Stellen Sie sich Folgendes vor: Im Rahmen einer Übung zur Schulung des Sicherheitsbewusstseins betreten Mitarbeiter einen Raum. Ein tatsächlicher, physischer „Escape Room“ für die Betriebssicherheit, der auf den ersten Blick wie ein normaler Büroraum aussieht. Aber wenn die Leute genauer hinsehen und in Rollenspiele krimineller Sozialingenieure schlüpfen, die in das Gebäude eingebrochen sind, beginnen sie, Informationen zu entdecken, die sie für schändliche Zwecke verwenden können.
In einem Mülleimer liegt zum Beispiel ein Passwort. Und es gibt eine Videokonferenz, die noch nicht abgeschlossen ist. Überall um die Teilnehmer herum finden sich Hinweise, die ihnen helfen könnten, das Geschäft auszunutzen. Die Hoffnung ist, dass diese Erfahrung ihnen hilft, durch die Augen eines Kriminellen zu sehen – und ihnen die Bedeutung der physischen Sicherheit bewusst macht. Sobald sie fertig sind, besteht das Ziel darin, sie daran zu erinnern, dass Dinge wie Whiteboards sauber, Laptops verschlossen und Dokumente versteckt oder geschreddert bleiben müssen, um das Unternehmen zu schützen.
Das ist die Art von Schulung zum Thema Sicherheitsbewusstsein Kim Burton, Leiterin für Vertrauen und Compliance bei Tessian, hat dafür gesorgt, dass Schulungen bei den Mitarbeitern Spuren hinterlassen.
Es ist immer noch dringend erforderlich, das Bewusstsein dafür zu schärfen, dass menschliches Versagen für viele Verstöße und Datenverluste verantwortlich ist. Tatsächlich das Neueste Verizon Data Breach Investigation Report fanden heraus, dass bei 74 % der Verstöße eine menschliche Komponente beteiligt war, darunter Social-Engineering-Angriffe, Fehler oder Missbrauch.
Die Zahlen zeigen auch, dass viele Unternehmen bei der Bereitstellung von Sensibilisierungsschulungen immer noch unzureichend sind. Neu Daten von Hornetsecurity fanden heraus, dass 33 % der Unternehmen Benutzern, die remote arbeiten, keine Schulung zum Thema Cybersicherheit anbieten, was in einer Post-COVID-Welt üblich ist. Und diejenigen Organisationen, die Sensibilisierungsschulungen anbieten – sei es für Mitarbeiter vor Ort oder an entfernten Standorten –, führen diese oft nur jährlich durch. Laut Lisa Plaggemier, Geschäftsführerin der National Cyber Security Alliance, die auf eine lange Erfahrung in der Entwicklung und Durchführung von Sicherheitsbewusstseinsprogrammen zurückblickt, ist dies alles andere als effektiv.
Es sei an der Zeit, sagt sie, dass Organisationen ihre Kräfte bündeln, wenn es um eine wirksame Sensibilisierung geht.
„Kurz, aber häufig; Schluss mit diesem alljährlichen Unsinn“, sagt sie.
Gehen Sie über Compliance hinaus
Eine höhere Häufigkeit ist jedoch nur eine von vielen Möglichkeiten, wie moderne Sicherheitsbewusstseinsschulungen verbessert werden müssen. Wie sieht in einer sich ständig weiterentwickelnden Bedrohungslandschaft ein effektives Security-Awareness-Training aus?
„Bei der National Cybersecurity Alliance sind viele Verhaltensweisen, die wir zu beeinflussen versuchen, die gleichen, daher ist der Rat derselbe – Verwendung von MFA, Meldung von Phishing usw. – aber wir übermitteln sie im Laufe der Zeit durch einzigartige Nachrichten“, sagt Plaggemier. „Diese Botschaften nutzen unterschiedliche Ansätze: Geschichtenerzählen aus der Perspektive eines Opfers, Geschichtenerzählen aus der Perspektive des Verteidigers, Nutzung aktueller Ereignisse in den Schlagzeilen.“
Überzeugend, zeitgemäß, fesselnd und einprägsam. Es klingt einfach, oder? Aber es ist nicht. Das Hauptproblem, das viele Unternehmen zurückhält, ist ihre Einstellung, sagt Dr. Jason Nurse, Direktor für Wissenschaft und Forschung bei CybSafe und außerordentlicher Professor für Cybersicherheit an der University of Kent.
