Karamihan sa mga talakayan tungkol sa seguridad ay naglalarawan sa mga empleyado bilang isang pananagutan. Kasunod nito, ang pagsasanay na ibinigay ay nagpapatibay sa ideyang ito – sa pamamagitan ng mahahabang taunang presentasyon, at nakababahalang mga kahihinatnan na nakabalangkas para sa anumang pagkakamaling maaaring gawin ng mga empleyado. Ang pamamaraang ito ay nagdudulot ng takot, kawalang-interes, at halos walang pagbabago sa pag-uugali. Gayunpaman, may alternatibong pamamaraan na magagamit, ang premisa ay kailangan lamang baligtarin.
Bakit hindi epektibo ang pagsasanay na nakabatay sa takot
Ayon sa Ulat sa mga Imbestigasyon ng Paglabag sa Data ng Verizon, 74% ng lahat ng paglabag sa datos ay may kinalaman sa elemento ng tao. Ito man ay isang matagumpay na pag-atake sa social engineering, isang error, o maling paggamit. Kadalasang ginagamit ito ng mga taong nagbabahagi ng mga istatistikang ito upang ipahiwatig na ang mga empleyado ay isang kahinaan, gayunpaman, ang istatistika ay talagang nagpapakita na ang pag-uugali ng tao ang target ng isang pag-atake – at ang pag-uugali ng tao rin ang lugar kung saan mo ito mapipigilan.
Ang pagsasanay na nakabatay sa takot ay nakikita ang estadistikang iyon bilang isang paghatol. Ang pagsasanay na nakabatay sa kamalayan ay nakikita ito bilang isang pagkakataon. Kapag napagtanto ng iyong mga tao na sila ang unang linya ng pagtuklas – hindi isang mahinang kawing – binabago nila ang kanilang pag-iisip. Napapansin nila ang mga bagay na hindi nila napansin noon. Nagsasalita sila, sa halip na tahimik na umasa na mali sila.
Hindi gaanong mahalaga ang teknikal na kontrol kaysa sa sikolohikal na kontrol na ito.
Paglampas sa taunang checkbox
Gawin ang pagsasanay sa seguridad ng empleyado mula sa isang kaisipang "compliance-first", at ito ang siklo kung kailan mo kinakasangkutan ang iyong sarili. May naka-iskedyul na sesyon, dadalo ang iyong team (sana), titingnan ang isang video o presentasyon, may mamarkahan sa iyong security audit, at walang magbabago hanggang sa parehong oras sa susunod na taon, kung kailan mo ulit ito gagawin. Sa puntong iyon, halos lahat ng impormasyon at kontekstong iyon ay matagal nang nawala sa panandaliang memorya ng iyong team. Hugasan, banlawan, at ulitin.
Hindi ito pagkabigo ng isang pangkat, ito ay isang istruktural na pagkabigo. Ang pagkabulok ng memorya ng tao ay hindi gumagana sa loob ng 12-buwang siklo, (maganda sana kung nangyayari ito) marami sa mahahalagang impormasyon sa pagsasanay na iyon ay wala na sa isipan ng isang pangkat sa oras na pinakakailangan nila ito – sa susunod na may isang masamang balak na tumatarget sa iyong organisasyon.
Napatunayang mas mahusay ang mga automated training cycle kaysa sa kanilang mga taunang, manu-manong, workshop sa iisang dahilan: sa pamamagitan ng pag-iisip ng seguridad sa buong taon, hindi lamang sa panahon ng seminar. Pagsasanay sa kamalayan sa seguridad Ang paghahatid sa pamamagitan ng isang awtomatikong plataporma ay nagbibigay-daan sa iyong maabot ang lahat, subaybayan ang progreso, at umangkop batay sa aktwal na pag-uugali – kaya ang isang pangkat na nagsasagawa ng mahusay na seguridad sa pagtatrabaho mula sa bahay sa panahon ng isang nakaka-stress na Marso ay mas malamang na hindi magkamali sa Disyembre.
Ang modelo ng pagkatuto na just-in-time
Ang pagsasanay sa kamalayan sa seguridad ng empleyado ay pinakamabisa kapag naisagawa sa pinakamainam na oras. Halimbawa, kapag ang isang empleyado ay nag-click sa isang phishing simulation link, ang tugon ay hindi dapat basta iulat lamang ang mga ito at tapos na. Sa halip, iyon ang perpektong pagkakataon upang bigyan sila agad ng isang maikli at nakapokus na modyul sa pag-aaral.
