De flesta säkerhetsdiskussioner framställer anställda som en belastning. Därefter förstärker den utbildning som ges denna idé – med långa årliga presentationer och alarmerande konsekvenser som beskrivs för eventuella misstag som anställda kan göra. Detta tillvägagångssätt ingjuter rädsla, ointresse och knappast någon beteendeförändring. Det finns dock ett alternativt tillvägagångssätt, förutsättningen behöver bara vändas om.
Varför rädslobaserad träning inte håller
Enligt Verizon Data Break Investigations Report74 % av alla dataintrång involverar den mänskliga faktorn. Oavsett om det är en lyckad social engineering-attack, ett fel eller missbruk. Personer som delar denna statistik använder den ofta för att indikera att anställda är en svaghet, men statistiken visar verkligen att mänskligt beteende är målet för en attack – och mänskligt beteende är också där du kan stoppa det.
Rädslobaserad utbildning ser den statistiken som en bedömning. Medvetenhetsbaserad utbildning ser den som en möjlighet. När dina medarbetare inser att de är den första upptäcktsvägen – inte en svag länk – ändrar de sitt tankesätt. De lägger märke till saker de aldrig lagt märke till förut. De säger ifrån, snarare än att i tysthet hoppas att de har fel.
Teknisk kontroll spelar mindre roll än denna psykologiska.
Gå förbi den årliga kryssrutan
Närma dig säkerhetsutbildningen för anställda med ett efterlevnadsfokuserat tänkesätt, och det är i den här cykeln du låser dig fast. En session är schemalagd, ditt team dyker upp (förhoppningsvis), sitter igenom en video eller presentation, en ruta kryssas i i din säkerhetsrevision, och ingenting ändras förrän samma tid nästa år, då du gör om allting igen. Vid det laget har nästan all den informationen och kontexten för länge sedan lämnat ditt teams korttidsminne. Tvätta, skölj och upprepa.
Detta är inte ett teammisslyckande, det är ett strukturellt sådant. Mänskligt minnesförsämring sker inte enligt en 12-månaderscykel (det vore ganska coolt om det gjorde det), och mycket av den värdefulla träningsinformationen finns inte längre i ett teams huvud när de behöver den som mest – nästa gång något illvilligt riktar sig mot din organisation.
Automatiserade utbildningscykler har visat sig överträffa sina årliga, manuella workshops av exakt en anledning: genom att hålla säkerheten i åtanke under hela året, inte bara under seminariet. Utbildning för säkerhetsmedvetenhet levereras via en automatiserad plattform låter dig nå alla, följa framsteg och anpassa dig baserat på faktiskt beteende – så ett team som utövar god säkerhet genom att arbeta hemifrån under en stressig mars månad är mycket mindre benäget att göra misstag i december.
Just-in-time-inlärningsmodellen
Säkerhetsmedvetenhetsutbildning för anställda är mest effektiv när den levereras vid optimal tidpunkt. När en anställd till exempel klickar på en nätfiskesimuleringslänk bör reaktionen inte vara att bara rapportera dem och vara klara. Istället är det det perfekta tillfället att ge dem en kort, fokuserad inlärningsmodul direkt.
Denna metod, även känd som just-in-time-inlärning, rapporterar bättre retentionsgrad än förutbestämd utbildning. Lärdomen är direkt relaterad till vad som hände. Medarbetaren känner sig inte straffad utan lär sig istället vad man ska undvika just i rätt ögonblick när denna information behövs som mest.
Att bygga en kultur där man inte skyller på sig att rapportera
Det är oundvikligt att även de mest välutbildade medarbetarna kommer att göra misstag då och då. Skillnaden mellan en mindre incident och ett fullskaligt intrång är ofta hur snabbt misstaget rapporteras. Om anställda är rädda för repressalier kommer de att hålla tyst. Intrånget kommer att eskalera. Och när någon väl märker det kommer återställningen att bli mycket dyrare.
Därför är en väldefinierad, icke-straffande rapporteringsprocess en av de viktigaste sakerna en organisation kan införa. Den visar anställda att det är rätt svar att hitta och rapportera ett misstag direkt – inte något som ska döljas. Den skapar också larm som din säkerhetspersonal kan använda innan ett intrång går överstyr.
Och detta talar absolut för risken med insiderhot på ett sätt som vi inte pratar om tillräckligt ofta. De flesta insiderincidenter är inte skadliga. De är misstag – någon installerar obehörig programvara, blir lurad av en falsk attack, felkonfigurerar en molnserver. En kultur av säkerhet vid rapportering fångar upp dessa innan de eskalerar. En kultur av skuldbeläggning låter dem gömma sig.
Att få säkerhet att kännas som en professionell färdighet
Ibland anses gamification vara en trivial sak, men det fungerar faktiskt eftersom det förändrar sammanhanget: den här utbildningen är inte något som ges till anställda, det är något de kan vara bra på. Topplistor, erkännande och prestationsmärken utlöser samma tävlingsinriktade och prestationsmotiverande egenskaper som får människor att söka professionella certifieringar.
När anställda börjar notera sina framsteg inom säkerhetsmedvetenhet eller lägger märke till en stark prestation hos sitt team i en nätfiskesimulering, är säkerhet inte längre någon datanörds problem, det är en yrkespersons identitet. Och det är där den verkliga cybersäkerhetskulturen formas – inte från affischer, musmattor eller fluffiga leksaker, inte heller från varningsdekaler i personalhandboken.
Implementering av MFA, minskning av skugg-IT och till och med fysiska säkerhetskulturella aspekter som korrekt utmaning för tailgating eller piggybacking, förbättras när medarbetare accepterar idén att dessa är avgörande faktorer för hur en bra yrkesperson arbetar. Du driver inte på efterlevnad; du driver på kompetens.
De organisationer som bäst reagerar på incidenter är inte de som har den mest otroliga, X-Prize-värdiga säkerhetstekniken. Det är de organisationer vars anställda är motiverade att vara professionellt kompetenta och, när de ser något konstigt, omedelbart söker stöd.