これを想像してください。セキュリティ意識を教える演習の一環として、従業員が部屋に入ります。 実際の物理的な運用セキュリティ「エスケープ ルーム」。一見すると通常のオフィスの部屋のように見えます。 しかし、建物に侵入した犯罪ソーシャル エンジニアのロールプレイをしながら、人々がよく観察すると、不正な目的に使用できる情報が見つかり始めます。
たとえば、ゴミ箱にパスワードがあるとします。 そして、ビデオ会議が終了しないままになっています。 参加者の周囲には、ビジネスを悪用するのに役立つ可能性のある手がかりがあふれています。 この経験が犯罪者の目を通して物事を見るのに役立ち、物理的なセキュリティの重要性を理解できるようになることを願っています。 これらの作業が完了したら、会社を守るためにホワイトボードを清潔に保ち、ラップトップをロックし、文書を隠すかシュレッダーにかけておく必要があることを覚えてもらうことが目標です。
これは一種の セキュリティ意識向上トレーニング テシアン社の信頼およびコンプライアンスの責任者であるキム・バートン氏は、トレーニングが従業員に確実にその痕跡を残すために活用していると述べています。
人的ミスが多くの侵害やデータ損失の原因となっているため、継続的な意識トレーニングが依然として切実に必要とされています。 実は最近の Verizon データ侵害調査レポート は、侵害の 74% に、ソーシャル エンジニアリング攻撃、エラー、悪用などの人的要素が関与していることを発見しました。
また、多くの企業が依然として意識向上トレーニングの実施が不十分であることも数字から明らかになりました。 新しい Hornetsecurity からのデータ 企業の 33% が、新型コロナウイルス感染症後の世界では一般的な取り決めである、リモートで勤務するユーザーにサイバーセキュリティ意識向上トレーニングをまったく提供していないことがわかりました。 そして、意識向上トレーニングを提供する組織は、オンサイト従業員であろうとリモート従業員であろうと、それを年に一度しか実施しないことがよくあります。 セキュリティ意識向上プログラムの開発と運営に長い歴史を持つ National Cyber Security Alliance のエグゼクティブ ディレクターである Lisa Plaggemier 氏によると、これは決して効果的ではありません。
効果的な啓発に関しては、組織が連携する時期が来た、と彼女は言います。
「短いですが頻繁です。 こんな年に一度のくだらないことはもういりません」と彼女は言う。
コンプライアンスの枠を超えて
しかし、頻度を増やすことは、現代のセキュリティ意識向上トレーニングを改善する必要がある多くの方法のうちの XNUMX つにすぎません。 絶えず進化する脅威の状況において、効果的なセキュリティ意識向上トレーニングとはどのようなものでしょうか?
「National Cybersecurity Alliance では、私たちが影響を与えようとしている行動の多くは同じなので、MFA の使用、フィッシングの報告など、アドバイスも同じですが、時間をかけて独自のメッセージを通じてアドバイスを提供しています」と氏は言います。プラグマイヤー。 「これらのメッセージは、被害者の視点からのストーリーテリング、擁護者の視点からのストーリーテリング、見出しの時事問題の活用など、さまざまなアプローチを使用しています。」
説得力があり、タイムリーで、魅力的で、記憶に残るものです。 簡単そうに聞こえますよね? しかし、そうではありません。 CybSafe の科学研究部門ディレクターであり、ケント大学のサイバー セキュリティ准教授であるジェイソン ナース博士は、多くの企業の行動を妨げている重要な問題は姿勢であると述べています。
「組織がトレーニングをチェックを入れなければならない項目とみなしているため、多くのセキュリティ意識向上プログラムは未だにうまくいっていません」と彼は言います。 「組織は多くの場合、コンプライアンスと基本的な要件を満たすことに焦点を当てており、その結果、深みと参加性が欠けたトレーニングになる可能性があります。」
「粘着性」の意識を高める
セキュリティ リーダーは、コンプライアンスの義務をはるかに超えたプログラムをどのようにまとめ、人々が覚えておくだけでなく、リスクに基づいた意思決定に直面したときに実際に使用できるようなトレーニングを形作ることができるでしょうか?