„Viele Sicherheitsbewusstseinsprogramme scheitern immer noch, weil die Organisation die Schulung als ein Kästchen ansieht, das angekreuzt werden muss“, sagt er. „Organisationen konzentrieren sich oft auf Compliance und die Erfüllung der grundlegenden Anforderungen, was dazu führen kann, dass es der Schulung an Tiefe und Engagement mangelt.“
Schaffen Sie ein „klebriges“ Bewusstsein
Wie können Sicherheitsverantwortliche ein Programm zusammenstellen, das weit über Compliance-Anforderungen hinausgeht und Schulungen so gestalten, dass sie den Menschen nicht nur in Erinnerung bleiben, sondern auch tatsächlich genutzt werden, wenn sie mit risikobasierten Entscheidungen konfrontiert werden?
Eine Möglichkeit besteht darin, die Inhalte über einen für sie geeigneten Kommunikationskanal bereitzustellen, sagt Nurse. Forschung Eine Studie von CybSafe hat Anfang des Jahres herausgefunden, dass 79 % der Büroangestellten wahrscheinlich Sicherheitsratschläge befolgen, die auf den Plattformen, die sie täglich nutzen, wie Slack und Teams, bereitgestellt werden. Und 90 % der Befragten hielten Sicherheitsverbesserungen auf Instant-Messaging-Plattformen für wertvoll. Ebenso war die Wahrscheinlichkeit, dass sich Personen, die täglich und wöchentlich Cyber-Informationen erhielten, an ihre gesamte Schulung erinnerten, doppelt so hoch wie bei Personen, die diese monatlich, vierteljährlich oder jährlich erhielten.
„Während ein grundlegendes Verständnis der Cyber-Hygiene durch regelmäßige, ansprechende Schulungen unerlässlich ist, ist es ebenso wichtig, den Mitarbeitern bei Bedarf in einem hilfreichen Format zu helfen“, sagt Nurse. „Schulungen sollten über die bloße Vermittlung von Informationen hinausgehen; Es sollte Einzelpersonen dabei helfen, sich bei ihren täglichen Aktivitäten sicher zu verhalten. Darüber hinaus sollte sichergestellt werden, dass die Menschen wissen, wo sie bei Bedarf Hilfe suchen können.“
Eine andere Möglichkeit, ihm mehr Bedeutung zu verleihen, besteht darin, Folgendes zu tun: Machen Sie das Training rollenbasiert. Für die Compliance sei „ein gewisses Maß an Einheitlichkeit erforderlich“, sagt Plaggemier, „aber sobald Sie Ihrer Compliance-Verpflichtung nachgekommen sind, sollten die Mitarbeiter eine Schulung erhalten, die ihrer Rolle und den spezifischen Risiken, die sie betreffen, angemessen ist.“ ”
Burton von Tessian sagt, dass viele Organisationen nicht nur zu allgemein gehalten sind, sondern auch die Kultur und das Gesamtbild bei der Entwicklung von Schulungen nicht berücksichtigen.
„Die Programme berücksichtigen nicht die ganzheitlichen Erfahrungen der Mitarbeiter, wie z. B. die aktuelle Kultur der Organisation, die aktuellen Signale der Führung über die Bedeutung sicherer Praktiken und wo der Mitarbeiter im Allgemeinen den größten Teil seiner Zeit aufwenden soll.“ Energie“, sagt sie. „Sicherheitsbewusstseinsprogramme vernachlässigen möglicherweise Mitarbeiter, die keine technischen Kenntnisse haben, und Ingenieuren mangelt es möglicherweise an Mentoren, um das Material in ihre Praxis zu integrieren.“
„Es gibt keinen einzigen richtigen Weg, Menschen für Cybersicherheit auszubilden. Für Ihre Organisation, Abteilung oder Ihr Team gibt es nur den richtigen Weg“, fügt Nurse hinzu.
Spielen Sie im Raum
Ein weiterer wichtiger Faktor für eine bleibende Bekanntheit besteht darin, Ihr Publikum zu kennen, sagt Burton. Wie ein guter Stand-up-Comedian müssen Sie verstehen, vor wem Sie spielen, wenn Sie möchten, dass sich Ihr Gegenüber daran erinnert, was Sie ihm sagen.
