Forestil dig dette: Som en del af en øvelse til at undervise i sikkerhedsbevidsthed, går medarbejderne ind i et rum. Et egentligt, fysisk driftssikkerheds-"escape room", som i første omgang ligner et almindeligt kontorlokale. Men efterhånden som folk kigger nærmere og spiller rolle som kriminelle sociale ingeniører, der brød ind i bygningen, begynder de at få øje på information, som de kan bruge til uhyggelige formål.
For eksempel er der en adgangskode i en skraldespand. Og der er et videokonferencemøde, der ikke er lukket. Rundt omkring deltagerne er der spor, der kan hjælpe dem med at udnytte virksomheden. Håbet er, at denne oplevelse hjælper dem med at se gennem øjnene på en kriminel - og efterlader dem at forstå vigtigheden af fysisk sikkerhed. Når de er færdige, er målet at få dem til at huske behovet for at holde ting som whiteboards rene, bærbare computere låst og dokumenter skjult eller makuleret for at beskytte virksomheden.
Dette er den slags træning i sikkerhedskendskab som Kim Burton, chef for tillid og compliance hos Tessian, har brugt til at sikre, at uddannelse sætter sit præg på medarbejderne.
Opmærksomhedstræning, der holder fast, er stadig et desperat behov, da menneskelige fejl er ansvarlige for mange brud og datatab. Faktisk den seneste Verizon Data Breach Investigations Report fandt ud af, at 74 % af overtrædelserne involverede det menneskelige element, som omfatter social engineering angreb, fejl eller misbrug.
Tal afslører også, at mange virksomheder stadig kommer til kort i deres levering af bevidsthedstræning. Ny data fra Hornetsecurity fandt ud af, at 33 % af virksomhederne ikke leverer nogen cybersikkerhedsbevidsthedstræning til brugere, der arbejder eksternt, et almindeligt arrangement i en post-COVID-verden. Og de organisationer, der tilbyder bevidsthedstræning - uanset om det er til medarbejdere på stedet eller til fjernmedarbejdere - administrerer det ofte kun årligt. Dette er langt fra effektivt, ifølge Lisa Plaggemier, administrerende direktør hos National Cyber Security Alliance, som har en lang historie med at udvikle og drive sikkerhedsbevidsthedsprogrammer.
Det er på tide, siger hun, at organisationer tager sig sammen, når det kommer til effektiv opmærksomhed.
“Kort men hyppig; ikke mere af det her sludder en gang om året,” siger hun.
Go Beyond Compliance
Men mere frekvens er kun én af mange måder, som moderne sikkerhedsbevidsthedstræning skal forbedres på. Hvordan ser en effektiv træning i sikkerhedsbevidsthed ud i et trusselslandskab i konstant udvikling?
"Hos National Cybersecurity Alliance er meget af den adfærd, vi forsøger at påvirke, den samme, så rådene er de samme - ved at bruge MFA, rapportere phishing osv. - men vi leverer dem gennem unikke beskeder over tid," siger Plaggemier. "Disse beskeder bruger forskellige tilgange: historiefortælling fra et offers perspektiv, historiefortælling fra forsvarerens perspektiv, udnyttelse af aktuelle begivenheder i overskrifterne."
Overbevisende, rettidig, engagerende og mindeværdig. Det lyder simpelt, ikke? Men det er det ikke. Det vigtigste problem, der holder mange virksomheder tilbage, er holdning, siger Dr. Jason Nurse, direktør for videnskab og forskning hos CybSafe og lektor i cybersikkerhed ved University of Kent.
"Mange programmer for sikkerhedsbevidsthed falder stadig flade, fordi organisationen ser uddannelsen som en boks, der skal sættes kryds," siger han. "Organisationer fokuserer ofte på overholdelse og opfyldelse af de grundlæggende krav, hvilket kan resultere i træning, der mangler dybde og engagement."
Skab 'klæbende' opmærksomhed
Hvordan kan sikkerhedsledere sammensætte et program, der går langt ud over compliancemandater og forme træning til noget, folk ikke kun husker, men faktisk bruger, når de står over for risikobaserede beslutninger?
