מסכים דיגיטליים מציגים נתונים על רקע של מעגל מודפס

כיצד להפוך את כוח העבודה שלך לחומת אש אנושית פרואקטיבית

by

רוב דיוני האבטחה מתארים את העובדים כנטל. כתוצאה מכך, ההכשרה הניתנת מחזקת רעיון זה - עם מצגות שנתיות ארוכות, והשלכות מדאיגות המתוארות על כל טעות שעובדים עלולים לעשות. גישה זו מטמיעה פחד, חוסר עניין וכמעט ללא שינוי התנהגותי. עם זאת, קיימת גישה חלופית, רק צריך להפוך את הנחת היסוד.

למה אימון מבוסס פחד לא עובד

על פי דוח חקירות הפרת נתונים של Verizon74% מכלל פרצות הנתונים כרוכות בגורם האנושי. בין אם מדובר במתקפת הנדסה חברתית מוצלחת, שגיאה או שימוש לרעה. אנשים שחולקים את הסטטיסטיקות הללו משתמשים בהן לעתים קרובות כדי לציין שעובדים הם חולשה, אולם הסטטיסטיקה באמת מראה שהתנהגות אנושית היא מטרה למתקפה - והתנהגות אנושית היא גם המקום שבו ניתן לעצור אותה.

אימון מבוסס פחד רואה את הסטטיסטיקה הזו כשיפוט. אימון מבוסס מודעות רואה בה הזדמנות. כאשר אנשיך מבינים שהם קו הגילוי הראשון - לא חוליה חלשה - הם משנים את גישתם. הם שמים לב לדברים שמעולם לא שמו לב אליהם קודם. הם מדברים, במקום לקוות בשקט שהם טועים.

שליטה טכנית חשובה פחות מהשליטה הפסיכולוגית הזו.

מעבר לתיבת הסימון השנתית

גשו להדרכת אבטחת עובדים מתוך חשיבה של ציות לצרכים, וזהו המעגל שבו אתם נעלמים את עצמכם. מפגש נקבע, הצוות שלכם מופיע (בתקווה), צופה בסרטון או במצגת, סימון בביקורת האבטחה שלכם מסומן, ושום דבר לא משתנה עד לאותו הזמן בשנה הבאה, אז תעשו הכל שוב מההתחלה. בשלב זה, כמעט כל המידע וההקשר הזה כבר יצאו מזיכרון הטווח הקצר של הצוות שלכם. שטפו, שטפו וחזרו על הפעולה.

זה לא כישלון צוותי, זה כישלון מבני. דעיכת זיכרון אנושי לא פועלת במחזור של 12 חודשים (זה היה די מגניב אם זה היה קורה), הרבה ממידע ההדרכה היקר הזה כבר לא קיים בראש של הצוות כשהוא הכי זקוק לו - בפעם הבאה שמשהו זדוני מכוון אל הארגון שלך.

מחזורי הדרכה אוטומטיים הוכחו כבעלי ביצועים טובים יותר מהסדנאות הידניות השנתיות שלהם מסיבה אחת בדיוק: על ידי שמירה על אבטחה לאורך כל השנה, לא רק במהלך הסמינר. אימון למודעות ביטחונית המועבר דרך פלטפורמה אוטומטית מאפשר לך להגיע לכולם, לעקוב אחר ההתקדמות ולהסתגל בהתאם להתנהגות בפועל - כך שצוות שמייעץ לגבי אבטחה טובה בעבודה מהבית במהלך חודש מרץ מלחיץ, נוטה הרבה פחות לעשות טעויות בדצמבר.

מודל הלמידה בדיוק בזמן

הכשרת מודעות לאבטחת עובדים יעילה ביותר כאשר היא מועברת בזמן האופטימלי. לדוגמה, כאשר עובד לוחץ על קישור לסימולציית פישינג, התגובה לא צריכה להיות פשוט לדווח עליו ולסיים עם זה. במקום זאת, זוהי ההזדמנות המושלמת לספק לו מודול למידה קצר וממוקד באופן מיידי.

גישה זו, המכונה גם למידה בזמן אמת (Just-in-Time learning), מדווחת על שיעורי שימור טובים יותר מאשר הכשרה מתוכננת מראש. הלקח קשור ישירות למה שקרה. העובד אינו מרגיש נענש אלא לומד ממה להימנע בדיוק ברגע הנכון, כאשר מידע זה נחוץ ביותר.

בניית תרבות של דיווח ללא אשמה

בלתי נמנע שאפילו העובדים המאומנים ביותר יעשו טעויות מעת לעת. ההבדל בין תקרית קלה לפריצה כוללת הוא לעתים קרובות כמה מהר הטעות מדווחת. אם עובדים חוששים מנקמה, הם ישתקו. הפריצה תסלים. ועד שמישהו סוף סוף ישים לב, ההתאוששות תהיה יקרה הרבה יותר.

זו הסיבה שתהליך דיווח מוגדר היטב ולא מעניש הוא אחד הדברים החשובים ביותר שארגון יכול ליישם. הוא מראה לעובדים שגילוי ודיווח מיידי על טעות הם התגובה הנכונה - לא משהו שצריך להסתיר. הוא גם יוצר אזעקות שצוות האבטחה שלכם יכול להשתמש בהן לפני שהפרצה יוצאת משליטה.

וזה בהחלט מדבר על הסיכון של איום פנימי בצורה שאנחנו לא מדברים עליה מספיק פעמים. רוב אירועי הפנייה הפנימית אינם זדוניים. אלה טעויות - מישהו מתקין תוכנה לא מורשית, נפל על ידי מתקפת תירוץ, הגדרת שרת ענן שגויה. תרבות של בטיחות בדיווח תופסת את אלה לפני שהם מתעצמים. תרבות של האשמה מאפשרת להם להסתתר.

לגרום לאבטחה להרגיש כמו מיומנות מקצועית

לפעמים גיימיפיקציה נחשבת לדבר טריוויאלי, אבל היא באמת עובדת כי היא משנה את ההקשר: הכשרה זו אינה משהו שניתן לעובדים, אלא משהו שהם יכולים להיות טובים בו. לוחות הישגים, הכרה ותגי השלמה מפעילים את אותה מוטיבציה תחרותית והישגית שגורמת לאנשים לשאוף להסמכות מקצועיות.

כאשר עובדים מתחילים לסמן את התקדמותם במודעות האבטחה או מבחינים בביצועים חזקים של הצוות שלהם בסימולציית פישינג, אבטחה אינה עוד בעיה של חנון מחשבים, אלא זהות של איש מקצוע. וכאן נוצרת תרבות אבטחת הסייבר האמיתית - לא מפוסטרים, משטחי עכבר או צעצועים רכים, וגם לא ממדבקות אזהרה במדריך לעובדים.

אימוץ תוכניות MFA, צמצום פעולות צלליות (shadow IT) ואפילו היבטים תרבותיים של אבטחה פיזית כמו אתגר ראוי לביצוע פעולות tailgate או piggybacking, משתפרים כאשר עובדים מקבלים את הרעיון שאלו הן גורם מרכזי בפעולתו של איש מקצוע טוב. אתם לא דוחפים לציות; אתם דוחפים למיומנות.

הארגונים שמגיבים בצורה הטובה ביותר לאירועים אינם אלו שיש להם את טכנולוגיית האבטחה המדהימה ביותר, הראויה לפרס X. אלו הארגונים שעובדיהם מונעים להיות בעלי יכולת מקצועית, וכאשר הם רואים משהו מוזר, פונים מיד לתמיכה.