Қауіпсіздік туралы көптеген талқылаулар қызметкерлерді жауапкершілік ретінде көрсетеді. Кейіннен, берілген тренинг бұл идеяны нығайтады – ұзақ жылдық презентациялар және қызметкерлер жіберуі мүмкін кез келген қателіктер үшін алаңдатарлық салдарлар айтылады. Бұл тәсіл қорқыныш, немқұрайлылық және мінез-құлықтың өзгеруін дерлік тудырады. Дегенмен, балама тәсіл бар, тек алғышартты кері қайтару керек.
Неліктен қорқынышқа негізделген жаттығулар сақталмайды
бойынша Verizon деректерінің бұзылуын тексеру туралы есепБарлық деректердің бұзылуының 74%-ы адам факторына байланысты. Бұл әлеуметтік инженерияның сәтті шабуылы, қателік немесе дұрыс пайдаланбау болсын. Бұл статистиканы бөлісетін адамдар оларды қызметкерлердің әлсіз жақ екенін көрсету үшін жиі пайдаланады, дегенмен, статистика шынымен де адамның мінез-құлқы шабуылдың нысанасы екенін көрсетеді - және оны тоқтатуға болатын жер - адамның мінез-құлқы.
Қорқынышқа негізделген оқыту бұл статистиканы бағалау ретінде қарастырады. Хабардарлыққа негізделген оқыту оны мүмкіндік ретінде қарастырады. Сіздің адамдарыңыз өздерінің әлсіз буын емес, бірінші анықтау желісі екенін түсінген кезде, олар ойлау қабілетін өзгертеді. Олар бұрын байқамаған нәрселерді байқайды. Олар қателескенін үнсіз үміттенудің орнына, ашық айтады.
Техникалық бақылау бұл психологиялық бақылаудан маңызды емес.
Жылдық құсбелгіден өтіп кету
Қызметкерлердің қауіпсіздігі бойынша оқытуға сәйкестікті бірінші орынға қою тұрғысынан қараңыз, сонда сіз өзіңізді осы циклге бекітесіз. Сессия жоспарланады, сіздің командаңыз келеді (үміттенемін), бейнені немесе презентацияны көреді, қауіпсіздік аудиті бойынша құсбелгі қойылады және келесі жылы дәл сол уақытқа дейін, сіз бәрін қайтадан жасағанға дейін ештеңе өзгермейді. Сол кезде барлық ақпарат пен контекст командаңыздың қысқа мерзімді жадынан шығып кеткен болады. Жуыңыз, шайыңыз және қайталаңыз.
Бұл команданың сәтсіздігі емес, құрылымдық сәтсіздік. Адамның жадының бұзылуы 12 айлық циклде жұмыс істемейді (егер солай болса, өте жақсы болар еді), сол құнды оқыту ақпаратының көп бөлігі командаға ең қажет болған кезде – келесі жолы зиянды нәрсе сіздің ұйымыңызға бағытталған кезде – оның басында болмайды.
Автоматтандырылған оқу циклдарының жыл сайынғы, нұсқаулық бойынша өткізілетін семинарлардан бір ғана себеппен асып түсетіні дәлелденген: қауіпсіздікті тек семинар кезінде ғана емес, жыл бойы ескеру арқылы. Қауіпсіздік туралы білім беру тренингі Автоматтандырылған платформа арқылы жеткізілетін ақпарат барлығына қол жеткізуге, прогресті бақылауға және нақты мінез-құлыққа негізделген бейімделуге мүмкіндік береді – сондықтан наурыз айындағы күйзеліс кезінде үйден жұмыс істейтін қауіпсіздікті жақсы ұстанатын команда желтоқсанда қателіктер жіберуі әлдеқайда аз.
Уақытында оқу моделі
Қызметкерлердің қауіпсіздігі туралы хабардарлықты арттыру бойынша оқыту оңтайлы уақытта өткізілгенде ең тиімді болады. Мысалы, қызметкер фишингтік модельдеу сілтемесін басқан кезде, жауап тек оларға хабарлап, онымен айналысу болмауы керек. Керісінше, бұл оларға қысқа, бағытталған оқу модулін бірден ұсынуға тамаша мүмкіндік.
