డిజిటల్ స్క్రీన్‌లు సర్క్యూట్ బోర్డ్ నేపథ్యంపై డేటాను ప్రదర్శిస్తాయి

మీ కార్యబలాన్ని చురుకైన మానవ ఫైర్‌వాల్‌గా ఎలా మార్చాలి

by

చాలా భద్రతా చర్చలు ఉద్యోగులను ఒక భారంగా చిత్రీకరిస్తాయి. తదనంతరం, అందించే శిక్షణ కూడా ఈ ఆలోచనను బలపరుస్తుంది – సుదీర్ఘమైన వార్షిక ప్రజెంటేషన్లు ఇవ్వడం ద్వారా, మరియు ఉద్యోగులు చేసే ఏవైనా పొరపాట్లకు ఎదురయ్యే భయంకరమైన పరిణామాలను వివరించడం ద్వారా. ఈ విధానం భయాన్ని, నిరాసక్తతను కలిగిస్తుంది, మరియు ప్రవర్తనలో దాదాపు ఎటువంటి మార్పును కలిగించదు. అయితే, ఒక ప్రత్యామ్నాయ విధానం అందుబాటులో ఉంది, కేవలం దాని మూలభావాన్ని తిరగవేయవలసి ఉంటుంది.

భయం ఆధారిత శిక్షణ ఎందుకు నిలవదు

ప్రకారంగా వెరిజోన్ డేటా ఉల్లంఘన దర్యాప్తు నివేదికమొత్తం డేటా ఉల్లంఘనలలో 74% మానవ తప్పిదం వల్లే జరుగుతాయి. అది విజయవంతమైన సోషల్ ఇంజనీరింగ్ దాడి అయినా, ఒక పొరపాటు అయినా, లేదా దుర్వినియోగం అయినా కావచ్చు. ఈ గణాంకాలను పంచుకునే వ్యక్తులు తరచుగా ఉద్యోగులే ఒక బలహీనత అని సూచించడానికి వీటిని ఉపయోగిస్తారు. అయితే, ఈ గణాంకం నిజానికి మానవ ప్రవర్తనే దాడికి లక్ష్యమని చూపిస్తుంది – మరియు ఆ దాడిని ఆపగలిగేది కూడా మానవ ప్రవర్తన నుండే.

భయం ఆధారిత శిక్షణ ఆ గణాంకాన్ని ఒక తీర్పుగా చూస్తుంది. అవగాహన ఆధారిత శిక్షణ దానిని ఒక అవకాశంగా చూస్తుంది. మీ సిబ్బంది తాము బలహీనమైన లంకె కాదని, సమస్యలను గుర్తించడంలో మొదటి వరుసలో ఉన్నామని గ్రహించినప్పుడు, వారి ఆలోచనా విధానం మారుతుంది. వారు ఇంతకు ముందెన్నడూ గమనించని విషయాలను గమనిస్తారు. తాము చెప్పేది తప్పని మౌనంగా ఆశించే బదులు, వారు గొంతు విప్పుతారు.

సాంకేతిక నియంత్రణ కంటే ఈ మానసిక నియంత్రణకే ఎక్కువ ప్రాధాన్యత ఉంటుంది.

వార్షిక చెక్‌బాక్స్‌ను దాటి ముందుకు సాగడం

ఉద్యోగుల భద్రతా శిక్షణను నిబంధనల పాటింపుకే ప్రాధాన్యతనిచ్చే దృక్పథంతో ప్రారంభిస్తే, మీరు ఈ విషవలయంలోనే చిక్కుకుపోతారు. ఒక సెషన్ షెడ్యూల్ చేయబడుతుంది, మీ బృందం హాజరవుతుంది (ఆశిద్దాం), ఒక వీడియో లేదా ప్రజెంటేషన్‌ను చూస్తుంది, మీ సెక్యూరిటీ ఆడిట్‌లో ఒక బాక్స్‌ను టిక్ చేస్తారు, మరియు వచ్చే ఏడాది ఇదే సమయానికి మళ్లీ ఇదంతా చేసే వరకు ఏమీ మారదు. ఆ సమయానికి, ఆ సమాచారం మరియు సందర్భం దాదాపుగా అంతా మీ బృందం యొక్క స్వల్పకాలిక జ్ఞాపకశక్తి నుండి ఎప్పుడో మాయమైపోయి ఉంటుంది. ఇదే తంతు పునరావృతమవుతుంది.

