akats bat edo erabilera oker bat izan. Estatistika hauek partekatzen dituztenek askotan erabiltzen dituzte langileak ahultasun bat direla adierazteko, baina estatistikak benetan erakusten du giza portaera eraso baten helburua dela, eta giza portaera ere hori geldiarazi dezakezun lekua dela.
Beldurrean oinarritutako prestakuntzak estatistika hori epaiketa gisa ikusten du. Kontzientzian oinarritutako prestakuntzak aukera gisa ikusten du. Zure jendeak detekzio-lehen lerroa direla konturatzen denean –ez katebegi ahul bat–, beren pentsaera aldatzen dute. Lehenago ohartu ez ziren gauzak nabaritzen dituzte. Ozenago hitz egiten dute, isil-isilik oker daudela espero beharrean.
Kontrol teknikoak garrantzi gutxiago du kontrol psikologiko honek baino.
Urteko kontrol-laukia gainditzea
Langileen segurtasun prestakuntzari betetzea lehenesten duen mentalitatetik heldu, eta ziklo horretan giltzapetuta geratzen zara. Saio bat antolatzen da, zure taldea agertzen da (espero dugu), bideo edo aurkezpen bat ikusten dute, zure segurtasun auditorian laukitxo bat markatzen da, eta ez da ezer aldatzen datorren urtean garai berera arte, berriro egin arte. Ordurako, informazio eta testuinguru hori ia guztia aspalditik atera da zure taldearen epe laburreko memoriatik. Garbitu, garbitu eta errepikatu.
Hau ez da taldearen porrota, egiturazko porrota baizik. Giza memoriaren gainbehera ez da 12 hilabeteko ziklo batean funtzionatzen (nahiko polita litzateke horrela balitz), prestakuntza-informazio baliotsu horietako asko ez dira existitzen taldearen buruan gehien behar dutenean - hurrengoan zerbait gaiztoa zure erakundea erasotzen duenean.
Frogatuta dago prestakuntza-ziklo automatizatuek urteko tailer eskuliburuak baino emaitza hobeak lortzen dituztela arrazoi bakarragatik: segurtasuna kontuan hartuta urte osoan zehar, ez bakarrik mintegian zehar. Segurtasuna sentsibilizatzeko trebakuntza Plataforma automatizatu baten bidez emandakoak aukera ematen dizu guztiongana iristeko, aurrerapena jarraitzeko eta benetako portaeraren arabera egokitzeko; beraz, martxo estresagarri batean etxetik lan egiteko segurtasun ona praktikatzen duen talde batek askoz ere litekeena da akatsak egitea abenduan.
Unean uneko ikaskuntza eredua
Langileen segurtasun-kontzientziazio prestakuntza eraginkorrena da une egokian ematen denean. Adibidez, langile batek phishing simulazio-esteka batean klik egiten duenean, erantzuna ez luke salaketa jarri eta amaitu besterik egin behar. Horren ordez, aukera ezin hobea da ikaskuntza-modulu labur eta zehatz bat berehala emateko.
Ikuspegi honek, just-in-time ikaskuntza bezala ere ezagutzen denak, aurrez programatutako prestakuntzak baino atxikipen-tasa hobeak ematen ditu. Ikasgaia zuzenean lotuta dago gertatutakoarekin. Langileak ez du zigortua sentitzen, baizik eta une egokian ikasten du zer saihestu behar duen, informazio hori gehien behar duenean.
Salaketarik gabeko kultura bat eraikitzea
Saihestezina da langile ondoen prestatuek ere noizean behin akatsak egitea. Gertakari txiki baten eta urraketa oso baten arteko aldea askotan akatsa zein azkar jakinarazten den da. Langileek mendekuaren beldur badira, isilik geratuko dira. Urraketa areagotu egingo da. Eta norbaitek azkenean ohartzen denerako, berreskuratzea askoz garestiagoa izango da.
Horregatik, ondo definitutako eta zigortzaile ez den salaketa-prozesu bat da erakunde batek ezar dezakeen gauzarik garrantzitsuenetako bat. Langileei erakusten die akats bat berehala aurkitzea eta salatzea dela erantzun zuzena, ez estali beharreko zerbait. Gainera, segurtasun-langileek erabil ditzaketen alarmak sortzen ditu urraketa bat kontroletik kanpo geratu aurretik.
Eta honek barne-mehatxu arriskuaz hitz egiten du, behar bezainbeste aipatzen ez dugun moduan. Barne-gertakari gehienak ez dira gaiztoak. Akatsak dira: norbaitek baimenik gabeko softwarea instalatzea, aitzakia gisa eraso batek engainatzea, hodeiko zerbitzari bat gaizki konfiguratzea. Salaketa egitean segurtasun-kultura batek horiek harrapatzen ditu areagotu baino lehen. Errua emateko kulturak ezkutatzen uzten die.
Segurtasuna trebetasun profesional gisa sentiaraztea
Batzuetan gamifikazioa gauza hutsala dela uste da, baina benetan funtzionatzen du testuingurua aldatzen duelako: prestakuntza hau ez da langileei ematen zaien zerbait, baizik eta horretan onak izan daitezkeen zerbait. Sailkapen-taulek, aitorpenek eta amaiera-txapek lehiakortasun- eta lorpen-motibazio bera pizten dute, jendea ziurtagiri profesionalak lortzera bultzatzen dutenak.
Langileek segurtasun-kontzientziaren aurrerapena markatzen hasten direnean edo phishing simulazio batean beren taldearen errendimendu sendoa nabaritzen dutenean, segurtasuna ez da jada ordenagailu-friki baten arazoa, profesional baten identitatea baizik. Eta hor sortzen da benetako zibersegurtasun-kultura; ez posterretatik, sagu-alfonbretatik edo pelutxeetatik, ezta langileen eskuliburuko abisu-pegatinetatik ere.
MFAren adopzioa, itzaleko ITaren murrizketa eta baita segurtasun fisikoaren alderdi kulturalak ere, hala nola, tailgating edo piggybacking-erako erronka egokia, hobetzen dira langileek profesional on batek nola funtzionatzen duen erabakitzeko modukoak direla onartzen dutenean. Ez duzu betetzea bultzatzen; gaitasuna baizik.
Intzidenteei hobekien erantzuten dieten erakundeak ez dira segurtasun-teknologiarik sinestezinenak eta X-Prize saridunenak dituztenak. Langileak profesionalki gaituak izateko motibatuta dauden erakundeak dira, eta zerbait arraroa ikusten dutenean, berehala laguntza bilatzen dute.