Useimmat turvallisuuskeskustelut kuvaavat työntekijöitä vastuullisina. Myöhemmin tarjottu koulutus vahvistaa tätä ajatusta – pitkien vuosittaisten esittelyjen ja hälyttävien seuraamusten avulla työntekijöiden mahdollisista virheistä. Tämä lähestymistapa kylvää pelkoa, välinpitämättömyyttä ja tuskin mitään käyttäytymisen muutoksia. Vaihtoehtoinen lähestymistapa on kuitenkin olemassa, lähtökohta on vain käännettävä.
Miksi pelkoon perustuva koulutus ei toimi
Mukaan Verizon Data Break Investigations -raportti74 % kaikista tietomurroista liittyy inhimilliseen tekijään. Olipa kyseessä sitten onnistunut sosiaalisen manipuloinnin hyökkäys, virhe tai väärinkäyttö. Näitä tilastoja jakavat ihmiset käyttävät niitä usein osoittamaan, että työntekijät ovat heikkous. Tilasto kuitenkin osoittaa, että ihmisen käyttäytyminen on hyökkäyksen kohteena – ja ihmisen käyttäytyminen on myös se, missä se voidaan pysäyttää.
Pelkoon perustuva koulutus näkee tilaston tuomiona. Tietoisuuteen perustuva koulutus näkee sen mahdollisuutena. Kun työntekijäsi ymmärtävät olevansa ensimmäinen havaintolinja – eivät heikko lenkki – he muuttavat ajattelutapaansa. He huomaavat asioita, joita he eivät ole aiemmin huomanneet. He puhuvat suoraan sen sijaan, että hiljaa toivoisivat olevansa väärässä.
Tekninen hallinta on vähemmän tärkeää kuin tämä psykologinen.
Vuosittaisen valintaruudun ohittaminen
Lähesty työntekijöiden tietoturvakoulutusta vaatimustenmukaisuus edellä -ajattelutavasta, ja tämä on kierre, johon lukitset itsesi. Koulutus sovitaan, tiimisi saapuu paikalle (toivottavasti), katsoo videon tai esityksen, tietoturvatarkastukseen laitetaan rasti, eikä mikään muutu ennen kuin samaan aikaan ensi vuonna tehdään kaikki alusta. Siihen mennessä lähes kaikki tiedot ja konteksti ovat jo kauan sitten poistuneet tiimisi lyhytaikaisesta muistista. Pese, huuhtele ja toista.
Tämä ei ole tiimin vika, vaan rakenteellinen. Ihmisen muistin rappeutuminen ei toimi 12 kuukauden sykleissä (olisi aika siistiä, jos se toimisi). Suuri osa arvokkaasta koulutustiedosta ei enää ole tiimin päässä siihen mennessä, kun he sitä eniten tarvitsevat – seuraavan kerran, kun jokin pahantahtoinen hyökkäys kohdistuu organisaatioosi.
Automatisoitujen koulutussyklien on todistettu toimivan paremmin kuin vuosittaiset, manuaaliset työpajat juuri yhdestä syystä: pitämällä turvallisuuden mielessä koko vuoden ajan, ei vain seminaarin aikana. Turvallisuustietoisuuden koulutus Automaattisen alustan kautta toimitettuna voit tavoittaa kaikki, seurata edistymistä ja mukautua todelliseen käyttäytymiseen – joten tiimi, joka noudattaa hyvää turvallisuutta työskentelemällä kotoa stressaavan maaliskuun aikana, tekee paljon epätodennäköisemmin virheitä joulukuussa.
Just-in-time-oppimismalli
Työntekijöiden tietoturvakoulutus on tehokkainta, kun se järjestetään optimaaliseen aikaan. Esimerkiksi kun työntekijä napsauttaa tietojenkalastelusimulaatiolinkkiä, reaktion ei pitäisi olla vain ilmoitus asiasta ja asian ohittaminen. Sen sijaan se on täydellinen tilaisuus tarjota heille lyhyt, kohdennettu oppimismoduuli heti.
