Lielākajā daļā drošības diskusiju darbinieki tiek attēloti kā atbildība. Pēc tam sniegtās apmācības šo ideju pastiprina – ar garām ikgadējām prezentācijām un satraucošām sekām, kas izklāstītas par jebkādām darbinieku pieļautajām kļūdām. Šāda pieeja iedveš bailes, neieinteresētību un praktiski nemaina uzvedību. Tomēr ir pieejama arī alternatīva pieeja, tikai ir jāmaina pieņēmums.
Kāpēc uz bailēm balstīta apmācība nedarbojas
Saskaņā ar Verizon datu pārkāpumu izmeklēšanas ziņojums74% no visiem datu pārkāpumiem ir saistīti ar cilvēcisko faktoru. Neatkarīgi no tā, vai tas ir veiksmīgs sociālās inženierijas uzbrukums, kļūda vai ļaunprātīga izmantošana. Cilvēki, kas dalās ar šo statistiku, bieži to izmanto, lai norādītu, ka darbinieki ir vājā vieta, tomēr statistika patiesībā parāda, ka uzbrukuma mērķis ir cilvēka uzvedība, un cilvēka uzvedība ir arī vieta, kur to var apturēt.
Uz bailēm balstīta apmācība šo statistiku uztver kā spriedumu. Apzināšanās balstīta apmācība to uztver kā iespēju. Kad jūsu darbinieki saprot, ka viņi ir pirmā atklāšanas līnija, nevis vājais posms, viņi maina savu domāšanu. Viņi pamana lietas, ko iepriekš nekad nav pamanījuši. Viņi izsakās, nevis klusībā cer, ka kļūdās.
Tehniskā kontrole ir mazāk svarīga nekā šī psiholoģiskā.
Atkāpjoties no ikgadējās izvēles rūtiņas
Pieejiet darbinieku drošības apmācībai, koncentrējoties uz atbilstību prasībām, un šis ir aplis, kurā jūs sevi ieslēdzat. Tiek ieplānota sesija, jūsu komanda ierodas (cerams), noskatās video vai prezentāciju, tiek atzīmēta rūtiņa drošības auditā, un nekas nemainās līdz nākamajam gadam tajā pašā laikā, kad jūs visu darīsiet vēlreiz. Līdz tam laikam gandrīz visa šī informācija un konteksts jau sen ir izgājis no jūsu komandas īstermiņa atmiņas. Mazgāt, noskalot un atkārtot.
Tā nav komandas neveiksme, tā ir strukturāla. Cilvēka atmiņas sabrukšana nenotiek 12 mēnešu ciklā (būtu diezgan forši, ja tā notiktu), jo liela daļa šīs vērtīgās apmācības informācijas vairs nepastāv komandas galvā līdz brīdim, kad tā visvairāk nepieciešama – nākamajai reizei, kad jūsu organizāciju uzbrūk kaut kas ļaunprātīgs.
Ir pierādīts, ka automatizēti apmācību cikli pārspēj ikgadējos, manuālos seminārus tieši viena iemesla dēļ: paturot prātā drošību visa gada garumā, ne tikai semināra laikā. Drošības izpratnes apmācība piegādāts, izmantojot automatizētu platformu, ļauj sazināties ar visiem, izsekot progresam un pielāgoties, pamatojoties uz faktisko uzvedību, tāpēc komanda, kas stresa pilnā marta laikā ievēro labu drošību, decembrī pieļauj daudz mazākas kļūdas.
Tieši laikā mācīšanās modelis
Darbinieku drošības izpratnes apmācība ir visefektīvākā, ja tā tiek sniegta optimālā laikā. Piemēram, kad darbinieks noklikšķina uz pikšķerēšanas simulācijas saites, reakcijai nevajadzētu būt vienkārši ziņot par viņu un aizmirst par to. Tā vietā tā ir lieliska iespēja nekavējoties sniegt viņiem īsu, koncentrētu mācību moduli.
Šī pieeja, kas pazīstama arī kā “just-in-time learning” (tieši laikā balstīta mācīšanās), nodrošina labākus noturības rādītājus nekā iepriekš plānotas apmācības. Nodarbība ir tieši saistīta ar notikušo. Darbinieks nejūtas sodīts, bet gan uzzina, no kā izvairīties, tieši īstajā brīdī, kad šī informācija ir visvairāk nepieciešama.
Veidojot ziņošanas kultūru bez vainas izteikšanas
Ir neizbēgami, ka pat visprecīzāk apmācītie darbinieki laiku pa laikam pieļauj kļūdas. Atšķirība starp nelielu incidentu un pilnīgu pārkāpumu bieži vien ir tas, cik ātri par kļūdu tiek ziņots. Ja darbinieki baidās no atriebības, viņi klusēs. Pārkāpums saasināsies. Un, kad kāds beidzot to pamanīs, atgūšana būs daudz dārgāka.
Tāpēc labi definēts, nesodošs ziņošanas process ir viena no svarīgākajām lietām, ko organizācija var ieviest. Tas parāda darbiniekiem, ka kļūdas atrašana un ziņošana par to nekavējoties ir pareizā reakcija, nevis kaut kas tāds, ko var noslēpt. Tas arī rada trauksmes signālus, ko jūsu drošības darbinieki var izmantot, pirms pārkāpums kļūst nekontrolējams.
Un tas absolūti liecina par iekšējās informācijas apdraudējuma risku tādā veidā, par ko mēs nerunājam pietiekami bieži. Lielākā daļa iekšējās informācijas incidentu nav ļaunprātīgi. Tās ir kļūdas – kāds instalē neatļautu programmatūru, tiek apmānīts ar iegansta uzbrukumu, nepareizi konfigurē mākoņserveri. Drošības kultūra ziņošanā pieķer šīs kļūdas, pirms tās saasinās. Vainošanas kultūra ļauj tām slēpties.
Padarīt drošību par profesionālu prasmi
Dažreiz gamifikācija tiek uzskatīta par triviālu lietu, taču tā patiesībā darbojas, jo maina kontekstu: šī apmācība nav kaut kas, kas tiek sniegts darbiniekiem, tā ir kaut kas, kurā viņi var būt labi. Līderu saraksti, atzinība un pabeigšanas nozīmītes izraisa tādu pašu konkurences un sasniegumu motivāciju, kas mudina cilvēkus iegūt profesionālas sertifikācijas.
Kad darbinieki sāk atzīmēt savu drošības izpratnes progresu vai pamana labu komandas sniegumu pikšķerēšanas simulācijā, drošība vairs nav kāda datornūģa problēma, bet gan profesionāļa identitāte. Un tieši tur veidojas īstā kiberdrošības kultūra – nevis no plakātiem, peles paliktņiem vai pūkainām rotaļlietām, ne arī no brīdinājuma uzlīmēm darbinieku rokasgrāmatā.
MFA ieviešana, ēnu IT samazināšana un pat fiziskās drošības kultūras aspekti, piemēram, pienācīga izaicināšana attiecībā uz atkārtotu iesaistīšanos vai līdzdalību, uzlabojas, ja darbinieki pieņem domu, ka tie ir kā kritēriji, kas nosaka, kā darbojas labs profesionālis. Jūs neuzstādāt atbilstību, jūs cenšaties panākt kompetenci.
Organizācijas, kas vislabāk reaģē uz incidentiem, nav tās, kurām ir visneticamākās, X balvu cienīgās drošības tehnoloģijas. Tās ir organizācijas, kuru darbinieki ir motivēti būt profesionāli kompetenti un, ieraugot kaut ko dīvainu, nekavējoties meklē atbalstu.