Imaginez ceci : dans le cadre d'un exercice de sensibilisation à la sécurité, des employés entrent dans une pièce. Une véritable « salle d’évasion » de sécurité opérationnelle physique, qui ressemble à première vue à un bureau ordinaire. Mais à mesure que les gens regardent de plus près, jouant le rôle d’ingénieurs sociaux criminels qui ont pénétré par effraction dans le bâtiment, ils commencent à repérer des informations qu’ils peuvent utiliser à des fins néfastes.
Par exemple, il y a un mot de passe dans une poubelle. Et il y a une réunion par vidéoconférence qui n'est pas fermée. Autour des participants se trouvent des indices qui pourraient les aider à exploiter l'entreprise. L’espoir est que cette expérience les aide à voir à travers les yeux d’un criminel et leur permet de comprendre l’importance de la sécurité physique. Une fois cela fait, l’objectif est de leur rappeler la nécessité de garder des éléments tels que les tableaux blancs propres, les ordinateurs portables verrouillés et les documents cachés ou déchiquetés pour protéger l’entreprise.
C'est le genre de formation de sensibilisation à la sécurité que Kim Burton, responsable de la confiance et de la conformité chez Tessian, a utilisé pour s'assurer que la formation laisse sa marque sur les employés.
Une formation de sensibilisation efficace reste désespérément nécessaire, car l’erreur humaine est responsable de nombreuses violations et pertes de données. En fait, le plus récent Rapport d'enquête sur les violations de données de Verizon a constaté que 74 % des violations impliquaient l'élément humain, ce qui inclut les attaques d'ingénierie sociale, les erreurs ou les utilisations abusives.
Les chiffres révèlent également que de nombreuses entreprises ne parviennent toujours pas à dispenser des formations de sensibilisation. Nouveau données de Hornetsecurity a révélé que 33 % des entreprises ne proposent aucune formation de sensibilisation à la cybersécurité aux utilisateurs qui travaillent à distance, une situation courante dans un monde post-COVID. Et les organisations qui proposent des formations de sensibilisation, que ce soit aux employés sur site ou à distance, ne les administrent souvent qu'une fois par an. C'est loin d'être efficace, selon Lisa Plaggetier, directrice exécutive de la National Cyber Security Alliance, qui développe et gère depuis longtemps des programmes de sensibilisation à la sécurité.
Il est temps, dit-elle, pour les organisations de s'unir lorsqu'il s'agit d'une sensibilisation efficace.
« Court mais fréquent ; finies ces absurdités annuelles », dit-elle.
Allez au-delà de la conformité
Mais une fréquence accrue n’est que l’une des nombreuses façons dont la formation moderne en matière de sensibilisation à la sécurité doit être améliorée. Dans un paysage de menaces en constante évolution, à quoi ressemble une formation efficace de sensibilisation à la sécurité ?
« Au sein de la National Cybersecurity Alliance, un grand nombre de comportements que nous essayons d'influencer sont les mêmes, donc les conseils sont les mêmes : utiliser l'authentification multifacteur, signaler le phishing, etc. - mais nous les transmettons au moyen de messages uniques au fil du temps », explique Plaggemier. « Ces messages utilisent différentes approches : raconter une histoire du point de vue d'une victime, raconter une histoire du point de vue du défenseur, tirer parti de l'actualité dans les gros titres. »
Convainquant, opportun, engageant et mémorable. Cela semble simple, non ? Mais ce n'est pas. Le principal problème qui freine de nombreuses entreprises est l'attitude, explique le Dr Jason Nurse, directeur de la science et de la recherche chez CybSafe et professeur agrégé de cybersécurité à l'Université de Kent.
« De nombreux programmes de sensibilisation à la sécurité échouent encore parce que l'organisation considère la formation comme une case à cocher », dit-il. « Les organisations se concentrent souvent sur la conformité et le respect des exigences de base, ce qui peut aboutir à une formation manquant de profondeur et d'engagement. »
Créer une prise de conscience « collante »
Comment les responsables de la sécurité peuvent-ils élaborer un programme qui va bien au-delà des obligations de conformité et transformer la formation en quelque chose dont les gens non seulement se souviennent, mais qu'ils utilisent réellement lorsqu'ils sont confrontés à des décisions basées sur les risques ?
