Većina rasprava o sigurnosti prikazuje zaposlenike kao teret. Nakon toga, pružena obuka pojačava tu ideju - s dugim godišnjim prezentacijama i alarmantnim posljedicama navedenim za bilo kakve pogreške koje zaposlenici mogu napraviti. Ovaj pristup usađuje strah, nezainteresiranost i gotovo nikakvu promjenu ponašanja. Međutim, dostupan je alternativni pristup, samo je potrebno preokrenuti premisu.
Zašto trening temeljen na strahu ne uspijeva
Prema Izvješće o istrazi kršenja podataka tvrtke Verizon, 74% svih povreda podataka uključuje ljudski element. Bilo da se radi o uspješnom napadu socijalnim inženjeringom, pogrešci ili zlouporabi. Ljudi koji dijele ove statistike često ih koriste kako bi ukazali na to da su zaposlenici slabost, međutim, statistika zapravo pokazuje da je ljudsko ponašanje meta napada - i ljudsko ponašanje je također mjesto gdje ga možete zaustaviti.
Trening temeljen na strahu tu statistiku vidi kao sud. Trening temeljen na svijesti to vidi kao priliku. Kada vaši ljudi shvate da su prva linija detekcije – a ne slaba karika – mijenjaju svoj način razmišljanja. Primjećuju stvari koje nikada prije nisu primijetili. Progovaraju, umjesto da se tiho nadaju da su u krivu.
Tehnička kontrola je manje važna od ove psihološke.
Prelazak preko godišnjeg potvrdnog okvira
Pristupite sigurnosnoj obuci zaposlenika s naglaskom na usklađenost na prvom mjestu i to je ciklus u koji se zatvarate. Zakaže se sesija, vaš tim se pojavi (nadamo se), pogleda video ili prezentaciju, označi se kućica na vašoj sigurnosnoj reviziji i ništa se ne mijenja do istog vremena sljedeće godine, kada sve ponavljate. Do tada su gotovo sve te informacije i kontekst odavno izašli iz kratkoročnog pamćenja vašeg tima. Operite, isperite i ponovite.
Ovo nije timski neuspjeh, već strukturni. Propadanje ljudskog pamćenja ne funkcionira u ciklusu od 12 mjeseci (bilo bi prilično cool da funkcionira), puno tih vrijednih informacija o obuci više ne postoji u glavi tima do trenutka kada im je to najpotrebnije - sljedeći put kada nešto zlonamjerno cilja vašu organizaciju.
Dokazano je da automatizirani ciklusi obuke nadmašuju njihove godišnje, ručne radionice iz samo jednog razloga: time što sigurnost imaju na umu tijekom cijele godine, a ne samo tijekom seminara. Obuka o svijesti o sigurnosti isporučeno putem automatizirane platforme omogućuje vam da dosegnete sve, pratite napredak i prilagođavate se na temelju stvarnog ponašanja – tako da tim koji prakticira dobru sigurnost radeći od kuće tijekom stresnog ožujka ima puno manje šanse da pogriješi u prosincu.
Model učenja "just-in-time"
Obuka zaposlenika o sigurnosnoj osviještenosti najučinkovitija je kada se provede u optimalno vrijeme. Na primjer, kada zaposlenik klikne na poveznicu za simulaciju phishinga, reakcija ne bi trebala biti samo prijava i prekid s tim. Umjesto toga, to je savršena prilika da im se odmah pruži kratki, usmjereni modul učenja.
Ovaj pristup, poznat i kao učenje „just-in-time“, pokazuje bolje stope zadržavanja zaposlenika od unaprijed zakazane obuke. Lekcija je izravno povezana s onim što se dogodilo. Zaposlenik se ne osjeća kažnjeno, već uči što treba izbjegavati upravo u pravom trenutku kada su mu te informacije najpotrebnije.
Izgradnja kulture izvještavanja bez okrivljavanja
Neizbježno je da će čak i najbolje obučeni zaposlenici s vremena na vrijeme pogriješiti. Razlika između manjeg incidenta i potpunog kršenja sigurnosti često je u tome koliko se brzo pogreška prijavi. Ako se zaposlenici boje odmazde, šutjet će. Kršenje sigurnosti će eskalirati. A dok netko konačno primijeti, oporavak će biti puno skuplji.
Zato je dobro definiran, nekažnjavajući proces prijavljivanja jedna od najvažnijih stvari koje organizacija može uvesti. Pokazuje zaposlenicima da je pronalaženje i prijavljivanje pogreške odmah ispravan odgovor – a ne nešto što se treba prikrivati. Također stvara alarme koje vaše sigurnosno osoblje može koristiti prije nego što povreda izmakne kontroli.
I ovo apsolutno govori o riziku od insajderskih prijetnji na način o kojem ne govorimo dovoljno često. Većina incidenata iznutra nije zlonamjerna. To su pogreške - netko instalira neovlašteni softver, prevari se napadom s izgovorom, pogrešno konfigurira cloud poslužitelj. Kultura sigurnosti u prijavljivanju hvata te prije nego što eskaliraju. Kultura okrivljavanja omogućuje im da se sakriju.
Kako učiniti da se sigurnost osjeća kao profesionalna vještina
Ponekad se gamifikacija smatra trivijalnom stvari, ali ona zapravo funkcionira jer mijenja kontekst: ova obuka nije nešto što se daje zaposlenicima, već nešto u čemu mogu biti dobri. Ljestvice najboljih, priznanja i značke za završetak potiču istu natjecateljsku i motivaciju za postignuće koja potiče ljude da teže profesionalnim certifikatima.
Kada zaposlenici počnu bilježiti napredak u svojoj sigurnosnoj svijesti ili primijete snažne rezultate svog tima u simulaciji phishinga, sigurnost više nije problem nekog računalnog štrebera, već identitet profesionalca. I tu se formira prava kultura kibernetičke sigurnosti – ne s postera, podloga za miša ili plišanih igračaka, niti s naljepnica s upozorenjima u priručniku za zaposlenike.
Usvajanje višestruke fazne autentifikacije (MFA), smanjenje shadow IT-a, pa čak i kulturni aspekti fizičke sigurnosti poput odgovarajućeg izazova za praćenje ili dovođenje zaposlenika u službu, poboljšavaju se kada zaposlenici prihvate ideju da su to ključni elementi za rad dobrog profesionalca. Ne forsirate usklađenost; forsirate kompetentnost.
Organizacije koje najbolje reagiraju na incidente nisu one koje imaju najnevjerojatniju sigurnosnu tehnologiju vrijednu X-Prizea. To su organizacije čiji su zaposlenici motivirani da budu profesionalno kompetentni i, kada vide nešto čudno, odmah traže podršku.