En måde er at levere indholdet gennem en kommunikationskanal, der fungerer for dem, siger Nurse. Forskning af CybSafe tidligere i år fandt, at 79 % af kontormedarbejdere sandsynligvis vil handle på sikkerhedsrådgivning på de platforme, de bruger dagligt, såsom Slack og Teams. Og 90 % af de adspurgte mente, at sikkerhedsnyt på instant messaging platforme ville være værdifulde. Tilsvarende var det dobbelt så sandsynligt, at folk, der modtog cyberinformation dagligt og ugentligt, huskede al deres træning som dem, der modtog den månedligt, kvartalsvis eller årligt.
"Selvom en grundlæggende forståelse af cyberhygiejne er afgørende gennem regelmæssig, engagerende træning, er det lige så vigtigt at hjælpe medarbejderne, når de har brug for det i et nyttigt format," siger Nurse. “Uddannelse bør gå ud over blot at formidle information; den skal vejlede enkeltpersoner om, hvordan de kan opføre sig sikkert i deres daglige aktiviteter. Desuden skal det sikre, at folk ved, hvor de skal søge hjælp, når de har brug for det.”
En anden måde at få det til at betyde mere er at gøre træning rollebaseret. One-size-fits-all er "i en vis grad nødvendig for overholdelse," siger Plaggemier, "men når du har opfyldt din compliance-forpligtelse, bør folk modtage uddannelse, der passer til deres rolle og de specifikke risici, der påvirker dem. ”
Tessians Burton siger, at ud over at gøre det for generisk, undlader mange organisationer at tage kulturen og det store billede i betragtning, når de udtænker træning.
”Programmerne tager ikke hensyn til medarbejdernes holistiske erfaringer, såsom den nuværende kultur i organisationen, de aktuelle signaler fra ledelsen om vigtigheden af sikker praksis, og hvor den generelle medarbejder bliver bedt om at bruge det meste af deres tid og energi,” siger hun. "Sikkerhedsbevidsthedsprogrammer kan forsømme ikke-ingeniørmedarbejdere, og ingeniører kan mangle mentorskab til at integrere materialet i deres praksis."
"Der er ikke én rigtig måde at træne folk til at være cybersikre. Der er kun den rigtige vej for din organisation, afdeling eller team,” tilføjer Nurse.
Spil til værelset
En anden vigtig faktor for klæbrig bevidsthed er at kende dit publikum, siger Burton. Som en god stand-up komiker skal du forstå, hvem du spiller for, hvis du vil have dem til at huske, hvad du fortæller dem.
"Det første skridt er empati," siger hun. ”Sikkerhedsunderviseren har brug for en dyb forståelse af de mennesker, de underviser. Gentagelse over længere tid, samtidig med at indhold introduceres på en række forskellige måder, vil også sikre tilbagekaldelse. Og glem endelig ikke at have det sjovt. Organisationer mister ofte interesse og engagement på grund af frygt for at være for mærkelige. Men folk er mere tilbøjelige til at beholde unikt indhold. Underligt er godt! Vær sjov, vær kreativ, find glæde!”
Burton har udover flugtrummet også haft ansatte til at deltage i en historiekonkurrence, der bad medarbejderne om at skrive en "uhyggelig Halloween-fortælling" om, hvordan de ville angribe virksomheden. Hun har også skabt fortællinger, der sætter folk i positionen som sikkerhedsanalytiker i virksomheden, hvor de skal vurdere eksterne leverandørers sikkerhed.
Den mest effektive sikkerhedstræning, siger hun, dækker kernerisici, som virksomheden er bekymret over; den er skræddersyet til publikum; koncepterne præsenteres over tid og på en række forskellige måder; og materialet er mindeværdigt på grund af dets unikke levering, humor eller kreative oplevelse.
"Nøglekomponenten har været, og vil altid være, et fokus på menneskerne selv."
SÅDAN GÅR DU FRA GLEMMELIG TIL MINDELIG SIKKERHEDSBEVÆGTIGHED
Træning i klæbrig sikkerhedsbevidsthed kan være uhåndgribelig for mange organisationer. Og med 74 % af sikkerhedshændelser direkte knyttet til menneskelige fejl, er det vigtigt at finde måder at nå ud til medarbejdere og hjælpe dem med at forstå cyberrisici. Kim Burton, leder af tillid og overholdelse af Tessian, bruger en række forskellige træningsteknikker i sine programmer. Her er de vigtige principper, hun siger, du skal huske på, når du laver et program i din egen virksomhed.