„Der erste Schritt ist Empathie“, sagt sie. „Der Sicherheitspädagoge braucht ein tiefes Verständnis für die Menschen, die er unterrichtet. Auch die Wiederholung über einen längeren Zeitraum und die unterschiedliche Einführung von Inhalten sorgen für eine gute Erinnerung. Und zu guter Letzt: Vergessen Sie nicht, Spaß zu haben. Organisationen verlieren häufig Interesse und Engagement, weil sie befürchten, zu seltsam zu sein. Es ist jedoch wahrscheinlicher, dass Menschen einzigartige Inhalte behalten. Seltsam ist gut! Sei lustig, sei kreativ, finde Freude!“
Zusätzlich zum Escape Room hat Burton seine Mitarbeiter auch an einem Story-Wettbewerb teilnehmen lassen, bei dem die Mitarbeiter gebeten wurden, eine „gruselige Halloween-Geschichte“ darüber zu schreiben, wie sie das Unternehmen angreifen würden. Sie hat auch Erzählungen erstellt, die Menschen in die Position eines Sicherheitsanalysten im Unternehmen versetzen, in dem sie die Sicherheit externer Anbieter bewerten müssen.
Die effektivste Sicherheitsschulung deckt ihrer Meinung nach die Kernrisiken ab, über die sich das Unternehmen Sorgen macht; es ist auf das Publikum zugeschnitten; die Konzepte werden im Laufe der Zeit und auf unterschiedliche Weise präsentiert; und das Material ist aufgrund seiner einzigartigen Darbietung, seines Humors oder seiner kreativen Erfahrung unvergesslich.
„Der Schlüsselfaktor war und bleibt die Konzentration auf die Menschen selbst.“
WIE MAN VOM UNVERGESSLICHEN ZU UNVERGESSLICHEM SICHERHEITSBEWUSSTSEIN ENTWICKELT
Sticky-Schulungen zum Thema Sicherheitsbewusstsein können für viele Unternehmen schwer zu erreichen sein. Und da 74 % der Sicherheitsvorfälle direkt auf menschliches Versagen zurückzuführen sind, ist es wichtig, Wege zu finden, um Mitarbeiter zu erreichen und ihnen zu helfen, Cyberrisiken zu verstehen. Kim Burton, Leiterin für Vertrauen und Compliance bei Tessian, nutzt in ihren Programmen verschiedene Sensibilisierungstrainingstechniken. Hier sind die wichtigen Grundsätze, die Sie bei der Erstellung eines Programms in Ihrem eigenen Unternehmen beachten sollten.
- Arbeiten Sie mit der Art und Weise, wie Menschen arbeiten: Nutzen Sie Informationen darüber, wie das menschliche Gedächtnis funktioniert, wie Menschen lernen und welche Anreize langfristig die besten Ergebnisse liefern.
- Ganzheitlich vorgehen: Verstehen Sie die Mitarbeiter. Welchen Belastungen sind sie ausgesetzt? Wie ist die Kultur vor Ort? Wie ist die interne Kultur? Welchen beruflichen Hintergrund haben diese Menschen? Wie wird das Sicherheitsteam bzw. IT-Team derzeit intern wahrgenommen? Setzen sich Führungskräfte für Sicherheit ein?
- Erzähle Geschichten: Teilen Sie echte Anekdoten, erzählen Sie Geschichten aus der Branche oder Ihren Erfahrungen und verwenden Sie Beispiele. Dies hilft den Menschen, sich selbst in der Erzählung zu sehen. Im Idealfall könnte jeder Einzelne sehen, wie er auf einzigartige Weise zur Sicherheitsgeschichte der Organisation beiträgt.
- Gamification: Gehen Sie über eine Bestenliste hinaus. Sorgen Sie dafür, dass die Beschäftigung mit Sicherheitsinhalten Spaß macht, indem Sie Ihr Wissen über die Arbeitsweise von Menschen und die ganzheitliche Erfahrung der Arbeit in Ihrem Unternehmen nutzen. Machen Sie Rätsel, fördern Sie Neugier und Rätselhaftigkeit, wecken Sie die Freude am Entdecken beim Lernen, weisen Sie auf Fortschritte hin und nutzen Sie positive Verstärkung für sicheres Verhalten.