Une solution consiste à diffuser le contenu via un canal de communication qui leur convient, explique Nurse. Une recherche par CybSafe plus tôt cette année, a révélé que 79 % des employés de bureau sont susceptibles de suivre les conseils de sécurité fournis sur les plateformes qu'ils utilisent quotidiennement, telles que Slack et Teams. Et 90 % des personnes interrogées pensent que des mesures de sécurité sur les plateformes de messagerie instantanée seraient utiles. De même, les personnes qui recevaient des cyberinformations quotidiennement et hebdomadairement étaient deux fois plus susceptibles de se souvenir de l’intégralité de leur formation que celles qui les recevaient mensuellement, trimestriellement ou annuellement.
« Bien qu'une compréhension de base de la cyberhygiène soit essentielle grâce à une formation régulière et engageante, il est tout aussi crucial d'aider les employés lorsqu'ils en ont besoin dans un format utile », explique Nurse. « La formation doit aller au-delà de la simple transmission d'informations ; il devrait guider les individus sur la manière de se comporter en toute sécurité dans leurs activités quotidiennes. En outre, cela devrait garantir que les gens sachent où chercher de l’aide en cas de besoin.
Une autre façon de lui donner plus de sens est de rendre la formation basée sur les rôles. Une solution unique est « nécessaire dans une certaine mesure pour la conformité », déclare Plaggemier, « mais une fois que vous avez rempli votre obligation de conformité, les personnes doivent recevoir une formation adaptée à leur rôle et aux risques spécifiques qui les affectent. »
Burton de Tessian affirme qu'en plus de le rendre trop générique, de nombreuses organisations ne tiennent pas compte de la culture et de la situation dans son ensemble lors de la conception de la formation.
« Les programmes ne prennent pas en compte les expériences holistiques des employés, telles que la culture actuelle de l'organisation, les signaux actuels de la direction sur l'importance des pratiques sécurisées et les domaines dans lesquels l'employé en général est invité à consacrer la majeure partie de son temps et de ses tâches. l'énergie », dit-elle. « Les programmes de sensibilisation à la sécurité peuvent négliger les employés non-ingénieurs, et les ingénieurs peuvent manquer de mentorat pour intégrer le matériel dans leur pratique. »
« Il n’existe pas une seule bonne façon de former les gens à la cybersécurité. Il n'existe que la bonne solution pour votre organisation, votre service ou votre équipe », ajoute Nurse.
Jouer dans la salle
Un autre facteur important pour une bonne notoriété est de connaître votre public, explique Burton. Comme un bon humoriste, vous devez comprendre à qui vous jouez si vous voulez qu'ils se souviennent de ce que vous leur dites.
« La première étape est l'empathie », dit-elle. « L’éducateur en sécurité doit avoir une profonde compréhension des personnes à qui il enseigne. La répétition sur une période plus longue tout en introduisant le contenu de diverses manières garantira également le rappel. Et enfin, n'oubliez pas de vous amuser. Les organisations perdent souvent tout intérêt et leur engagement par crainte d’être trop bizarres. Cependant, les gens sont plus susceptibles de conserver un contenu unique. Bizarre, c'est bien ! Soyez drôle, soyez créatif, trouvez de la joie ! »
Burton, en plus de la salle d'évasion, a également demandé à ses employés de participer à un concours d'histoires qui leur demandait d'écrire un « conte effrayant d'Halloween » sur la façon dont ils allaient attaquer l'entreprise. Elle a également créé des récits qui placent les gens dans la position d'analystes de sécurité au sein de l'entreprise, dans lesquels ils doivent évaluer la sécurité des fournisseurs externes.
Selon elle, la formation en sécurité la plus efficace couvre les principaux risques qui préoccupent l'entreprise ; il est adapté au public ; les concepts sont présentés au fil du temps et de diverses manières ; et le matériel est mémorable en raison de sa prestation unique, de son humour ou de son expérience créative.
« L’élément clé a été et sera toujours l’accent mis sur les gens eux-mêmes. »
COMMENT PASSER D'UNE SENSIBILISATION À LA SÉCURITÉ oubliable à une conscience mémorable
Une formation rigoureuse de sensibilisation à la sécurité peut s’avérer difficile à réaliser pour de nombreuses organisations. Et comme 74 % des événements de sécurité sont directement liés à une erreur humaine, il est important de trouver des moyens d'atteindre les employés et de les aider à comprendre les cyber-risques. Kim Burton, responsable de la confiance et de la conformité chez Tessian, utilise diverses techniques de sensibilisation dans ses programmes. Voici les principes importants qu’elle conseille de garder à l’esprit lors de la création d’un programme dans votre propre entreprise.