- Arbejd med, hvordan mennesker arbejder: Brug information om, hvordan menneskelig hukommelse fungerer, hvordan mennesker lærer, hvilke incitamenter der giver de bedste langsigtede resultater.
- Holistisk tilgang: Forstå medarbejderne. Hvilket pres møder de? Hvordan er den lokale kultur? Hvordan er den interne kultur? Hvilken faglig baggrund har disse mennesker? Hvordan opfattes sikkerhedsteamet eller it-teamet internt i øjeblikket? Forkæmper ledere sikkerhed?
- Fortælle historier: Del rigtige anekdoter, fortæl historier fra branchen eller din erfaring, og brug eksempler. Dette hjælper folk med at se sig selv i fortællingen. Ideelt set ville hver enkelt være i stand til at se, hvordan de unikt bidrager til organisationens sikkerhedshistorie.
- gamification: Gå ud over en rangliste. Gør det sjovt at engagere sig i sikkerhedsindhold ved at bruge din viden om, hvordan folk arbejder, og den holistiske oplevelse af at arbejde i din virksomhed. Lav gåder, tilskynd til nysgerrighed og mystik, genskab glæden ved opdagelse ved læring, påpeg fremskridt, og brug positiv forstærkning til sikker adfærd.
- Byg tillid: Opbyg relationer internt. Bliv en betroet informationskilde, men også en sikker person at være sårbar overfor om svære begreber, sikkerhedsfejl og generelle bekymringer. Sikkerhedsunderviseren skal være en af de mest kendte personer i virksomheden.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- :har
- :er
- :ikke
- :hvor
- 7
- a
- I stand
- Om
- Ifølge
- Konto
- Lov
- aktiviteter
- faktiske
- faktisk
- Desuden
- Tilføjer
- forvalte
- rådgivning
- påvirke
- Alle
- Alliance
- også
- altid
- an
- analytiker
- ,
- Årligt
- enhver
- tilgange
- passende
- ER
- omkring
- arrangement
- AS
- Associate
- At
- angribe
- Angreb
- holdning
- publikum
- bevidsthed
- tilbage
- baggrunde
- grundlæggende
- BE
- fordi
- bliver
- været
- adfærd
- være
- væsener
- BEDSTE
- Beyond
- Big
- Store billede
- Boks
- brud
- brud
- Broke
- bygge
- Bygning
- virksomhed
- men
- by
- CAN
- champion
- Kanal
- tættere
- kommer
- Fælles
- Kommunikation
- Virksomheder
- selskab
- Compliance
- komponent
- begreber
- pågældende
- Bekymringer
- Konference
- Overvej
- konstant
- indhold
- bidrage
- Core
- kunne
- Dækker
- oprettet
- Oprettelse af
- Kreativ
- Criminal
- afgørende
- Medarbejder kultur
- nysgerrighed
- Nuværende
- For øjeblikket
- Cyber
- cybersikkerhed
- Cybersecurity
- dagligt
- data
- bruddet
- datatab
- dag til dag
- afgørelser
- dyb
- Degree
- fryde
- levere
- levering
- Afdeling
- dybde
- desperat
- udvikling
- forskellige
- svært
- direkte
- Direktør
- opdagelse
- do
- dokumenter
- gør
- Don
- færdig
- dr
- grund
- hver
- tidligere
- Effektiv
- element
- empati
- Medarbejder
- medarbejdere
- tilskynde
- energi
- engagement
- engagerende
- Engineering
- Ingeniører
- sikre
- Indtast
- lige
- fejl
- fejl
- undslippe
- væsentlig
- etc.
- evaluere
- begivenheder
- udviklende
- eksempel
- eksempler
- udøvende
- Administrerende direktør
- ledere
- Dyrke motion
- erfaring
- Oplevelser
- Exploit
- ekstern
- Øjne
- Ansigtet
- konfronteret
- Faktisk
- faktor
- FAIL
- Fall
- langt
- frygt
- Endelig
- Finde
- Fornavn
- flad
- Fokus
- Til
- format
- fundet
- Frekvens
- hyppig
- hyppigt
- fra
- sjovt
- sjovt
- Endvidere
- Generelt
- få
- Go
- mål
- godt
- vejlede
- havde
- halloween
- Have
- he
- hoved
- Overskrifter
- hjælpe
- hjælpsom
- hjælper
- hende
- link.
