Shumica e diskutimeve mbi sigurinë i paraqesin punonjësit si një detyrim. Më pas, trajnimi i ofruar e përforcon këtë ide - me prezantime të gjata vjetore dhe pasoja alarmante të përshkruara për çdo gabim që mund të bëjnë punonjësit. Kjo qasje mbjell frikë, mungesë interesi dhe pothuajse asnjë ndryshim sjelljeje. Megjithatë, një qasje alternative është e disponueshme, premisa thjesht duhet të përmbyset.
Pse stërvitja e bazuar në frikë nuk funksionon
Sipas Raporti i Hetimeve të Verizon për Shkeljen e të Dhënave, 74% e të gjitha shkeljeve të të dhënave përfshijnë elementin njerëzor. Qoftë një sulm i suksesshëm i inxhinierisë sociale, një gabim apo keqpërdorim. Njerëzit që ndajnë këto statistika shpesh i përdorin ato për të treguar se punonjësit janë një dobësi, megjithatë, statistika tregon vërtet se sjellja njerëzore është objektivi i një sulmi - dhe sjellja njerëzore është gjithashtu vendi ku mund ta ndaloni atë.
Trajnimi i bazuar në frikë e sheh atë statistikë si një gjykim. Trajnimi i bazuar në ndërgjegjësim e sheh atë si një mundësi. Kur njerëzit tuaj e kuptojnë se janë vija e parë e zbulimit - jo një hallkë e dobët - ata ndryshojnë mënyrën e tyre të të menduarit. Ata vënë re gjëra që nuk i kishin vënë re kurrë më parë. Ata flasin hapur, në vend që të shpresojnë në heshtje se gabohen.
Kontrolli teknik ka më pak rëndësi se ky psikologjik.
Duke kaluar kutinë e kontrollit vjetore
Qasuni trajnimit të sigurisë së punonjësve me një mentalitet që vë në plan të parë pajtueshmërinë, dhe ky është cikli në të cilin mbylleni veten. Një seancë caktohet, ekipi juaj shfaqet (shpresojmë), dëgjon një video ose prezantim, një kuti shënohet në auditimin tuaj të sigurisë dhe asgjë nuk ndryshon deri në të njëjtën kohë vitin tjetër, kur ta bëni të gjithën nga e para. Deri në atë pikë, pothuajse i gjithë ai informacion dhe kontekst ka dalë prej kohësh nga kujtesa afatshkurtër e ekipit tuaj. Lani, shpëlani dhe përsëriteni.
Ky nuk është një dështim i ekipit, është një dështim strukturor. Prishja e kujtesës njerëzore nuk funksionon në një cikël 12-mujor (do të ishte shumë interesante nëse do të funksiononte) shumë nga ai informacion i vlefshëm trajnimi nuk ekziston më në kokën e një ekipi në kohën kur ata kanë më shumë nevojë për të - herën tjetër që diçka keqdashëse synon organizatën tuaj.
Ciklet e automatizuara të trajnimit kanë provuar se i tejkalojnë punëtoritë e tyre vjetore, manuale, pikërisht për një arsye: duke e mbajtur sigurinë në mendje gjatë gjithë vitit, jo vetëm gjatë seminarit. Trajnim për ndërgjegjësimin mbi sigurinë I ofruar përmes një platforme të automatizuar ju lejon të arrini të gjithë, të ndiqni progresin dhe të përshtateni bazuar në sjelljen aktuale - kështu që një ekip që praktikon siguri të mirë duke punuar nga shtëpia gjatë një marsi stresues ka shumë më pak gjasa të bëjë gabime në dhjetor.
Modeli i të mësuarit vetëm në kohë
Trajnimi i ndërgjegjësimit për sigurinë e punonjësve është më efektiv kur ofrohet në kohën optimale. Për shembull, kur një punonjës klikon në një lidhje simulimi të phishing-ut, përgjigja nuk duhet të jetë thjesht raportimi i tij dhe mbarimi i tij. Përkundrazi, ky është rasti i përsosur për t'u ofruar atyre menjëherë një modul mësimor të shkurtër dhe të fokusuar.