- Travailler avec la façon dont les gens travaillent : Utilisez des informations sur le fonctionnement de la mémoire humaine, la manière dont les êtres humains apprennent et les incitations qui offrent les meilleurs résultats à long terme.
- Approche holistique : Comprendre les employés. À quelles pressions sont-ils confrontés ? Quelle est la culture locale ? Quelle est la culture interne ? Quels sont les parcours professionnels de ces personnes ? Comment l’équipe de sécurité ou l’équipe informatique est-elle actuellement perçue en interne ? Les dirigeants défendent-ils la sécurité ?
- Raconter des histoires: Partagez de vraies anecdotes, racontez des histoires de l'industrie ou de votre expérience et utilisez des exemples. Cela aide les gens à se voir dans le récit. Idéalement, chaque individu serait en mesure de voir comment il contribue de manière unique à l’histoire de la sécurité de l’organisation.
- Ludification : Allez au-delà d’un classement. Rendez l'interaction avec le contenu de sécurité amusante en utilisant vos connaissances sur la façon dont les gens travaillent et l'expérience holistique du travail dans votre entreprise. Créez des énigmes, encouragez la curiosité et le mystère, recréez le plaisir de la découverte dans l'apprentissage, soulignez les progrès et utilisez le renforcement positif pour des comportements sécurisés.
- Instaurez la confiance: Établir des relations en interne. Devenez une source d'informations fiable, mais également une personne sûre avec laquelle vous pouvez être vulnérable concernant des concepts difficiles, des erreurs de sécurité et des préoccupations générales. L’éducateur en sécurité doit être l’une des personnes les plus connues au sein de l’entreprise.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- :possède
- :est
- :ne pas
- :où
- 7
- a
- Capable
- A Propos
- Selon
- Compte
- Agis
- d'activités
- présenter
- actually
- ajout
- Ajoute
- administrer
- conseils
- affecter
- Tous
- Alliance
- aussi
- toujours
- an
- analyste
- ainsi que
- Annuellement
- tous
- approches
- approprié
- SONT
- autour
- arrangement
- AS
- Associé(e)
- At
- attaquer
- Attaques
- attitude
- public
- RETOUR
- milieux
- Essentiel
- BE
- car
- devenez
- était
- comportements
- va
- êtres
- LES MEILLEURS
- Au-delà
- Big
- Grande image
- Box
- violation
- infractions
- Cassé
- construire
- Développement
- la performance des entreprises
- mais
- by
- CAN
- champion
- Développement
- plus
- vient
- Commun
- Communication
- Sociétés
- Société
- conformité
- composant
- concepts
- concerné
- Préoccupations
- Congrès
- Considérer
- constamment
- contenu
- contribuer
- Core
- pourriez
- Housses
- créée
- La création
- Conception
- Criminel
- crucial
- Culture
- curiosité
- Courant
- Lecture
- cyber
- la cyber-sécurité
- Cybersécurité
- Tous les jours
- données
- violation de données
- La perte de données
- jour après jour
- décisions
- profond
- Degré
- ravir
- livrer
- page de livraison.
