Більшість обговорень безпеки зображують працівників як обтяжливість. Згодом, навчання, яке проводиться, підкріплює цю ідею – з тривалими щорічними презентаціями та тривожними наслідками, окресленими за будь-які помилки, які можуть припуститися працівники. Такий підхід вселяє страх, байдужість і майже не призводить до змін у поведінці. Однак існує альтернативний підхід, просто потрібно змінити передумову.
Чому навчання на основі страху не є ефективним
Згідно зі Звіт Verizon про розслідування витоку даних74% усіх порушень даних пов’язані з людським фактором. Чи то успішна атака соціальної інженерії, помилка чи неправильне використання. Люди, які діляться цією статистикою, часто використовують її, щоб вказати на те, що співробітники є слабкістю, проте статистика насправді показує, що людська поведінка є ціллю атаки, і саме людська поведінка є тим місцем, де ви можете її зупинити.
Тренінг, заснований на страху, розглядає цю статистику як судження. Тренінг, заснований на усвідомленні, розглядає її як можливість. Коли ваші люди усвідомлюють, що вони є першою лінією виявлення, а не слабкою ланкою, вони змінюють свій спосіб мислення. Вони помічають речі, яких ніколи раніше не помічали. Вони говорять про це, а не мовчки сподіваються, що помиляються.
Технічний контроль має менше значення, ніж цей психологічний.
Перехід за межі щорічного прапорця
Підійдіть до навчання співробітників з питань безпеки з позиції «дотримання вимог» – це цикл, у який ви себе замикаєте. Заплановано сеанс, ваша команда (сподіваємося) з’являється, переглядає відео або презентацію, ставиться галочка у вашому аудиті безпеки, і нічого не змінюється до того ж часу наступного року, коли ви повторите все спочатку. На той момент майже вся ця інформація та контекст давно вийшли з короткочасної пам’яті вашої команди. Помийте, прополощіть і повторіть.
Це не командний провал, це структурний провал. Погіршення людської пам'яті не відбувається за 12-місячним циклом (було б круто, якби це було так), і багато цінної навчальної інформації вже не існує в голові команди, коли вона їй найбільше потрібна – наступного разу, коли щось зловмисне націлиться на вашу організацію.
Автоматизовані навчальні цикли, як доведено, перевершують щорічні, ручні, семінари саме з однієї причини: вони пам'ятають про безпеку протягом усього року, а не лише під час семінару. Тренінг з питань безпеки надані через автоматизовану платформу дозволяють вам охопити всіх, відстежувати прогрес та адаптуватися на основі фактичної поведінки – тому команда, яка дотримується належної безпеки, працюючи з дому під час стресового березня, набагато рідше допускає помилки в грудні.
Модель навчання «точно в строк»
Навчання з питань безпеки для співробітників є найефективнішим, коли проводиться в оптимальний час. Наприклад, коли співробітник натискає на посилання для симуляції фішингу, реакцією не повинно бути просто повідомлення про нього та завершення цього процесу. Натомість, це ідеальна нагода одразу надати їм короткий, цілеспрямований навчальний модуль.
Такий підхід, також відомий як навчання «точно вчасно», демонструє кращі показники утримання персоналу, ніж заздалегідь заплановане навчання. Урок безпосередньо пов’язаний з тим, що сталося. Працівник не відчуває себе покараним, а натомість дізнається, чого слід уникати, саме в потрібний момент, коли ця інформація найбільше потрібна.
Формування культури беззвинувачення у звітності
Навіть найдосвідченіші співробітники неминуче час від часу припускаються помилок. Різниця між незначним інцидентом і повноцінним порушенням часто полягає в тому, як швидко про помилку повідомляють. Якщо співробітники бояться помсти, вони мовчатимуть. Порушення буде ескалуватися. І до того часу, як хтось нарешті це помітить, відновлення буде набагато дорожчим.
Ось чому чітко визначений процес звітності без каральних заходів є однією з найважливіших речей, які може запровадити організація. Він показує співробітникам, що негайне виявлення та повідомлення про помилку – це правильна реакція, а не те, що потрібно приховувати. Це також створює сигнали тривоги, які ваші співробітники служби безпеки можуть використовувати, перш ніж порушення вийде з-під контролю.
І це безперечно говорить про ризик внутрішньої загрози, про який ми недостатньо часто говоримо. Більшість внутрішніх інцидентів не є зловмисними. Це помилки – встановлення неавторизованого програмного забезпечення, обман під приводом атаки, неправильне налаштування хмарного сервера. Культура безпеки у звітності виявляє таких людей до того, як вони погіршать ситуацію. Культура звинувачень дозволяє їм сховатися.
Зробіть так, щоб безпека відчувалася як професійна навичка
Іноді гейміфікацію вважають банальністю, але вона насправді працює, бо змінює контекст: це навчання не те, що дають співробітникам, це те, у чому вони можуть бути хорошими. Таблиці лідерів, визнання та значки завершення викликають ту саму мотивацію до змагання та досягнення, яка спонукає людей до отримання професійних сертифікатів.
Коли співробітники починають відзначати свій прогрес у сфері безпеки або помічають високі показники своєї команди у фішинговій симуляції, безпека вже не є проблемою якогось комп’ютерного фаната, а професійною ідентичністю. І саме тут формується справжня культура кібербезпеки – не з плакатів, килимків для миші чи м’яких іграшок, ані з попереджувальних наліпок у посібнику для співробітників.
Впровадження багатофакторної автентифікації (MFA), скорочення тіньових ІТ-застосунків і навіть культурні аспекти фізичної безпеки, такі як належне реагування на непрямі дії або підрядні дії, покращуються, коли співробітники розуміють, що це ключові фактори для роботи хорошого професіонала. Ви не наполягаєте на дотриманні вимог; ви наполягаєте на компетентності.
Організації, які найкраще реагують на інциденти, — це не ті, що мають найнеймовірніші технології безпеки, гідні X-Prize. Це організації, співробітники яких мотивовані бути професійно компетентними та, коли бачать щось дивне, негайно звертаються за допомогою.