ఇది జట్టు వైఫల్యం కాదు, వ్యవస్థాగతమైనది. మానవ జ్ఞాపకశక్తి క్షీణత 12 నెలల చక్రంలో పనిచేయదు, (అలా జరిగితే బాగుండేది) వారికి అత్యంత అవసరమైన సమయానికి – అంటే తదుపరిసారి ఏదైనా హానికరమైనది మీ సంస్థను లక్ష్యంగా చేసుకున్నప్పుడు – ఆ విలువైన శిక్షణ సమాచారంలో చాలా భాగం జట్టు సభ్యుల తలలో ఉండదు.

ఆటోమేటెడ్ శిక్షణా విధానాలు, వాటి వార్షిక, మాన్యువల్ వర్క్‌షాప్‌ల కంటే మెరుగైన పనితీరును కనబరుస్తాయని నిరూపించబడటానికి ఒకే ఒక కారణం ఉంది: కేవలం సెమినార్ సమయంలోనే కాకుండా, సంవత్సరం పొడవునా భద్రతను దృష్టిలో ఉంచుకోవడం. భద్రతా అవగాహన శిక్షణ ఆటోమేటెడ్ ప్లాట్‌ఫారమ్ ద్వారా అందించబడే సేవలు ప్రతి ఒక్కరినీ చేరుకోవడానికి, పురోగతిని ట్రాక్ చేయడానికి మరియు వాస్తవ ప్రవర్తన ఆధారంగా సర్దుబాటు చేసుకోవడానికి మిమ్మల్ని అనుమతిస్తాయి – కాబట్టి ఒత్తిడితో కూడిన మార్చి నెలలో ఇంటి నుండి పని చేస్తున్నప్పుడు మంచి భద్రతను పాటించే బృందం డిసెంబర్‌లో తప్పులు చేసే అవకాశం చాలా తక్కువగా ఉంటుంది.

జస్ట్-ఇన్-టైమ్ లెర్నింగ్ మోడల్

ఉద్యోగుల భద్రతా అవగాహన శిక్షణను సరైన సమయంలో అందించినప్పుడు అది అత్యంత ప్రభావవంతంగా ఉంటుంది. ఉదాహరణకు, ఒక ఉద్యోగి ఫిషింగ్ అనుకరణ లింక్‌పై క్లిక్ చేసినప్పుడు, కేవలం వారిపై ఫిర్యాదు చేసి ఊరుకోవడం సరికాదు. దానికి బదులుగా, వెంటనే వారికి ఒక చిన్న, నిర్దిష్టమైన అభ్యాస మాడ్యూల్‌ను అందించడానికి అదే సరైన సందర్భం.

జస్ట్-ఇన్-టైమ్ లెర్నింగ్ అని కూడా పిలువబడే ఈ విధానం, ముందుగా షెడ్యూల్ చేసిన శిక్షణ కంటే మెరుగైన నిలుపుదల రేట్లను నివేదిస్తుంది. పాఠం నేరుగా జరిగిన దానికి సంబంధించి ఉంటుంది. ఉద్యోగి శిక్షించబడినట్లు భావించడు, బదులుగా ఈ సమాచారం అత్యంత అవసరమైన సరైన క్షణంలో ఏమి నివారించాలో నేర్చుకుంటాడు.

నిందారహిత రిపోర్టింగ్ సంస్కృతిని నిర్మించడం

అత్యంత శిక్షణ పొందిన ఉద్యోగులు కూడా అప్పుడప్పుడు తప్పులు చేయడం సహజం. ఒక చిన్న సంఘటనకు, పూర్తిస్థాయి ఉల్లంఘనకు మధ్య తేడా తరచుగా ఆ తప్పును ఎంత త్వరగా నివేదిస్తారు అనే దానిపై ఆధారపడి ఉంటుంది. ఉద్యోగులు ప్రతీకార చర్యలకు భయపడితే, వారు మౌనంగా ఉంటారు. ఆ ఉల్లంఘన మరింత తీవ్రమవుతుంది. చివరకు ఎవరైనా గమనించేసరికి, దాన్ని సరిదిద్దడానికి అయ్యే ఖర్చు చాలా ఎక్కువ అవుతుంది.

అందుకే, ఒక సంస్థ ఏర్పాటు చేసుకోగల అత్యంత ముఖ్యమైన విషయాలలో ఒకటి, స్పష్టంగా నిర్వచించబడిన, శిక్షారహితమైన రిపోర్టింగ్ ప్రక్రియ. ఒక తప్పును కనుగొని, వెంటనే నివేదించడమే సరైన ప్రతిస్పందన అని, దానిని కప్పిపుచ్చకూడదని ఇది ఉద్యోగులకు తెలియజేస్తుంది. అంతేకాకుండా, ఒక ఉల్లంఘన అదుపు తప్పక ముందే, మీ భద్రతా సిబ్బంది ఉపయోగించుకోగల హెచ్చరికలను కూడా ఇది సృష్టిస్తుంది.