Бұл тәсіл, сондай-ақ уақытында оқыту деп аталады, алдын ала жоспарланған оқытуға қарағанда жақсы есте сақтау көрсеткіштерін көрсетеді. Сабақ болған оқиғамен тікелей байланысты. Қызметкер өзін жазаланғандай сезінбейді, керісінше, бұл ақпарат ең қажет болған кезде неден аулақ болу керектігін дәл сол сәтте үйренеді.
Кінәсіз есеп беру мәдениетін қалыптастыру
Тіпті ең жақсы дайындалған қызметкерлердің де анда-санда қателіктер жіберуі сөзсіз. Кішігірім оқиға мен толықтай бұзушылықтың айырмашылығы көбінесе қате туралы қаншалықты тез хабарланатынында. Егер қызметкерлер кек алудан қорқатын болса, олар үндемейді. Бұзушылық ушығады. Ал біреу ақыры байқағанша, қалпына келтіру әлдеқайда қымбатқа түседі.
Сондықтан нақты анықталған, жазасыз есеп беру процесі ұйым енгізе алатын ең маңызды нәрселердің бірі болып табылады. Бұл қызметкерлерге қатені бірден тауып, хабарлау дұрыс жауап екенін, жасыруға болмайтынын көрсетеді. Сондай-ақ, қауіпсіздік қызметкерлері бұзушылық бақылаудан шыққанға дейін пайдалана алатын дабылдарды жасайды.
Бұл инсайдерлік қауіп-қатер туралы біз жиі айта бермейтін тәсілмен толық айтады. Инсайдерлік оқиғалардың көпшілігі зиянды емес. Олар қателіктер – біреу рұқсатсыз бағдарламалық жасақтаманы орнатуы, сылтаурататын шабуылға алдануы, бұлттық серверді дұрыс конфигурацияламауы. Хабарлаудағы қауіпсіздік мәдениеті оларды ушығып кетпес бұрын ұстайды. Кінәлау мәдениеті олардың жасырынуына мүмкіндік береді.
Қауіпсіздікті кәсіби шеберлік сияқты сезіндіру
Кейде ойындандыру маңызды емес нәрсе болып саналады, бірақ ол іс жүзінде жұмыс істейді, себебі ол контекстті өзгертеді: бұл оқыту қызметкерлерге берілетін нәрсе емес, олар жақсы істей алатын нәрсе. Көшбасшылар тақтасы, марапаттау және аяқтау белгілері адамдарды кәсіби сертификаттарға ұмтылуға итермелейтін бәсекелестік пен жетістікке деген ынтаны тудырады.
Қызметкерлер өздерінің қауіпсіздік туралы хабардарлығының ілгерілеуін байқай бастағанда немесе фишинг симуляциясында командасының жақсы жұмыс істегенін байқағанда, қауіпсіздік енді компьютерлік білімпаздың мәселесі емес, кәсіби маманның жеке басы болып табылады. Міне, нағыз киберқауіпсіздік мәдениеті осы жерде қалыптасады – плакаттардан, тышқан жастықшаларынан немесе жұмсақ ойыншықтардан емес, қызметкерлерге арналған нұсқаулықтағы ескерту стикерлерінен емес.
Қызметкерлер жақсы маманның қалай жұмыс істейтініне әсер ететін факторлардың бірі - бұл идеяны қабылдаған кезде, MFA-ны енгізу, көлеңкелі IT қысқарту және тіпті физикалық қауіпсіздіктің мәдени аспектілері, мысалы, қосымша жұмысқа орналасу немесе қосымша жұмысқа орналасу үшін тиісті сынақтар, жақсарады. Сіз сәйкестікті талап етпейсіз; сіз құзыреттілікті талап етесіз.
Оқиғаларға ең жақсы жауап беретін ұйымдар - ең керемет, X-Prize марапатына лайық қауіпсіздік технологиясына ие ұйымдар емес. Бұл қызметкерлері кәсіби білікті болуға ынталы және біртүрлі нәрсе көргенде дереу көмек сұрайтын ұйымдар.