Flestar umræður um öryggi lýsa starfsmönnum sem ábyrgð. Í kjölfarið styrkir þjálfunin sem veitt er þessa hugmynd – með löngum árlegum kynningum og ógnvekjandi afleiðingum sem lýst er fyrir öll mistök sem starfsmenn kunna að gera. Þessi aðferð vekur ótta, áhugaleysi og varla neinar breytingar á hegðun. Hins vegar er önnur aðferð í boði, forsendan þarf bara að snúa við.
Af hverju þjálfun byggð á ótta virkar ekki
Samkvæmt Skýrsla um rannsókn á gagnaleka hjá VerizonÍ 74% allra gagnaleka felst mannlegi þátturinn. Hvort sem um er að ræða vel heppnaða félagslega verkfræðiárás, mistök eða misnotkun. Fólk sem deilir þessari tölfræði notar hana oft til að gefa til kynna að starfsmenn séu veikleiki, en tölfræðin sýnir í raun að mannleg hegðun er skotmark árásar – og mannleg hegðun er líka þar sem hægt er að stöðva hana.
Þjálfun byggð á ótta lítur á þessa tölfræði sem dómgreind. Meðvitundarþjálfun lítur á hana sem tækifæri. Þegar fólk þitt áttar sig á því að það er fyrsta uppgötvunarlínan – ekki veikur hlekkur – breyta þau hugarfari sínu. Þau taka eftir hlutum sem þau tóku aldrei eftir áður. Þau tjá sig frekar en að vona í hljóði að þau hafi rangt fyrir sér.
Tæknileg stjórn skiptir minna máli en þessi sálfræðilega.
Að fara framhjá árlega gátreitnum
Þegar þú nálgast öryggisþjálfun starfsmanna með það að leiðarljósi að reglufylgni sé í fyrirrúmi, þá festist þú í þeirri hringrás sem þú læsir þig í. Fundur er bókaður, teymið þitt mætir (vonandi), situr í gegnum myndband eða kynningu, hakað er við reit í öryggisúttektinni og ekkert breytist fyrr en á sama tíma næsta ár, þegar þú gerir allt aftur. Þá eru næstum allar þessar upplýsingar og samhengi löngu úreltar skammtímaminni teymisins. Þvoið, skolið og endurtakið.
Þetta er ekki teymisbrestur, heldur kerfisbundinn. Minnisbrestur manna virkar ekki á 12 mánaða hringrás (það væri frekar flott ef svo væri). Margar af þessum verðmætu þjálfunarupplýsingum eru ekki lengur til staðar í höfði teymisins þegar það þarfnast þeirra mest – næst þegar eitthvað illgjarnt beinist að fyrirtækinu þínu.
Sjálfvirkar þjálfunarlotur hafa reynst betri en árlegir, handvirkir vinnustofur af nákvæmlega einni ástæðu: með því að hafa öryggi í huga allt árið, ekki bara á meðan á námskeiðinu stendur. Þjálfun í öryggisvitund Með sjálfvirkum vettvangi er hægt að ná til allra, fylgjast með framvindu og aðlagast út frá raunverulegri hegðun – þannig að teymi sem vinnur vel að heiman í stressandi marsmánuði er mun ólíklegt að gera mistök í desember.
Námslíkanið „rétt í tíma“
Öryggisþjálfun starfsmanna er áhrifaríkust þegar hún er veitt á réttum tíma. Til dæmis, þegar starfsmaður smellir á tengil fyrir phishing-hermun, ætti viðbrögðin ekki að vera bara að tilkynna viðkomandi og vera búinn með það. Þess í stað er það kjörið tækifæri til að veita þeim stutta, markvissa námseiningu strax.
Þessi aðferð, einnig þekkt sem rétt-í-tíma nám, skilar betri varðveisluhlutfalli en fyrirfram ákveðin þjálfun. Lærdómurinn tengist beint því sem gerðist. Starfsmaðurinn finnur ekki fyrir refsingu heldur lærir í staðinn hvað hann á að forðast á réttum tíma þegar þessar upplýsingar eru mest nauðsynlegar.
Að byggja upp menningu þar sem enginn lýsir ásökunum um skýrslugjöf
Það er óhjákvæmilegt að jafnvel best þjálfaðir starfsmenn geri mistök öðru hvoru. Munurinn á minniháttar atviki og algeru broti felst oft í því hversu fljótt mistökin eru tilkynnt. Ef starfsmenn óttast hefndaraðgerðir þegja þeir. Brotið mun stigmagnast. Og þegar einhver tekur loksins eftir því verða viðgerðirnar mun dýrari.
Þess vegna er vel skilgreint tilkynningarferli án refsiverðra aðgerða eitt það mikilvægasta sem fyrirtæki getur komið á. Það sýnir starfsmönnum að það að finna og tilkynna mistök strax er rétta viðbrögðin – ekki eitthvað sem á að hylma yfir. Það býr einnig til viðvörunarkerfi sem öryggisstarfsfólk getur notað áður en brot fer úr böndunum.
Og þetta lýsir vel hættunni á innri ógn á þann hátt sem við tölum ekki nógu oft um. Flest innri atvik eru ekki illgjörn. Þau eru mistök - einhver setur upp óheimilan hugbúnað, lætur blekkjast af undirliggjandi árás, eða stillir skýjaþjón rangt. Öryggismenning í tilkynningum grípur þá áður en þeir stigmagnast. Menning ásakana leyfir þeim að fela sig.
Að láta öryggi líða eins og fagleg færni
Stundum er leikvæðing talin ómerkileg, en hún virkar í raun vegna þess að hún breytir samhenginu: þessi þjálfun er ekki eitthvað sem starfsmenn fá, heldur eitthvað sem þeir geta verið góðir í. Stigatafla, viðurkenningar og lokamerki virkja sömu samkeppnis- og afrekshvöt og fær fólk til að sækjast eftir faglegum vottorðum.
Þegar starfsmenn byrja að taka eftir framförum sínum í öryggisvitund eða taka eftir góðri frammistöðu teymisins í phishing-hermun, þá er öryggi ekki lengur vandamál einhvers tölvunörds, heldur sjálfsmynd fagmannsins. Og það er þar sem hin raunverulega netöryggismenning myndast – ekki frá veggspjöldum, músarmottum eða loðnum leikföngum, né frá viðvörunarlímmiðum í starfsmannahandbókinni.
Innleiðing utanríkisráðuneytis (MFA), minnkun skuggaupplýsingatækni og jafnvel menningarlegir þættir í líkamlegu öryggi, eins og viðeigandi áskorun fyrir að vinna með öðrum eða taka þátt í vinnunni, batna þegar starfsmenn tileinka sér þá hugmynd að þetta séu lykilatriði í því hvernig góður fagmaður starfar. Þú ert ekki að þrýsta á reglufylgni; þú ert að þrýsta á hæfni.
Þær stofnanir sem bregðast best við atvikum eru ekki þær sem búa yfir ótrúlegustu öryggistækni sem verðskuldar X-verðlaun. Þær eru stofnanir þar sem starfsmenn eru hvattir til að vera faglega hæfir og leita tafarlaust aðstoðar þegar þeir sjá eitthvað óvenjulegt.