A legtöbb biztonsági megbeszélés teherként ábrázolja az alkalmazottakat. Ezt követően a biztosított képzés megerősíti ezt az elképzelést – hosszú éves prezentációkkal és riasztó következményekkel, amelyeket az alkalmazottak esetleges hibáira vázolnak fel. Ez a megközelítés félelmet, érdektelenséget kelt, és alig okoz viselkedésbeli változást. Létezik azonban egy alternatív megközelítés is, csak meg kell fordítani az előfeltevést.
Miért nem működik a félelemalapú képzés?
Szerint Verizon adatvédelmi incidensekkel kapcsolatos vizsgálati jelentésAz adatvédelmi incidensek 74%-ában emberi tényező játszik szerepet. Legyen szó akár sikeres pszichológiai manipulációról, hibáról vagy visszaélésről. Azok, akik ezeket a statisztikákat megosztják, gyakran arra használják őket, hogy az alkalmazottakat gyenge pontnak tekintsék, azonban a statisztika valójában azt mutatja, hogy az emberi viselkedés a támadás célpontja – és az emberi viselkedés az, ahol meg lehet állítani.
A félelemre épülő tréning ezt a statisztikát ítélkezésként tekinti. A tudatosságra épülő tréning pedig lehetőségként. Amikor az embereid rájönnek, hogy ők az első vonalbeli észlelés – nem pedig a gyenge láncszem –, megváltoztatják a gondolkodásmódjukat. Olyan dolgokat vesznek észre, amiket korábban soha. Felszólalnak, ahelyett, hogy némán reménykednének, hogy tévednek.
A technikai kontroll kevésbé számít, mint ez a pszichológiai.
Túllépve az éves jelölőnégyzeten
A munkavállalói biztonsági képzést a megfelelőségre összpontosító szemlélettel kell megközelíteni, és ebbe a körforgásba kell zárni magunkat. Beütemeznek egy foglalkozást, a csapat megjelenik (remélhetőleg), végignéz egy videót vagy prezentációt, kipipálják a biztonsági auditot, és semmi sem változik egészen jövőre ugyanekkor, amikor mindent elölről kell kezdeni. Addigra szinte az összes információ és kontextus már rég kikerült a csapat rövid távú memóriájából. Mosd meg, öblítsd le, és ismételd meg.
Ez nem csapathiba, hanem strukturális. Az emberi memória hanyatlása nem 12 hónapos ciklusokban működik (jó lenne, ha így lenne), mivel a képzésben hasznosítható értékes információk nagy része már nem létezik a csapat fejében, mire a legnagyobb szükségük lenne rá – amikor legközelebb valami rosszindulatú célba veszi a szervezetet.
Az automatizált képzési ciklusokról kimutatták, hogy pontosan egyetlen okból felülmúlják az éves, manuális workshopokat: azáltal, hogy a biztonságot egész évben szem előtt tartják, nem csak a szeminárium alatt. Biztonsági tudatosság képzés Egy automatizált platformon keresztül elérhető megoldás lehetővé teszi, hogy mindenkivel kapcsolatba lépjen, nyomon kövesse a haladást, és a tényleges viselkedés alapján alkalmazkodjon – így egy olyan csapat, amelyik a stresszes márciusban otthonról dolgozik, jó biztonsági gyakorlatokat gyakorol, sokkal kisebb valószínűséggel követ el hibákat decemberben.
A just-in-time tanulási modell
Az alkalmazottak biztonságtudatossági képzése akkor a leghatékonyabb, ha optimális időben kerül megrendezésre. Például, amikor egy alkalmazott egy adathalász szimulációs linkre kattint, a válasz nem az lehet, hogy egyszerűen jelentjük, és kész. Ehelyett ez a tökéletes alkalom arra, hogy azonnal egy rövid, fókuszált tanulási modult biztosítsunk nekik.
Ez a megközelítés, más néven just-in-time tanulás, jobb megtartási arányokat eredményez, mint az előre ütemezett képzés. A tanulság közvetlenül kapcsolódik a történtekhez. Az alkalmazott nem érzi magát büntetve, hanem megtanulja, mit kell elkerülnie, éppen a megfelelő pillanatban, amikor erre az információra a legnagyobb szükség van.
A hibáztatásmentes jelentéstételi kultúra kiépítése
Elkerülhetetlen, hogy még a legképzettebb alkalmazottak is hibázzanak időről időre. Egy kisebb incidens és egy teljes körű incidens közötti különbség gyakran az, hogy milyen gyorsan jelentik a hibát. Ha az alkalmazottak félnek a megtorlástól, akkor csendben maradnak. A jogsértés eszkalálódik. És mire valaki végre észreveszi, a helyreállítás sokkal költségesebb lesz.
Ezért egy jól meghatározott, nem büntető jellegű jelentési folyamat az egyik legfontosabb dolog, amit egy szervezet bevezethet. Megmutatja az alkalmazottaknak, hogy a hiba azonnali felfedezése és jelentése a helyes válasz – nem pedig valami, amit el kell titkolni. Emellett riasztásokat is hoz létre, amelyeket a biztonsági személyzet használhat, mielőtt a behatolás kicsúszik az irányítás alól.
És ez abszolút jól mutatja a belső fenyegetések kockázatát, amiről nem beszélünk elég gyakran. A legtöbb belső incidens nem rosszindulatú. Ezek hibák – valaki jogosulatlan szoftvert telepít, átverik egy ürügyes támadással, rosszul konfigurálnak egy felhőszervert. A biztonságos bejelentési kultúra még azelőtt észreveszi ezeket, mielőtt eszkalálódnának. A hibáztatás kultúrája lehetővé teszi számukra, hogy elrejtőzzenek.
A biztonság professzionális készségnek érződik
A gamifikációt néha triviális dolognak tartják, pedig valójában azért működik, mert megváltoztatja a kontextust: ez a képzés nem valami, amit az alkalmazottaknak adnak, hanem valami, amiben jók lehetnek. A ranglisták, az elismerések és a teljesítési jelvények ugyanazt a verseny- és teljesítménymotivációt váltják ki, ami az embereket szakmai képesítések megszerzésére ösztönzi.
Amikor az alkalmazottak elkezdik értékelni a biztonsági tudatosságuk terén elért haladásukat, vagy észreveszik csapatuk kiváló teljesítményét egy adathalász szimulációban, a biztonság már nem valami számítógépes kocka problémája, hanem egy szakember identitása. És itt alakul ki az igazi kiberbiztonsági kultúra – nem plakátokból, egérpadokból vagy bolyhos játékokból, és nem is a munkavállalói kézikönyv figyelmeztető matricáiból.
Az MFA bevezetése, az árnyék-IT csökkentése, sőt még a fizikai biztonsági kulturális szempontok, mint például a „tailgating” vagy a „piggybacking” megfelelő kihívása is, javulnak, ha az alkalmazottak elfogadják azt az elképzelést, hogy ezek a jó szakember működésének alapvető tétjei. Nem a megfelelést, hanem a kompetenciát erőlteted.
Nem azok a szervezetek reagálnak a legjobban az incidensekre, amelyek a leghihetetlenebb, X-díjas biztonsági technológiával rendelkeznek. Ezek azok a szervezetek, amelyek alkalmazottai motiváltak a szakmai hozzáértésre, és amikor valami furcsát látnak, azonnal segítséget kérnek.