Повеќето дискусии за безбедноста ги прикажуваат вработените како одговорност. Последователно, обезбедената обука ја зајакнува оваа идеја - со долги годишни презентации и алармантни последици наведени за какви било грешки што би можеле да ги направат вработените. Овој пристап влева страв, незаинтересираност и речиси никаква промена во однесувањето. Сепак, достапен е алтернативен пристап, само треба да се смени претпоставката.
Зошто тренингот базиран на страв не е ефикасен
Според Извештај за истраги за кршење на податоците на Verizon, 74% од сите прекршувања на безбедноста на податоците вклучуваат човечки елемент. Без разлика дали станува збор за успешен напад со социјално инженерство, грешка или злоупотреба. Луѓето кои ги споделуваат овие статистики често ги користат за да покажат дека вработените се слабост, меѓутоа, статистиката навистина покажува дека човечкото однесување е цел на нападот - а човечкото однесување е исто така местото каде што можете да го спречите.
Обуката базирана на страв ја гледа таа статистика како проценка. Обуката базирана на свест ја гледа како можност. Кога вашите луѓе ќе сфатат дека се првата линија на откривање - а не слаба алка - тие го менуваат својот начин на размислување. Тие забележуваат работи што никогаш порано не ги забележале. Тие зборуваат, наместо тивко да се надеваат дека грешат.
Техничката контрола е помалку важна од оваа психолошка.
Преминување на годишното поле за избор
Пристапете кон обуката за безбедност на вработените од начин на размислување „усогласеноста е пред сè“, и ова е циклусот во кој се заклучувате. Закажана е сесија, вашиот тим се појавува (се надевам), гледа видео или презентација, се штиклира поле на вашата безбедносна ревизија и ништо не се менува до истото време следната година, кога ќе го направите сето тоа одново. До тој момент, речиси сите тие информации и контекст одамна се надвор од краткорочната меморија на вашиот тим. Измијте, исплакнете и повторете.
Ова не е тимски неуспех, туку структурен. Распаѓањето на човечката меморија не функционира на 12-месечен циклус (би било доста кул ако функционираше) многу од тие вредни информации за обука повеќе не постојат во главата на тимот додека им се најпотребни - следниот пат кога нешто злонамерно ќе ја таргетира вашата организација.
Докажано е дека автоматизираните циклуси на обука ги надминуваат нивните годишни, рачни работилници токму од една причина: со тоа што ја имаат безбедноста предвид во текот на целата година, а не само за време на семинарот. Обука за безбедносна свест доставено преку автоматизирана платформа ви овозможува да допрете до сите, да го следите напредокот и да се прилагодувате врз основа на реалното однесување - така што тим кој практикува добра безбедност работејќи од дома за време на стресен март има многу помала веројатност да направи грешки во декември.
Моделот на учење „точно на време“
Обуката за безбедносна свест на вработените е најефикасна кога се спроведува во оптимално време. На пример, кога вработениот ќе кликне на линк за симулација на фишинг, одговорот не треба да биде само да го пријавите и да завршите со тоа. Наместо тоа, тоа е совршена прилика веднаш да им се обезбеди краток, фокусиран модул за учење.
Овој пристап, познат и како учење „токму на време“, дава подобри стапки на задржување од претходно закажаната обука. Лекцијата е директно поврзана со она што се случило. Вработениот не се чувствува казнет, туку учи што да избегнува токму во вистинскиот момент кога оваа информација е најпотребна.
Градење култура на пријавување без обвинување
Неизбежно е дека дури и најдобро обучените вработени ќе прават грешки од време на време. Разликата помеѓу мал инцидент и целосно кршење на прописите често е тоа колку брзо грешката е пријавена. Ако вработените се плашат од одмазда, тие ќе молчат. Прекршувањето ќе ескалира. И додека некој конечно забележи, надоместокот ќе биде многу поскап.
Затоа добро дефинираниот, неказнувачки процес на пријавување е едно од најважните нешта што може да ги воспостави една организација. Тој им покажува на вработените дека веднаш откривањето и пријавувањето на грешка е правилниот одговор - а не нешто што треба да се прикрие. Исто така, создава аларми што вашиот безбедносен персонал може да ги користи пред прекршувањето да излезе од контрола.
И ова апсолутно зборува за ризикот од закана одвнатре на начин за кој не зборуваме доволно често. Повеќето инциденти одвнатре не се злонамерни. Тие се грешки - некој инсталира неовластен софтвер, е измамен од напад со изговор, погрешно конфигурира облак сервер. Културата на безбедност во пријавувањето ги фаќа тие пред да ескалираат. Културата на обвинување им дозволува да се сокријат.
Да се направи безбедноста да се чувствува како професионална вештина
Понекогаш гејмификацијата се смета за тривијална работа, но всушност функционира бидејќи го менува контекстот: оваа обука не е нешто што им се дава на вработените, туку нешто во што можат да бидат добри. Табелите со рангирање, признанијата и значките за завршување ја активираат истата конкурентска и мотивација за достигнување што ги тера луѓето да се стремат кон професионални сертификати.
Кога вработените почнуваат да го забележуваат напредокот во свеста за безбедноста или забележуваат силни перформанси на својот тим во фишинг симулација, безбедноста повеќе не е проблем на некој компјутерски штребер, туку идентитет на професионалец. И тука се формира вистинската култура на сајбер безбедност - не од постери, подлошки за глувци или меки играчки, ниту од налепници за предупредување во прирачникот за вработените.
Усвојувањето на MFA, намалувањето на ИТ во сенка, па дури и аспектите на физичката безбедност, како што е вистинскиот предизвик за „tailgating“ или „piggybacking“, се подобруваат кога вработените ќе ја прифатат идејата дека ова се основни фактори за тоа како работи еден добар професионалец. Не се залагате за усогласеност; се залагате за компетентност.
Организациите што најдобро реагираат на инциденти не се оние што имаат неверојатна безбедносна технологија достојна за награда X. Тоа се организациите чии вработени се мотивирани да бидат професионално компетентни и, кога ќе видат нешто чудно, веднаш бараат поддршка.