మనం తరచుగా చర్చించని రీతిలో, ఇది అంతర్గత ముప్పు ప్రమాదాన్ని స్పష్టంగా తెలియజేస్తుంది. చాలా అంతర్గత సంఘటనలు దురుద్దేశపూర్వకమైనవి కావు. అవి పొరపాట్లు – ఎవరైనా అనధికారిక సాఫ్ట్‌వేర్‌ను ఇన్‌స్టాల్ చేయడం, ప్రిటెక్స్టింగ్ దాడికి గురై మోసపోవడం, క్లౌడ్ సర్వర్‌ను తప్పుగా కాన్ఫిగర్ చేయడం వంటివి. ఫిర్యాదు చేయడంలో భద్రతా సంస్కృతి ఉంటే, అవి పెద్దవి కాకముందే వాటిని పట్టుకోగలుగుతాము. నిందలు వేసే సంస్కృతి ఉంటే, అవి దాగిపోతాయి.

భద్రతను ఒక వృత్తిపరమైన నైపుణ్యంగా భావించేలా చేయడం

కొన్నిసార్లు గేమిఫికేషన్‌ను ఒక అల్పమైన విషయంగా భావిస్తారు, కానీ అది వాస్తవానికి పనిచేస్తుంది, ఎందుకంటే అది సందర్భాన్ని మారుస్తుంది: ఈ శిక్షణ ఉద్యోగులకు ఇచ్చేది కాదు, అది వారు రాణించగలిగేది. లీడర్‌బోర్డులు, గుర్తింపు మరియు పూర్తి చేసినందుకు ఇచ్చే బ్యాడ్జ్‌లు, ప్రజలను వృత్తిపరమైన సర్టిఫికేషన్‌లను పొందడానికి పురికొల్పే అవే పోటీతత్వం మరియు సాధన ప్రేరణను కలిగిస్తాయి.

ఉద్యోగులు తమ భద్రతా అవగాహన పురోగతిని గుర్తించడం ప్రారంభించినప్పుడు లేదా ఫిషింగ్ సిమ్యులేషన్‌లో తమ బృందం యొక్క బలమైన పనితీరును గమనించినప్పుడు, భద్రత అనేది ఇకపై ఏదో కంప్యూటర్ నిపుణుడి సమస్య కాదు, అది ఒక వృత్తి నిపుణుడి గుర్తింపుగా మారుతుంది. మరియు అక్కడే నిజమైన సైబర్‌సెక్యూరిటీ సంస్కృతి ఏర్పడుతుంది – పోస్టర్‌లు, మౌస్ ప్యాడ్‌లు లేదా మెత్తటి బొమ్మల నుండి కాదు, ఉద్యోగి హ్యాండ్‌బుక్‌లోని హెచ్చరిక స్టిక్కర్‌ల నుండి కూడా కాదు.

ఒక మంచి వృత్తి నిపుణుడు ఎలా పనిచేస్తాడో అనేదానికి ఇవి ప్రాథమిక అవసరాలని ఉద్యోగులు అంగీకరించినప్పుడు, MFAను స్వీకరించడం, షాడో ITని తగ్గించడం, మరియు టెయిల్‌గేటింగ్ లేదా పిగ్గీబ్యాకింగ్‌ను సరిగ్గా ప్రశ్నించడం వంటి భౌతిక భద్రతా సాంస్కృతిక అంశాలు కూడా మెరుగుపడతాయి. మీరు నిబంధనలను పాటించమని ఒత్తిడి చేయడం లేదు; మీరు సామర్థ్యాన్ని ప్రోత్సహిస్తున్నారు.

సంఘటనలకు ఉత్తమంగా స్పందించే సంస్థలు అంటే, అత్యంత అద్భుతమైన, ఎక్స్-ప్రైజ్ స్థాయి భద్రతా సాంకేతికతను కలిగి ఉన్నవి కావు. అవి ఏ సంస్థలంటే, తమ ఉద్యోగులు వృత్తిపరంగా సమర్థులుగా ఉండటానికి ప్రేరణ పొంది, ఏదైనా వింతగా అనిపించినప్పుడు వెంటనే సహాయం కోరే సంస్థలు.