Večina varnostnih razprav prikazuje zaposlene kot breme. Posledično usposabljanje to idejo še okrepi – z dolgimi letnimi predstavitvami in zaskrbljujočimi posledicami, opisanimi za morebitne napake, ki jih zaposleni storijo. Ta pristop vzbuja strah, nezainteresiranost in skoraj nobene vedenjske spremembe. Vendar pa obstaja alternativni pristop, le predpostavko je treba obrniti.
Zakaj trening, ki temelji na strahu, ne deluje
Glede na Verizonovo poročilo o preiskavah kršitev podatkov74 % vseh kršitev podatkov vključuje človeški element. Ne glede na to, ali gre za uspešen napad socialnega inženiringa, napako ali zlorabo. Ljudje, ki delijo to statistiko, jo pogosto uporabljajo za označevanje zaposlenih kot šibke točke, vendar statistika v resnici kaže, da je človeško vedenje tarča napada – in prav človeško vedenje je tudi tisto, kar ga lahko ustavi.
Usposabljanje, ki temelji na strahu, to statistiko vidi kot sodbo. Usposabljanje, ki temelji na ozaveščenosti, jo vidi kot priložnost. Ko se vaši ljudje zavejo, da so prva linija odkrivanja – ne šibka povezava – spremenijo svojo miselnost. Opazijo stvari, ki jih prej niso opazili. Spregovorijo, namesto da bi tiho upali, da se motijo.
Tehnični nadzor je manj pomemben kot ta psihološki.
Premikanje mimo letnega potrditvenega polja
K usposabljanju zaposlenih za varnost pristopite z miselnostjo, da je skladnost na prvem mestu, in to je cikel, v katerega se zaklenete. Načrtujete sejo, vaša ekipa se pojavi (upajmo), si ogleda videoposnetek ali predstavitev, potrdite polje na varnostni reviziji in nič se ne spremeni do istega časa naslednje leto, ko vse ponovite. Do takrat so skoraj vse te informacije in kontekst že zdavnaj zapustili kratkoročni spomin vaše ekipe. Operite, sperite in ponovite.
To ni ekipna napaka, temveč strukturna. Človeški spomin se ne upada v 12-mesečnem ciklu (bilo bi precej kul, če bi se), veliko teh dragocenih informacij o usposabljanju v glavi ekipe ni več, ko jih najbolj potrebuje – naslednjič, ko bo nekaj zlonamernega usmerjeno proti vaši organizaciji.
Dokazano je, da avtomatizirani cikli usposabljanja prekašajo njihove letne, ročne delavnice iz natanko enega razloga: tako da imajo varnost v mislih skozi vse leto, ne le med seminarjem. Trening ozaveščanja o varnosti Storitve, ki jih zagotavlja avtomatizirana platforma, vam omogočajo, da dosežete vse, spremljate napredek in se prilagajate glede na dejansko vedenje – zato je veliko manj verjetno, da bo ekipa, ki med stresnim marcem dela od doma, naredila napake decembra.
Model učenja »just-in-time«
Usposabljanje zaposlenih o varnosti je najučinkovitejše, če se izvede ob optimalnem času. Na primer, ko zaposleni klikne povezavo za simulacijo lažnega predstavljanja, se ne bi smel le prijaviti in končati s tem. Namesto tega je to idealna priložnost, da jim takoj zagotovimo kratek, osredotočen učni modul.
Ta pristop, znan tudi kot učenje ravno ob pravem času, poroča o boljši stopnji zadržanja zaposlenih kot vnaprej načrtovano usposabljanje. Lekcija je neposredno povezana s tem, kar se je zgodilo. Zaposleni se ne počuti kaznovanega, temveč se nauči, čemu se je treba izogniti, ravno v pravem trenutku, ko so te informacije najbolj potrebne.
Gradnja kulture poročanja brez obtoževanja
Neizogibno je, da bodo tudi najbolj usposobljeni zaposleni občasno delali napake. Razlika med manjšim incidentom in popolno kršitvijo je pogosto v tem, kako hitro je napaka prijavljena. Če se zaposleni bojijo povračilnih ukrepov, bodo molčali. Kršitev se bo stopnjevala. In ko bo nekdo končno opazil, bo okrevanje veliko dražje.
Zato je dobro opredeljen in nekazenski postopek poročanja ena najpomembnejših stvari, ki jih lahko organizacija uvede. Zaposlenim pokaže, da je takojšnje odkrivanje in poročanje o napaki pravilen odziv – ne nekaj, kar bi bilo treba prikriti. Prav tako ustvari alarme, ki jih lahko vaše varnostno osebje uporabi, preden kršitev uide izpod nadzora.
In to vsekakor govori o tveganju notranjih groženj na način, o katerem ne govorimo dovolj pogosto. Večina notranjih incidentov ni zlonamernih. Gre za napake – nekdo namesti nepooblaščeno programsko opremo, se pusti pretentati z napadom z pretvezo, napačno konfigurira strežnik v oblaku. Kultura varnosti pri poročanju te incidente ujame, preden se stopnjujejo. Kultura obtoževanja jim omogoča, da se skrijejo.
Da bi varnost postala profesionalna veščina
Včasih se gamifikacija šteje za nepomembno stvar, vendar dejansko deluje, ker spremeni kontekst: to usposabljanje ni nekaj, kar se daje zaposlenim, ampak nekaj, v čemer so lahko dobri. Lestvice najboljših, priznanja in značke za dokončanje sprožajo enako tekmovalno in dosežkovno motivacijo, ki ljudi spodbuja k pridobivanju strokovnih certifikatov.
Ko zaposleni začnejo ocenjevati svoj napredek pri ozaveščanju o varnosti ali opazijo dobro delovanje svoje ekipe v simulaciji lažnega predstavljanja, varnost ni več problem računalniškega piflarja, temveč identiteta profesionalca. In prav tam se oblikuje prava kultura kibernetske varnosti – ne s plakatov, podlog za miško ali puhastih igrač niti z opozorilnimi nalepkami v priročniku za zaposlene.
Sprejemanje večfaktorske varnosti (MFA), zmanjšanje senčne IT in celo kulturni vidiki fizične varnosti, kot so ustrezni izzivi za nadzor nad zaposlenimi (tailgating) ali nadzor nad drugimi, se izboljšajo, ko zaposleni sprejmejo idejo, da so to bistveni dejavniki za delovanje dobrega strokovnjaka. Ne pritiskate na skladnost, temveč na kompetentnost.
Organizacije, ki se najbolje odzivajo na incidente, niso tiste, ki imajo najbolj neverjetno varnostno tehnologijo, vredno nagrade X. To so organizacije, katerih zaposleni so motivirani za strokovno usposobljenost in takoj poiščejo pomoč, ko opazijo kaj nenavadnega.