Umume diskusi keamanan nggambarake karyawan minangka tanggung jawab. Sabanjure, pelatihan sing diwenehake nguatake ide iki - kanthi presentasi taunan sing dawa, lan akibat sing nguwatirake sing digarisake kanggo kesalahan apa wae sing bisa ditindakake karyawan. Pendekatan iki nandur rasa wedi, ora kasengsem, lan meh ora ana owah-owahan prilaku. Nanging, pendekatan alternatif kasedhiya, premis kasebut mung kudu dibalikke.
Apa sebabe latihan adhedhasar rasa wedi ora bisa ditindakake
Miturut Laporan Investigasi Pelanggaran Data Verizon, 74% saka kabeh pelanggaran data nglibatake unsur manungsa. Apa iku serangan rekayasa sosial sing sukses, kesalahan, utawa penyalahgunaan. Wong sing nuduhake statistik iki asring nggunakake kanggo nuduhake yen karyawan minangka kelemahane, nanging statistik kasebut nuduhake yen prilaku manungsa minangka target serangan - lan prilaku manungsa uga minangka papan sing bisa sampeyan mandhegake.
Latihan adhedhasar rasa wedi ndeleng statistik kasebut minangka penilaian. Latihan adhedhasar kesadaran ndeleng minangka kesempatan. Nalika wong-wongmu ngerti yen dheweke minangka garis deteksi pertama - dudu mata rantai sing ringkih - dheweke ngganti pola pikir. Dheweke nggatekake bab-bab sing durung nate digatekake sadurunge. Dheweke ngomong, tinimbang meneng-meneng ngarep-arep yen dheweke salah.
Kontrol teknis kurang penting tinimbang kontrol psikologis iki.
Ngliwati kothak centhang taunan
Coba pendekatan pelatihan keamanan karyawan saka pola pikir kepatuhan sing paling utama, lan iki siklus sing sampeyan lakoni dhewe. Sesi dijadwalake, tim sampeyan teka (muga-muga), nonton video utawa presentasi, ana kothak sing dicenthang ing audit keamanan sampeyan, lan ora ana sing owah nganti wektu sing padha taun ngarep, nalika sampeyan nindakake kabeh maneh. Ing wektu kasebut, meh kabeh informasi lan konteks kasebut wis suwe metu saka memori jangka pendek tim sampeyan. Wisuh, bilas, lan baleni maneh.
Iki dudu kegagalan tim, iki kegagalan struktural. Pembusukan memori manungsa ora mlaku sajrone siklus 12 sasi, (mesthi bakal keren yen pancen ngono) akeh informasi pelatihan sing penting ora ana maneh ing pikiran tim nalika paling dibutuhake - yen sabanjure ana kedadeyan sing ala sing ngincer organisasi sampeyan.
Siklus pelatihan otomatis wis kabukten luwih unggul tinimbang lokakarya manual taunan amarga siji alesan: kanthi njaga keamanan sajrone setaun, ora mung sajrone seminar. Latihan kesadaran keamanan Dikirim liwat platform otomatis ngidini sampeyan nggayuh kabeh wong, nglacak kemajuan, lan adaptasi adhedhasar prilaku nyata - saengga tim sing ngetrapake keamanan sing apik nalika kerja saka omah sajrone Maret sing stres luwih cenderung ora nggawe kesalahan ing Desember.
Model pembelajaran just-in-time
Pelatihan kesadaran keamanan karyawan paling efektif nalika diwenehake ing wektu sing optimal. Contone, nalika karyawan ngeklik link simulasi phishing, respon ora mung nglaporake lan rampung. Nanging, iku kesempatan sing sampurna kanggo menehi modul pembelajaran sing cendhak lan fokus langsung.
Pendekatan iki, uga dikenal minangka just-in-time learning, nglaporake tingkat retensi sing luwih apik tinimbang pelatihan sing wis dijadwalake. Piwulang kasebut ana hubungane langsung karo apa sing kedadeyan. Karyawan ora rumangsa diukum nanging sinau apa sing kudu dihindari ing wektu sing tepat nalika informasi iki paling dibutuhake.
Mbangun budaya pelaporan tanpa kesalahan
Ora bisa dihindari yen karyawan sing paling trampil sekalipun mesthi bakal nggawe kesalahan saka wektu kanggo wektu. Bedane antarane kedadeyan cilik lan pelanggaran gedhe asring gumantung saka cepete kesalahan kasebut dilaporake. Yen karyawan wedi dibales, dheweke bakal meneng wae. Pelanggaran kasebut bakal saya parah. Lan nalika ana wong sing ngerti, pemulihan bakal luwih larang.
Mulané, proses pelaporan sing jelas lan ora ngukum minangka salah sawijining perkara sing paling penting sing bisa ditindakake organisasi. Iki nuduhake karyawan manawa nemokake lan nglaporake kesalahan kanthi cepet minangka respon sing bener - dudu perkara sing kudu ditutup-tutupi. Iki uga nggawe alarm sing bisa digunakake staf keamanan sadurunge pelanggaran dadi ora terkendali.
Lan iki pancen nuduhake risiko ancaman saka njero kanthi cara sing arang banget dirembug. Umume kedadeyan saka njero ora mbebayani. Iku mung kesalahan - ana wong sing nginstal piranti lunak sing ora sah, diapusi dening serangan alesan, salah konfigurasi server maya. Budaya keamanan nalika nglaporake bisa nyekel kabeh mau sadurunge saya parah. Budaya nyalahke ngidini dheweke ndhelik.
Nggawe keamanan krasa kaya katrampilan profesional
Kadhangkala gamifikasi dianggep perkara sing sepele, nanging sejatine efektif amarga ngowahi konteks: pelatihan iki dudu perkara sing diwenehake marang karyawan, nanging perkara sing bisa digarap kanthi apik. Papan peringkat, pangenalan, lan lencana penyelesaian micu motivasi kompetitif lan prestasi sing padha sing ndadekake wong nguber sertifikasi profesional.
Nalika karyawan wiwit nandhani kemajuan kesadaran keamanan utawa weruh kinerja tim sing kuwat ing simulasi phishing, keamanan dudu masalah wong sing pinter komputer maneh, nanging identitas profesional. Lan ing kono budaya keamanan siber sing sejati kawangun - dudu saka poster, alas mouse utawa dolanan alus, utawa saka stiker peringatan ing buku pandhuan karyawan.
Adopsi MFA, pengurangan IT bayangan, lan malah aspek budaya keamanan fisik kaya tantangan sing tepat kanggo tailgating utawa piggybacking, saya apik nalika karyawan percaya karo ide manawa iki minangka taruhan kanggo kepiye profesional sing apik beroperasi. Sampeyan ora meksa kepatuhan; sampeyan meksa kompetensi.
Organisasi sing paling apik nanggepi kedadeyan dudu organisasi sing duwe teknologi keamanan sing paling luar biasa lan pantes entuk X-Prize. Organisasi kasebut yaiku organisasi sing karyawane duwe motivasi supaya kompeten sacara profesional, lan nalika ndeleng kedadeyan sing aneh, langsung golek dhukungan.