- Skjult
- historie
- bedrift
- holistisk
- håber
- Hvordan
- How To
- Men
- HTTPS
- menneskelig
- Menneskeligt element
- humor
- ideelt
- if
- betydning
- vigtigt
- Forbedre
- in
- Incitamenter
- omfatter
- individuel
- enkeltpersoner
- industrien
- indflydelse
- oplysninger
- øjeblikkelig
- integrere
- interesse
- interne
- internt
- ind
- indføre
- Undersøgelser
- involverede
- IT
- ITS
- jpg
- lige
- Holde
- Nøgle
- Kim
- Venlig
- Kend
- Kendskab til
- viden
- Mangel
- landskab
- laptops
- ledere
- Leadership" (virkelig menneskelig ledelse)
- LÆR
- læring
- til venstre
- løftestang
- ligesom
- Sandsynlig
- lokale
- låst
- Lang
- langsigtet
- længere
- Se
- ligner
- UDSEENDE
- taber
- off
- Lot
- lave
- Making
- mandater
- mange
- markere
- materiale
- Kan..
- betyde
- møde
- mindeværdig
- Hukommelse
- mentorskab
- beskeder
- messaging
- MFA
- tankerne
- fejl
- misbruge
- Moderne
- månedligt
- mere
- mest
- bevæge sig
- bevæger sig
- skal
- Mystery
- FORTÆLLING
- fortællinger
- national
- nødvendig
- Behov
- behov
- behov
- Ny
- ingen
- forpligtelse
- of
- Office
- tit
- on
- engang
- ONE
- kun
- operationelle
- or
- organisation
- organisationer
- ud
- udfald
- i løbet af
- egen
- del
- deltagere
- Adgangskode
- Mennesker
- folk arbejder
- opfattet
- periode
- person,
- perspektiv
- Phishing
- fysisk
- billede
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- spiller
- Punkt
- position
- positiv
- praksis
- praksis
- forelagt
- pres
- Problem
- professionel
- Professor
- Program
- Programmer
- Progress
- beskytte
- give
- forudsat
- leverer
- formål
- sætte
- Puslespil
- RE
- nå
- ægte
- modtaget
- modtagende
- nylige
- fast
- Relationer
- huske
- fjern
- Rapportering
- Krav
- forskning
- respondenter
- ansvarlige
- resultere
- tilbageholde
- afsløre
- højre
- risici
- roller
- Værelse
- kører
- s
- sikker
- samme
- siger
- Videnskab
- sikker
- sikkert
- sikkerhed
- Sikkerhedsbevidsthed
- Sikkerhed begivenheder
- se
- Søg
- Shape
- Del
- hun
- Kort
- bør
- signaler
- Tilsvarende
- Simpelt
- slæk
- So
- Social
- Samfundsteknologi
- noget
- Kilde
- specifikke
- Spot
- starte
- Trin
- klæbrig
- Stadig
- Historier
- Story
- historiefortælling
- sådan
- sikker
- skræddersyet
- Tag
- fortælling
- Undervisning
- hold
- hold
- teknikker
- fortælle
- fortæller
- grundsætninger
- at
- deres
- Them
- selv
- Der.
- Disse
- de
- ting
- denne
- i år
- dem
- tænkte
- trussel
- Gennem
- Tied
- tid
- rettidig
- til
- sammen
- også
- Tog
- Kurser
- Stol
- betroet
- forsøger
- To gange
- forstå
- forståelse
- enestående
- entydigt
- universitet
- brug
- anvendte
- brugere
- bruger
- ved brug af
- Værdifuld
- række
- Ve
- leverandører
- Tele Danmark Mobil
- Victim
- video
- video konference
- visninger
- Sårbar
- ønsker
- Vej..
- måder
- we
- ugentlig
- Kendt
- var
- Hvad
- Hvad er
- hvornår
- hvorvidt
- som
- mens
- WHO
- vilje
- med
- inden for
- Arbejde
- arbejdere
- arbejder
- virker
- world
- ville
- skriver
- år
- Du
- Din
- zephyrnet