Ang pamamaraang ito, na kilala rin bilang just-in-time learning, ay nag-uulat ng mas mahusay na retention rates kaysa sa pre-scheduled training. Ang aral ay direktang nauugnay sa nangyari. Hindi nararamdaman ng empleyado na pinarurusahan siya ngunit sa halip ay natututo siya kung ano ang dapat iwasan sa tamang sandali kung kailan pinakakailangan ang impormasyong ito.
Pagbuo ng kultura ng pag-uulat na walang sisihan
Hindi maiiwasan na kahit ang mga empleyadong may pinakamahuhusay na kasanayan ay magkakamali paminsan-minsan. Ang pagkakaiba sa pagitan ng isang maliit na insidente at isang ganap na paglabag ay kadalasang kung gaano kabilis naiuulat ang pagkakamali. Kung ang mga empleyado ay natatakot na gumanti, mananahimik sila. Lalala ang paglabag. At sa oras na may makapansin na, mas magiging magastos ang pagbawi.
Kaya naman ang isang mahusay na pagtukoy at hindi nagpaparusa na proseso ng pag-uulat ay isa sa pinakamahalagang bagay na maaaring ipatupad ng isang organisasyon. Ipinapakita nito sa mga empleyado na ang paghahanap at pag-uulat agad ng pagkakamali ang tamang tugon – hindi isang bagay na dapat pagtakpan. Lumilikha rin ito ng mga alarma na magagamit ng iyong mga kawani ng seguridad bago pa man lumala ang isang paglabag.
At ito ay lubos na nagpapakita ng panganib ng insider threat sa paraang hindi natin madalas na napag-uusapan. Karamihan sa mga insidente ng insider ay hindi malisyoso. Ang mga ito ay mga pagkakamali – isang taong nag-i-install ng hindi awtorisadong software, nalinlang ng isang pakunwaring pag-atake, maling pag-configure ng isang cloud server. Ang isang kultura ng kaligtasan sa pag-uulat ay nakakahuli sa mga ito bago pa man ito lumala. Ang isang kultura ng paninisi ay nagpapahintulot sa kanila na magtago.
Gawing parang isang propesyonal na kasanayan ang seguridad
Minsan, ang gamification ay itinuturing na isang maliit na bagay, ngunit talagang epektibo ito dahil binabago nito ang konteksto: ang pagsasanay na ito ay hindi isang bagay na ibinibigay sa mga empleyado, ito ay isang bagay na maaari nilang maging mahusay. Ang mga leaderboard, pagkilala, at mga badge ng pagkumpleto ay nagpapalitaw ng parehong motibasyon sa kompetisyon at tagumpay na nagtutulak sa mga tao na magpursige para sa mga propesyonal na sertipikasyon.
Kapag sinimulang markahan ng mga empleyado ang kanilang pag-unlad sa kamalayan sa seguridad o napansin ang mahusay na pagganap ng kanilang koponan sa isang phishing simulation, ang seguridad ay hindi na problema ng isang computer nerd, ito ay pagkakakilanlan ng isang propesyonal. At doon nabubuo ang tunay na kultura ng cybersecurity – hindi mula sa mga poster, mouse pad o malalambot na laruan, o mula sa mga warning sticker sa handbook ng empleyado.
Ang pag-aampon ng MFA, pagbabawas ng shadow IT, at maging ang mga aspeto ng kultura ng pisikal na seguridad tulad ng wastong hamon para sa tailgating o piggybacking, ay bumubuti kapag naniniwala ang mga empleyado sa ideya na ang mga ito ay nakataya sa kung paano gumagana ang isang mahusay na propesyonal. Hindi mo itinutulak ang pagsunod; itinutulak mo ang kakayahan.
Ang mga organisasyong pinakamahusay na tumutugon sa mga insidente ay hindi iyong mga may pinaka-hindi kapani-paniwala at karapat-dapat sa X-Prize na teknolohiya sa seguridad. Sila ang mga organisasyong ang mga empleyado ay may motibasyon na maging propesyonal na may kakayahan at, kapag may nakita silang kakaiba, agad na humihingi ng tulong.