Tämä lähestymistapa, joka tunnetaan myös nimellä just-in-time-oppiminen, tuottaa parempia pysyvyysasteita kuin ennalta suunniteltu koulutus. Oppitunti liittyy suoraan tapahtuneeseen. Työntekijä ei tunne oloaan rangaistukseksi, vaan oppii, mitä välttää, juuri oikealla hetkellä, kun tätä tietoa eniten tarvitaan.
Syyllistämättömän raportointikulttuurin rakentaminen
On väistämätöntä, että jopa parhaiten koulutetut työntekijät tekevät virheitä aika ajoin. Pienen tapauksen ja täysimittaisen tietomurron välinen ero on usein siinä, kuinka nopeasti virheestä ilmoitetaan. Jos työntekijät pelkäävät kostotoimia, he pysyvät hiljaa. Tietomurto pahenee. Ja siihen mennessä, kun joku lopulta huomaa sen, korjaaminen on paljon kalliimpaa.
Siksi hyvin määritelty ja ei-rankaiseva raportointiprosessi on yksi tärkeimmistä asioista, joita organisaatio voi ottaa käyttöön. Se osoittaa työntekijöille, että virheen löytäminen ja siitä ilmoittaminen välittömästi on oikea reaktio – ei jotain, mitä peitellään. Se myös luo hälytyksiä, joita turvallisuushenkilöstösi voi käyttää ennen kuin tietomurto riistäytyy käsistä.
Ja tämä ehdottomasti kertoo sisäpiiriuhkien riskistä tavalla, josta emme puhu tarpeeksi usein. Useimmat sisäpiiritapaukset eivät ole ilkeämielisiä. Ne ovat virheitä – joku asentaa luvattomia ohjelmistoja, joutuu huijatuksi tekosyytöksellä, pilvipalvelimen konfigurointi on väärin. Turvallinen raportointikulttuuri paljastaa tällaiset tapaukset ennen kuin ne eskaloituvat. Syyllistämisen kulttuuri antaa heidän piiloutua.
Turvallisuuden tunteen saaminen ammattitaidoksi
Joskus pelillistämistä pidetään vähäpätöisenä asiana, mutta se itse asiassa toimii, koska se muuttaa kontekstia: tämä koulutus ei ole jotain, mitä annetaan työntekijöille, vaan se on jotain, jossa he voivat olla hyviä. Tulostaulut, tunnustus ja suoritusmerkit laukaisevat saman kilpailu- ja saavutusmotivaation, joka saa ihmiset hakemaan ammatillisia sertifikaatteja.
Kun työntekijät alkavat merkitä edistymistään tietoturvatietoisuudessa tai huomaavat tiiminsä vahvan suorituksen tietojenkalastelusimulaatiossa, tietoturva ei ole enää jonkun tietokonenörtin ongelma, vaan ammattilaisen identiteetti. Ja juuri siellä muodostuu todellinen kyberturvallisuuskulttuuri – ei julisteista, hiirimatoista tai pörröisistä leluista eikä työntekijöiden käsikirjan varoitustarroista.
Monialaisen rahoituksen (MFA) käyttöönotto, varjo-IT:n vähentäminen ja jopa fyysisen turvallisuuden kulttuuriset näkökohdat, kuten asianmukainen haaste tailgatingille tai piggybackingille, paranevat, kun työntekijät uskovat ajatukseen, että nämä ovat pöytävalintoja sille, miten hyvä ammattilainen toimii. Et vaadi vaatimustenmukaisuutta, vaan osaamista.
Organisaatiot, jotka reagoivat parhaiten tapauksiin, eivät ole niitä, joilla on uskomattomin, X-palkinnon arvoinen tietoturvateknologia. Ne ovat organisaatioita, joiden työntekijät ovat motivoituneita olemaan ammatillisesti päteviä ja hakemaan apua välittömästi, kun he näkevät jotain outoa.