Kjo qasje, e njohur edhe si të mësuarit në kohë reale, raporton norma më të mira mbajtjeje në punë sesa trajnimi i paracaktuar. Mësimi lidhet drejtpërdrejt me atë që ka ndodhur. Punonjësi nuk ndihet i penalizuar, por përkundrazi mëson se çfarë të shmangë pikërisht në momentin e duhur kur ky informacion është më i nevojshëm.
Ndërtimi i një kulture raportimi pa fajësim
Është e pashmangshme që edhe punonjësit më të trajnuar mirë do të bëjnë gabime herë pas here. Dallimi midis një incidenti të vogël dhe një shkeljeje të plotë shpesh qëndron në shpejtësinë me të cilën raportohet gabimi. Nëse punonjësit kanë frikë nga hakmarrja, ata do të heshtin. Shkelja do të përshkallëzohet. Dhe kur dikush më në fund ta vërejë, rikuperimi do të jetë shumë më i kushtueshëm.
Kjo është arsyeja pse një proces raportimi i përcaktuar mirë dhe jo-ndëshkues është një nga gjërat më të rëndësishme që një organizatë mund të vërë në vend. Ai u tregon punonjësve se gjetja dhe raportimi i një gabimi menjëherë është përgjigja e saktë - jo diçka që duhet mbuluar. Ai gjithashtu krijon alarme që stafi juaj i sigurisë mund t'i përdorë përpara se një shkelje të dalë jashtë kontrollit.
Dhe kjo flet absolutisht për rrezikun e kërcënimit nga brenda në një mënyrë për të cilën nuk flasim mjaftueshëm shpesh. Shumica e incidenteve nga brenda nuk janë keqdashëse. Ato janë gabime - dikush instalon softuer të paautorizuar, mashtrohet nga një sulm me pretekst, konfiguron gabim një server cloud. Një kulturë sigurie në raportim i kap ato para se të përshkallëzohen. Një kulturë fajësimi i lejon ata të fshihen.
Ta bësh sigurinë të ndihet si një aftësi profesionale
Ndonjëherë, gamifikimi konsiderohet një gjë e parëndësishme, por në të vërtetë funksionon sepse ndryshon kontekstin: ky trajnim nuk është diçka që u jepet punonjësve, është diçka në të cilën ata mund të jenë të mirë. Renditjet, njohja dhe medaljet e përfundimit shkaktojnë të njëjtin motivim konkurrues dhe për arritje që i shtyjnë njerëzit të ndjekin certifikime profesionale.
Kur punonjësit fillojnë të shënojnë progresin e ndërgjegjësimit të tyre për sigurinë ose vërejnë një performancë të fortë të ekipit të tyre në një simulim phishing, siguria nuk është më problem i ndonjë të apasionuari pas kompjuterave, por identiteti i një profesionisti. Dhe aty formohet kultura e vërtetë e sigurisë kibernetike - jo nga posterat, jastëkët e miut ose lodrat me push, as nga ngjitëset paralajmëruese në manualin e punonjësve.
Miratimi i MFA-së, reduktimi i IT-së në hije dhe madje edhe aspektet kulturore të sigurisë fizike, si sfida e duhur për t'u marrë me punë të pahijshme ose për të marrë me vete, përmirësohen kur punonjësit e pranojnë idenë se këto janë kritere për mënyrën se si vepron një profesionist i mirë. Ju nuk po shtyni për pajtueshmëri; ju po shtyni për kompetencë.
Organizatat që i përgjigjen më mirë incidenteve nuk janë ato që kanë teknologjinë më të pabesueshme të sigurisë, të denjë për X-Prize. Ato janë organizatat, punonjësit e të cilave janë të motivuar të jenë profesionalisht kompetentë dhe, kur shohin diçka të çuditshme, kërkojnë menjëherë mbështetje.