Väčšina diskusií o bezpečnosti vykresľuje zamestnancov ako záťaž. Následne poskytované školenia túto myšlienku posilňujú – s dlhými výročnými prezentáciami a alarmujúcimi dôsledkami načrtnutými za akékoľvek chyby, ktorých sa zamestnanci môžu dopustiť. Tento prístup vyvoláva strach, nezáujem a takmer žiadnu zmenu správania. Existuje však aj alternatívny prístup, len je potrebné obrátiť predpoklad.
Prečo tréning založený na strachu neosvedčil
Podľa Správa o vyšetrovaní porušenia údajov spoločnosti Verizon74 % všetkých únikov údajov zahŕňa ľudský prvok. Či už ide o úspešný útok sociálneho inžinierstva, chybu alebo zneužitie. Ľudia, ktorí zdieľajú tieto štatistiky, ich často používajú na to, aby naznačili, že zamestnanci sú slabinou, štatistika však v skutočnosti ukazuje, že cieľom útoku je ľudské správanie – a práve ľudské správanie je miesto, kde ho môžete zastaviť.
Tréning založený na strachu vníma túto štatistiku ako úsudok. Tréning založený na uvedomení si ju uvedomuje ako príležitosť. Keď si vaši ľudia uvedomia, že sú prvou líniou detekcie – nie slabým článkom – zmenia svoje zmýšľanie. Všimnú si veci, ktoré si predtým nikdy nevšimli. Ozvú sa, namiesto toho, aby potichu dúfali, že sa mýlia.
Technická kontrola je menej dôležitá ako táto psychologická.
Preskočenie ročného zaškrtávacieho políčka
Pristupujte k bezpečnostnému školeniu zamestnancov s myslením, ktoré je na prvom mieste v dodržiavaní predpisov, a toto je cyklus, do ktorého sa uzavriete. Naplánuje sa školenie, váš tím sa (dúfajme) dostaví, pozrie si video alebo prezentáciu, zaškrtne sa políčko v rámci vášho bezpečnostného auditu a nič sa nezmení až do rovnakého obdobia budúceho roka, keď to celé zopakujete. Dovtedy už takmer všetky tieto informácie a kontext dávno opustili krátkodobú pamäť vášho tímu. Umyte, opláchnite a zopakujte.
Toto nie je zlyhanie tímu, je to štrukturálne zlyhanie. Úpadok ľudskej pamäte nefunguje v 12-mesačnom cykle (bolo by celkom fajn, keby fungoval), veľa z týchto cenných informácií o školení už v hlave tímu neexistuje v čase, keď ich najviac potrebuje – nabudúce, keď sa na vašu organizáciu zameria niečo škodlivé.
Automatizované tréningové cykly preukázateľne prekonávajú ich každoročné manuálne workshopy práve z jedného dôvodu: tým, že dbajú na bezpečnosť počas celého roka, nielen počas seminára. Školenie v oblasti bezpečnostného povedomia Vďaka automatizovanej platforme môžete osloviť všetkých, sledovať pokrok a prispôsobovať sa skutočnému správaniu – tím, ktorý dodržiava dobré bezpečnostné opatrenia pri práci z domu počas stresujúceho marca, je teda v decembri oveľa menej pravdepodobné, že urobí chyby.
Model učenia sa just-in-time
Školenie zamestnancov o bezpečnosti je najúčinnejšie, keď sa poskytuje v optimálnom čase. Napríklad, keď zamestnanec klikne na odkaz so simuláciou phishingu, reakciou by nemalo byť len nahlásenie a ukončenie procesu. Namiesto toho je to ideálna príležitosť poskytnúť im okamžite krátky, cielený vzdelávací modul.
Tento prístup, známy aj ako just-in-time learning (učenie sa just-in-time), vykazuje lepšiu mieru udržania zamestnancov ako vopred naplánované školenia. Poučenie priamo súvisí s tým, čo sa stalo. Zamestnanec sa necíti penalizovaný, ale namiesto toho sa naučí, čomu sa vyhnúť, práve v správnom okamihu, keď sú tieto informácie najviac potrebné.
Budovanie kultúry podávania správ bez obviňovania
Je nevyhnutné, že aj tí najlepšie vyškolení zamestnanci z času na čas urobia chyby. Rozdiel medzi menším incidentom a totálnym porušením je často v tom, ako rýchlo je chyba nahlásená. Ak sa zamestnanci obávajú odvety, budú mlčať. Porušenie sa bude stupňovať. A kým si to niekto konečne všimne, náprava bude oveľa drahšia.
Preto je dobre definovaný a netrestavý proces hlásenia jednou z najdôležitejších vecí, ktoré môže organizácia zaviesť. Ukazuje zamestnancom, že okamžité nájdenie a nahlásenie chyby je správna reakcia – nie niečo, čo treba zatajiť. Taktiež vytvára alarmy, ktoré môžu vaši bezpečnostní pracovníci použiť skôr, ako sa narušenie vymkne spod kontroly.
A toto rozhodne hovorí o riziku vnútorných hrozieb spôsobom, o ktorom sa dostatočne často nehovorí. Väčšina vnútorných incidentov nie je zlomyseľná. Sú to chyby – niekto nainštaluje neoprávnený softvér, nechá sa oklamať útokom s výmyselnou textovou správou, nesprávne nakonfiguruje cloudový server. Kultúra bezpečnosti pri nahlasovaní odhalí takéto incidenty skôr, ako eskalujú. Kultúra obviňovania im umožňuje skryť sa.
Aby sa bezpečnosť javila ako profesionálna zručnosť
Niekedy sa gamifikácia považuje za triviálnu vec, ale v skutočnosti funguje, pretože mení kontext: toto školenie nie je niečo, čo sa poskytuje zamestnancom, je to niečo, v čom môžu byť dobrí. Rebríčky, uznanie a odznaky za dokončenie spúšťajú rovnakú súťaživú a dosiahnutú motiváciu, ktorá ľudí núti usilovať sa o profesionálne certifikácie.
Keď zamestnanci začnú zaznamenávať svoj pokrok v oblasti povedomia o bezpečnosti alebo si všimnú silný výkon svojho tímu v phishingovej simulácii, bezpečnosť už nie je problémom nejakého počítačového nadšenca, ale identitou profesionála. A práve tam sa formuje skutočná kultúra kybernetickej bezpečnosti – nie z plagátov, podložiek pod myš alebo plyšových hračiek, ani z varovných nálepiek v príručke pre zamestnancov.
Zavedenie viacúčelovej autentifikácie (MFA), redukcia tieňovej IT a dokonca aj kultúrne aspekty fyzickej bezpečnosti, ako napríklad primerané preventívne opatrenia pre prípad nedostatočného dohľadu alebo nedostatočného dohľadu, sa zlepšujú, keď zamestnanci prijmú myšlienku, že ide o kľúčové faktory pre fungovanie dobrého profesionála. Netlačíte na dodržiavanie predpisov, ale na kompetenciu.
Organizácie, ktoré najlepšie reagujú na incidenty, nie sú tie, ktoré majú tú najúžasnejšiu bezpečnostnú technológiu hodnú ocenenia X-Prize. Sú to organizácie, ktorých zamestnanci sú motivovaní k profesionálnej kompetencii a keď vidia niečo zvláštne, okamžite vyhľadajú pomoc.