XNUMX つの方法は、自分たちに適したコミュニケーション チャネルを通じてコンテンツを配信することだとナース氏は言います。 研究 CybSafe による今年初めの調査では、オフィス ワーカーの 79% が、Slack や Teams など、日常的に使用しているプラットフォームで提供されるセキュリティに関するアドバイスに基づいて行動する可能性が高いことがわかりました。 また、回答者の 90% は、インスタント メッセージング プラットフォームのセキュリティ ナッジは価値があると考えています。 同様に、サイバー情報を毎日および毎週受け取った人は、毎月、四半期ごと、または毎年受け取った人に比べて、すべてのトレーニングを覚えている可能性が XNUMX 倍でした。
「定期的な魅力的なトレーニングを通じてサイバー衛生の基本レベルを理解することが不可欠ですが、必要なときに役立つ形式で従業員を支援することも同様に重要です」とナース氏は言います。 「トレーニングは単に情報を伝達するだけではありません。 それは、日常の活動において安全に行動する方法について個人を導くものでなければなりません。 さらに、必要なときにどこに助けを求めるべきかを人々が確実に把握できるようにする必要があります。」
より意味のあるものにするもう XNUMX つの方法は、 トレーニングを役割ベースにする。 画一的な対応は「コンプライアンスのためにはある程度必要です」とプラゲミエ氏は言います。 」
Tessian の Burton 氏は、研修が汎用的すぎることに加えて、多くの組織は研修を考案する際に文化と全体像を考慮することができていない、と述べています。
「これらのプログラムは、組織の現在の文化、安全な慣行の重要性に関するリーダーシップからの現在のシグナル、一般従業員が最も多くの時間を費やすように求められている場所など、従業員の総合的な経験を考慮に入れていません。エネルギーです」と彼女は言います。 「セキュリティ意識向上プログラムでは、エンジニア以外の従業員が無視される可能性があり、エンジニアには内容を業務に組み込むための指導が不足している可能性があります。」
「サイバーセキュリティを強化するために人々を訓練する唯一の正しい方法はありません。 組織、部門、チームにとって正しい方法しかありません」とナース氏は付け加えます。
部屋で遊ぶ
バートン氏によると、粘着性を意識するもう XNUMX つの重要な要素は、聴衆を知ることです。 優れたスタンドアップコメディアンと同じように、自分の話していることを相手に覚えてもらいたいなら、自分が誰に対して演じているのかを理解する必要があります。
「最初のステップは共感です」と彼女は言います。 「セキュリティ教育者は、教えている人々を深く理解する必要があります。 さまざまな方法でコンテンツを紹介しながら、より長期間にわたって繰り返すことで、確実に思い出すことができます。 そして最後に、楽しむことを忘れないでください。 組織は、奇妙すぎることを恐れて、関心や関与を失うことがよくあります。 ただし、人々は独自のコンテンツを保持する可能性が高くなります。 変なのがいい! 面白く、創造的になり、喜びを見つけてください!」
バートン社は脱出室に加えて、従業員に会社を攻撃する方法についての「ハロウィーンの不気味な物語」を書くよう求めるストーリーコンテストにも従業員に参加させた。 彼女はまた、人々を社内のセキュリティ アナリストの立場に置き、外部ベンダーのセキュリティを評価する必要があるという物語を作成しました。
最も効果的なセキュリティ トレーニングは、企業が懸念する中核的なリスクをカバーするものである、と彼女は言います。 聴衆に合わせて作られています。 コンセプトは時間の経過とともにさまざまな方法で提示されます。 そしてその素材は、そのユニークな表現、ユーモア、または創造的な経験により記憶に残ります。
「重要な要素はこれまでも、そしてこれからも人々自身に焦点を当てることです。」
忘れられないセキュリティ意識から記憶に残るセキュリティ意識に移行する方法
多くの組織にとって、継続的なセキュリティ意識向上トレーニングは困難な場合があります。 また、セキュリティ イベントの 74% は人的エラーに直接結びついているため、従業員に連絡を取り、サイバー リスクを理解してもらう方法を見つけることが重要です。 Tessian 社の信頼およびコンプライアンスの責任者である Kim Burton 氏は、プログラムの中でさまざまな意識向上トレーニング手法を使用しています。 彼女が自分の会社でプログラムを作成する際に心に留めておくべき重要な原則を以下に示します。
- 人々の働き方に合わせて取り組む: 人間の記憶がどのように機能するか、人間がどのように学習するか、長期的に最良の結果をもたらすインセンティブについての情報を利用します。
- 総合的にアプローチします。 従業員を理解してください。 彼らはどのようなプレッシャーに直面しているのでしょうか? 現地の文化はどのようなものですか? 社内の文化はどのようなものですか? これらの人々はどのような職業的背景を持っていますか? 現在、セキュリティ チームまたは IT チームは社内でどのように認識されていますか? 経営者はセキュリティを擁護しますか?