- Département
- profondeur
- désespérément
- développement
- différent
- difficile
- directement
- Directeur
- découverte
- do
- INSTITUTIONNELS
- Don
- fait
- dr
- deux
- chacun
- Plus tôt
- Efficace
- élément
- empathie
- Employés
- employés
- encourager
- énergie
- participation
- engageant
- ENGINEERING
- Les ingénieurs
- assurer
- Entrer
- également
- erreur
- Erreurs
- échapper
- essential
- etc
- évaluer
- événements
- évolution
- exemple
- exemples
- exécutif
- Directeur exécutif
- cadres
- Exercises
- d'experience
- Expériences
- Exploiter
- externe
- Yeux
- Visage
- face
- fait
- facteur
- FAIL
- Automne
- loin
- peur
- finalement
- Trouvez
- Prénom
- plat
- Focus
- Pour
- le format
- trouvé
- La fréquence
- fréquent
- fréquemment
- De
- amusement
- drôle
- En outre
- Général
- obtenez
- Go
- objectif
- Bien
- guide
- ait eu
- Halloween
- Vous avez
- he
- front
- Titres
- vous aider
- utile
- aide
- ici
- ici
- caché
- Histoire
- tenue
- holistique
- d'espérance
- Comment
- How To
- Cependant
- HTTPS
- humain
- Élément humain
- humour
- idéalement
- if
- importance
- important
- améliorer
- in
- Incitations
- inclut
- individuel
- individus
- industrie
- influencer
- d'information
- instantané
- intégrer
- intérêt
- interne
- intérieurement
- développement
- Découvrez le tout nouveau
- Enquêtes
- impliqué
- IT
- SES
- jpg
- juste
- XNUMX éléments à
- ACTIVITES
- kim
- Genre
- Savoir
- connaissance
- spécialisées
- Peindre
- paysage d'été
- ordinateurs portables
- dirigeants
- Leadership
- APPRENTISSAGE
- apprentissage
- à gauche
- en tirant parti
- comme
- Probable
- locales
- fermé
- Location
- long-term
- plus long
- Style
- ressembler
- LOOKS
- perdre
- perte
- Lot
- a prendre une
- Fabrication
- mandats
- de nombreuses
- marque
- Matériel
- Mai..
- signifier
- réunion
- mémorable
- Mémoire
- Mentorat
- messages
- messagerie
- MFA
- l'esprit
- erreurs
- une mauvaise utilisation
- Villas Modernes
- mensuel
- PLUS
- (en fait, presque toutes)
- Bougez
- se déplace
- must
- Mystère
- RÉCIT
- récit
- Nationales
- nécessaire
- Besoin
- nécessaire
- Besoins
- Nouveauté
- aucune
- obligation
- of
- Bureaux
- souvent
- on
- une fois
- ONE
- uniquement
- opérationnel
- or
- organisation
- organisations
- ande
- les résultats
- plus de
- propre
- partie
- participants
- Mot de Passe
- Personnes
- les gens travaillent
- perçu
- période
- personne
- objectifs
- phishing
- Physique
- image
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- jouer
- Point
- position
- positif
- pratique
- pratiques
- présenté
- pressions
- Problème
- professionels
- Professeur
- Programme
- Programmes
- Progrès
- protéger
- fournir
- à condition de
- aportando
- des fins
- mettre
- Casse-têtes
- RE
- nous joindre
- réal
- reçu
- recevoir
- récent
- Standard
- Les relations
- rappeler
- éloigné
- Rapports
- Exigences
- un article
- répondants
- responsables
- résultat
- conserver
- révéler
- bon
- risques
- Rôle
- Salle
- pour le running
- s
- des
- même
- dit
- Sciences
- sécurisé
- en toute sécurité
- sécurité
- Sensibilisation à la sécurité
- Les événements de sécurité
- sur le lien
- Chercher
- Forme
- Partager
- elle
- Shorts
- devrait
- signaux
- De même
- étapes
- mou
- So
- Réseaux sociaux
- Ingénierie sociale
- quelque chose
- Identifier
- groupe de neurones
- Spot
- Commencer
- étapes
- gluant
- Encore
- Stories
- Histoire
- storytelling
- tel
- sûr
- Prenez
- conte
- Enseignement
- équipe
- équipes
- techniques
- dire
- dire
- principes
- qui
- La
- leur
- Les
- se
- Là.
- Ces
- l'ont
- des choses
- this
- cette année
- ceux
- pensée
- menace
- Avec
- Attaché
- fiable
- opportun
- à
- ensemble
- trop
- Train
- Formation
- La confiance
- confiance
- essayer
- Twice
- comprendre
- compréhension
- expérience unique et authentique
- uniquement
- université
- utilisé
- d'utiliser
- utilisateurs
- Usages
- en utilisant
- Précieux
- variété
- Ve
- fournisseurs
- Verizon
- Victime
- Vidéo
- conférence vidéo
- vues
- Vulnérable
- souhaitez
- Façon..
- façons
- we
- hebdomadaire
- bien connu
- ont été
- Quoi
- Qu’est ce qu'
- quand
- que
- qui
- tout en
- WHO
- sera
- comprenant
- dans les
- activités principales
- ouvriers
- de travail
- vos contrats
- world
- pourra
- écrire
- an
- Vous n'avez
- Votre
- zéphyrnet