Większość dyskusji na temat bezpieczeństwa przedstawia pracowników jako obciążenie. Szkolenia dodatkowo wzmacniają tę ideę – poprzez długie, coroczne prezentacje i alarmujące konsekwencje błędów popełnianych przez pracowników. Takie podejście wzbudza strach, brak zainteresowania i praktycznie nie prowadzi do zmiany zachowania. Istnieje jednak alternatywne podejście, wystarczy odwrócić tę przesłankę.
Dlaczego trening oparty na strachu nie przynosi efektów
Według Raport z dochodzeń w sprawie naruszenia danych firmy Verizon74% wszystkich naruszeń danych wiąże się z czynnikiem ludzkim. Niezależnie od tego, czy jest to udany atak socjotechniczny, błąd, czy niewłaściwe użycie. Osoby udostępniające te statystyki często wykorzystują je, aby wskazać na pracowników jako słaby punkt, jednak statystyki te w rzeczywistości pokazują, że celem ataku jest zachowanie człowieka – i to właśnie zachowanie człowieka jest w stanie go powstrzymać.
Trening oparty na strachu traktuje tę statystykę jako osąd. Trening oparty na świadomości postrzega ją jako szansę. Kiedy Twoi pracownicy zdają sobie sprawę, że są pierwszą linią detekcji – a nie słabym ogniwem – zmieniają swoje nastawienie. Zauważają rzeczy, których wcześniej nie dostrzegali. Mówią o tym głośno, zamiast po cichu żywić nadzieję, że się mylą.
Kontrola techniczna ma mniejsze znaczenie od kontroli psychologicznej.
Przejście poza pole wyboru dotyczące roku
Podejdź do szkoleń z zakresu bezpieczeństwa pracowników z nastawieniem na zgodność z przepisami, a zamkniesz się w tym cyklu. Sesja jest zaplanowana, Twój zespół się pojawia (miejmy nadzieję), ogląda film lub prezentację, pole zostaje zaznaczone w audycie bezpieczeństwa i nic się nie zmienia aż do tego samego momentu w przyszłym roku, kiedy to wszystko powtarzasz. Do tego momentu prawie wszystkie te informacje i kontekst dawno opuściły pamięć krótkotrwałą Twojego zespołu. Wyczyść, opłucz i powtórz.
To nie jest porażka zespołu, to błąd strukturalny. Ludzka pamięć nie zanika w cyklu 12-miesięcznym (byłoby całkiem fajnie, gdyby tak było). Wiele cennych informacji szkoleniowych znika z głowy zespołu w momencie, gdy są najbardziej potrzebne – gdy następnym razem coś złośliwego zaatakuje waszą organizację.
Udowodniono, że zautomatyzowane cykle szkoleniowe są skuteczniejsze niż coroczne, ręczne warsztaty z jednego powodu: kwestia bezpieczeństwa jest obecna przez cały rok, a nie tylko w trakcie seminarium. Szkolenie w zakresie świadomości bezpieczeństwa dostarczane za pośrednictwem zautomatyzowanej platformy umożliwiają dotarcie do wszystkich, śledzenie postępów i dostosowywanie się na podstawie rzeczywistych zachowań – dzięki temu zespół, który stosuje dobre praktyki bezpieczeństwa, pracując z domu w stresującym marcu, jest znacznie mniej narażony na popełnianie błędów w grudniu.
Model uczenia się „just-in-time”
Szkolenia pracowników w zakresie świadomości bezpieczeństwa są najskuteczniejsze, gdy są prowadzone w optymalnym momencie. Na przykład, gdy pracownik kliknie link symulujący atak phishingowy, reakcją nie powinno być po prostu zgłoszenie go i zniknięcie z tematu. Zamiast tego, to idealna okazja, aby od razu zapewnić mu krótki, ukierunkowany moduł szkoleniowy.
To podejście, znane również jako nauka „just-in-time”, zapewnia lepsze wskaźniki retencji niż szkolenia zaplanowane z wyprzedzeniem. Lekcja jest bezpośrednio związana z tym, co się wydarzyło. Pracownik nie czuje się ukarany, ale uczy się, czego unikać w odpowiednim momencie, gdy te informacje są najbardziej potrzebne.
Budowanie kultury zgłaszania bez obwiniania
Nieuniknione jest, że nawet najlepiej wyszkoleni pracownicy od czasu do czasu popełniają błędy. Różnica między drobnym incydentem a poważnym naruszeniem bezpieczeństwa często polega na tym, jak szybko błąd zostanie zgłoszony. Jeśli pracownicy obawiają się odwetu, będą milczeć. Wyciek będzie się nasilał. A zanim ktoś w końcu to zauważy, odzyskanie danych będzie znacznie droższe.
Dlatego dobrze zdefiniowany, bezkarny proces zgłaszania jest jednym z najważniejszych elementów, jakie organizacja może wdrożyć. Pokazuje on pracownikom, że natychmiastowe znalezienie i zgłoszenie błędu to właściwa reakcja, a nie coś, co należy ukrywać. Tworzy również alarmy, z których może skorzystać personel ochrony, zanim naruszenie bezpieczeństwa wymknie się spod kontroli.
To zdecydowanie świadczy o ryzyku zagrożeń wewnętrznych, o którym nie mówimy wystarczająco często. Większość incydentów wewnętrznych nie jest złośliwa. To pomyłki – ktoś instaluje nieautoryzowane oprogramowanie, daje się nabrać na atak pozorowany, błędnie konfiguruje serwer w chmurze. Kultura bezpiecznego zgłaszania incydentów pozwala je wychwycić, zanim się zaostrzą. Kultura obwiniania pozwala im się ukryć.
Sprawienie, by bezpieczeństwo stało się umiejętnością profesjonalną
Czasami grywalizacja jest uważana za coś trywialnego, ale w rzeczywistości działa, ponieważ zmienia kontekst: szkolenie nie jest czymś, co wręcza się pracownikom, ale czymś, w czym mogą być dobrzy. Rankingi, uznanie i odznaki za ukończenie kursu wyzwalają tę samą motywację do rywalizacji i osiągnięć, która skłania ludzi do ubiegania się o certyfikaty zawodowe.
Kiedy pracownicy zaczynają zaznaczać postępy w zakresie świadomości bezpieczeństwa lub zauważają wysoką wydajność swojego zespołu w symulacji phishingu, bezpieczeństwo przestaje być problemem jakiegoś komputerowego maniaka, a staje się tożsamością profesjonalisty. I to właśnie tam kształtuje się prawdziwa kultura cyberbezpieczeństwa – nie z plakatów, podkładek pod mysz, pluszowych zabawek ani z ostrzegawczych naklejek w podręczniku pracownika.
Wdrażanie MFA, redukcja cieni w IT, a nawet kulturowe aspekty bezpieczeństwa fizycznego, takie jak odpowiednie karanie za jazdę „na zderzaku” lub „na barana”, poprawiają się, gdy pracownicy akceptują ideę, że są to podstawowe zasady dobrego profesjonalisty. Nie naciskasz na zgodność, naciskasz na kompetencje.
Organizacje, które najlepiej reagują na incydenty, to nie te, które dysponują najbardziej niesamowitą, godną nagrody X-Prize technologią bezpieczeństwa. To organizacje, których pracownicy są zmotywowani do bycia kompetentnymi zawodowo i, gdy zauważą coś podejrzanego, natychmiast szukają wsparcia.