- Vertrauen aufbauen: Bauen Sie intern Beziehungen auf. Werden Sie zu einer vertrauenswürdigen Informationsquelle, aber auch zu einer sicheren Person, mit der Sie sich über schwierige Konzepte, Sicherheitsfehler und allgemeine Bedenken austauschen können. Der Sicherheitspädagoge sollte eine der bekanntesten Personen in der Branche sein.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- :hast
- :Ist
- :nicht
- :Wo
- 7
- a
- Fähig
- Über Uns
- Nach
- Konto
- Handlung
- Aktivitäten
- präsentieren
- berührt das Schneidwerkzeug
- Zusatz
- Fügt
- verwalten
- Beratung
- beeinflussen
- Alle
- Allianz
- ebenfalls
- immer
- an
- Analytiker
- und
- Jährlich
- jedem
- Ansätze
- angemessen
- SIND
- um
- Anordnung
- AS
- Partnerschaftsräte
- At
- Attacke
- Anschläge
- Haltung
- Publikum
- Bewusstsein
- Zurück
- Hintergründe
- basic
- BE
- weil
- werden
- war
- Verhaltensweisen
- Sein
- Wesen
- BESTE
- Beyond
- Big
- Großes Bild
- Box
- Verletzung
- Verstöße
- Pleite
- bauen
- Building
- Geschäft
- aber
- by
- CAN
- Champion
- Kanal
- näher
- kommt
- gemeinsam
- Kommunikation
- Unternehmen
- Unternehmen
- Compliance
- Komponente
- Konzepte
- betroffen
- Bedenken
- Konferenz
- Geht davon
- ständig
- Inhalt
- beitragen
- Kernbereich
- könnte
- Covers
- erstellt
- Erstellen
- Kreativ (Creative)
- Kriminell
- wichtig
- KULTUR
- Neugier
- Strom
- Zur Zeit
- Cyber-
- Internet-Sicherheit
- Internet-Sicherheit
- Unterricht
- technische Daten
- Datenmissbrauch
- Data Loss
- Täglich, von Tag zu Tag
- Entscheidungen
- tief
- Grad
- erfreuen
- Übergeben
- Lieferanten
- Abteilung
- Tiefe
- verzweifelt
- Entwicklung
- anders
- schwer
- Direkt
- Direktor
- Entdeckung
- do
- Unterlagen
- die
- Don
- erledigt
- dr
- zwei
- jeder
- Früher
- Effektiv
- Element
- Empathie
- Mitarbeiter
- Mitarbeiter
- ermutigen
- Energie
- Engagement
- Eingriff
- Entwicklung
- Ingenieure
- gewährleisten
- Enter
- gleichermaßen
- Fehler
- Fehler
- Flucht
- essential
- etc
- bewerten
- Veranstaltungen
- sich entwickelnden
- Beispiel
- Beispiele
- Exekutive
- Geschäftsführer
- Führungskräfte
- Training
- ERFAHRUNGEN
- Erfahrungen
- Ausnutzen
- extern
- Augenfarbe
- Gesicht
- konfrontiert
- Tatsache
- Faktor
- FAIL
- Fallen
- weit
- Angst
- Endlich
- Finden Sie
- Vorname
- Wohnung
- Setzen Sie mit Achtsamkeit
- Aussichten für
- Format
- gefunden
- Frequenz
- häufig
- häufig
- für
- Spaß
- komisch
- Außerdem
- Allgemeines
- bekommen
- Go
- Kundenziele
- gut
- Guide
- hätten
- Halloween
- Haben
- he
- ganzer
- Schlagzeilen
- Hilfe
- hilfreich
- hilft
- hier (auf dänisch)
- hier
- versteckt
- Geschichte
- Halten
- ganzheitliche
- ein Geschenk
- Ultraschall
- Hilfe
- aber
- HTTPS
- human
- Menschliches Element
- Humor
- im Idealfall
- if
- Bedeutung
- wichtig
- zu unterstützen,
- in
- Incentives
- Dazu gehören
- Krankengymnastik
- Einzelpersonen
- Energiegewinnung
- beeinflussen
- Information
- sofortig
- integrieren
- Interesse
- intern
- innen
- in
- Einführung
- Untersuchungen
- beteiligt
- IT
- SEINE
- jpg
- nur
- Behalten
- Wesentliche
- Kim
- Art
- Wissen
- Wissend
- Wissen
- Mangel
- Landschaft
- Laptops
- Führung
- Leadership
- LERNEN
- lernen
- links
- Nutzung
- Gefällt mir
- wahrscheinlich
- aus einer regionalen
- verschlossen
- Lang
- langfristig
- länger
- aussehen
- aussehen wie
- SIEHT AUS
- verlieren
- Verlust
- Los
- um
- Making
- Mandate
- viele
- Kennzeichen
- Ihres Materials
- Kann..
- bedeuten
- Treffen
- unvergesslich
- Memory
- Mentorschaft
- Nachrichten
- Messaging
- MFA
- Geist / Bewusstsein
- Fehler
- Missbrauch
- modern
- monatlich
- mehr
- vor allem warme
- schlauer bewegen
- bewegt sich
- sollen
- Mystery
- NARRATIVE
- Erzählungen
- National
- notwendig,
- Need
- erforderlich
- Bedürfnisse
- Neu
- nicht
- Verpflichtung
- of
- Office
- vorgenommen,
- on
- einmal
- EINEM
- einzige
- Betriebs-
- or
- Organisation
- Organisationen
- Ergebnisse
- übrig
- besitzen
- Teil
- Teilnehmer
- Passwort
- Personen
- Leute arbeiten
- wahrgenommen
- Zeit
- person
- Perspektive
- Phishing
- physikalisch
- ein Bild
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- spielend
- Points
- Position
- positiv
- Praxis
- Praktiken
- vorgeführt
- Drücke
- Aufgabenstellung:
- Professionell
- Professor
- Programm
- Programme
- Fortschritt
- Risiken zu minimieren
- die
- vorausgesetzt
- Bereitstellung
- Zwecke
- setzen
- Puzzles
- RE
- erreichen
- echt
- Received
- Empfang
- kürzlich
- regulär
- Beziehungen
- merken
- entfernt
- Reporting
- Voraussetzungen:
- Forschungsprojekte
- Befragte
- für ihren Verlust verantwortlich.
- Folge
- behalten
- zeigen
- Recht
- Risiken
- Rollen
- Zimmer
- Laufen
- s
- Safe
- gleich
- sagt
- Wissenschaft
- Verbindung
- sicher
- Sicherheitdienst
- Sicherheitsbewusstsein
- Sicherheitsereignisse
- sehen
- Suchen
- Form
- Teilen
- sie
- Short
- sollte
- Signale
- Ähnlich
- Einfacher
- locker
- So
- Social Media
- Soziale Technik
- etwas
- Quelle
- spezifisch
- Spot
- Anfang
- Schritt
- klebrig
- Immer noch
- Geschichten
- Geschichte
- Storytelling
- so
- sicher
- zugeschnitten
- Nehmen
- Märchen
- Einführungen
- Team
- Teams
- Techniken
- erzählen
- erzählen
- Grundsätze
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- sich
- Dort.
- Diese
- vom Nutzer definierten
- fehlen uns die Worte.
- dieses Jahr
- diejenigen
- dachte
- Bedrohung
- Durch
- Gebunden
- Zeit
- rechtzeitig
- zu
- gemeinsam
- auch
- Training
- Ausbildung
- Vertrauen
- vertraut
- Versuch
- Twice
- verstehen
- Verständnis
- einzigartiges
- einzigartig
- Universität
- -
- benutzt
- Nutzer
- verwendet
- Verwendung von
- wertvoll
- Vielfalt
- Ve
- Anbieter
- Verizon
- Opfer
- Video
- Videokonferenz
- Ansichten
- Verwundbar
- wollen
- Weg..
- Wege
- we
- wöchentlich
- bekannt
- waren
- Was
- Was ist
- wann
- ob
- welche
- während
- WHO
- werden wir
- mit
- .
- Arbeiten
- Arbeiter
- arbeiten,
- Werk
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- würde
- schreiben
- Jahr
- Du
- Ihr
- Zephyrnet