- ストーリーを語る: 実際の逸話を共有し、業界や自分の経験からのストーリーを語り、例を使用します。 これは、人々が物語の中で自分自身を見るのに役立ちます。 理想的には、各個人が組織のセキュリティ ストーリーにどのように独自に貢献しているかを確認できるようになります。
- 授与: リーダーボードを超えてください。 人々の働き方に関する知識と会社で働いた総合的な経験を活用して、セキュリティ コンテンツに楽しく取り組みましょう。 パズルを作成し、好奇心と謎を奨励し、学習における発見の喜びを再現し、進歩を指摘し、安全な行動のために正の強化を使用します。
- 信頼を築く: 社内で関係を構築します。 信頼できる情報源になるだけでなく、難しい概念、セキュリティ上の間違い、一般的な懸念事項について、危険にさらされても大丈夫な人間になります。 セキュリティ教育者は、業界内で最もよく知られている人物である必要があります。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- :持っている
- :は
- :not
- :どこ
- 7
- a
- できる
- 私たちについて
- 従った
- 行為
- 活動
- 実際の
- 実際に
- 添加
- 追加
- 管理する
- アドバイス
- 影響を及ぼす
- すべて
- アライアンス
- また
- 常に
- an
- アナリスト
- および
- 年単位
- どれか
- アプローチ
- 適切な
- です
- 周りに
- アレンジメント
- AS
- 仲間
- At
- 攻撃
- 攻撃
- 態度
- 聴衆
- 認知度
- バック
- 背景
- 基本
- BE
- なぜなら
- になる
- き
- 行動
- さ
- 人間
- BEST
- 越えて
- ビッグ
- 全体像
- ボックス
- 違反
- 違反
- 壊れた
- ビルド
- 建物
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- チャンピオン
- チャネル
- クローザー
- comes
- コマンドと
- コミュニケーション
- 企業
- 会社
- コンプライアンス
- コンポーネント
- コンセプト
- 心配
- 懸念事項
- 講演
- 検討
- 絶えず
- コンテンツ
- 貢献する
- 基本
- 可能性
- カバー
- 作成した
- 作成
- クリエイティブ
- 刑事上の
- 重大な
- 文化
- 好奇心
- 電流プローブ
- 現在
- サイバー
- サイバーセキュリティ
- サイバーセキュリティ
- daily
- データ
- データ侵害
- データ損失
- 日々
- 決定
- 深いです
- 度
- 喜び
- 配信する
- 配達
- 部門
- 深さ
- 必死に
- 開発
- 異なります
- 難しい
- 直接に
- 取締役
- 発見
- do
- ドキュメント
- ありません
- ドン
- 行われ
- dr
- 原因
- 各
- 前
- 効果的な
- 素子
- 共感
- 従業員
- 社員
- 奨励する
- エネルギー
- 婚約
- 魅力的
- エンジニアリング
- エンジニア
- 確保
- 入力します
- 平等に
- エラー
- エラー
- 脱出
- 本質的な
- 等
- 評価する
- イベント
- 進化
- 例
- 例
- エグゼクティブ
- エグゼクティブ·ディレクター
- 幹部
- 運動
- 体験
- エクスペリエンス
- 悪用する
- 外部
- 視線
- 顔
- 直面して
- 実際
- 要因
- フェイル
- 秋
- 遠く
- 恐怖
- 最後に
- もう完成させ、ワークスペースに掲示しましたか?
- 名
- フラットな
- フォーカス
- 形式でアーカイブしたプロジェクトを保存します.
- 発見
- 周波数
- 頻繁な
- 頻繁に
- から
- 楽しいです
- おかしいです
- さらに
- 取得する
- Go
- 目標
- 良い
- ガイド
- 持っていました
- ハロウィーン
- 持ってる
- he
- ヘッドライン
- 助けます
- 役立つ
- ことができます
- 彼女の
- こちら
- 隠されました
- history
- 開催
- 包括的な
- 希望
- 認定条件
- How To
- しかしながら
- HTTPS
- 人間
- 人間的要素
- ユーモア
- 理想的には
- if
- 重要性
- 重要
- 改善します
- in
- インセンティブ
- 含ま
- 個人
- 個人
- 産業を変えます
- 影響
- 情報
- インスタント
- 統合する
- 関心
- 内部
- 内部で
- に
- 導入
- 調査
- 関係する
- IT
- ITS
- JPG
- ただ
- キープ
- キー
- キム
- 種類
- 知っている
- 知っている
- 知識
- 欠如
- 風景
- ノートパソコン
- リーダー
- リーダーシップ
- LEARN
- 学習
- 左
- 活用
- ような
- 可能性が高い
- ローカル
- ロック
- 長い
- 長期的
- より長いです
- 見て
- のように見える
- LOOKS
- 失う
- 損失
- たくさん
- make
- 作成
- 委任
- 多くの
- マーク
- 材料
- 五月..
- 意味する
- ご相談
- 覚えやすい
- メモリ
- メンターシップ
- メッセージ
- メッセージング
- MFA
- マインド
- ミス
- 誤用
- モダン
- monthly
- 他には?
- 最も
- 移動
- しなければなりません
- 謎
- ナレラティブ
- 物語
- 国民
- 必要
- 必要
- 必要とされる
- ニーズ
- 新作
- いいえ
- 義務
- of
- Office
- 頻繁に
- on
- かつて
- ONE
- の
- オペレーショナル
- or
- 組織
- 組織
- でる
- 成果
- が
- 自分の
- 部
- 参加者
- パスワード
- のワークプ
- 人々は働く
- 知覚される
- 期間
- 人
- 視点
- フィッシング詐欺
- 物理的な
- 画像
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 再生
- ポイント
- 位置
- 正の
- 練習
- プラクティス
- PLM platform.
- 圧力
- 問題
- プロ
- 東京大学大学院海洋学研究室教授
- 演奏曲目
- プログラム
- 進捗
- 守る
- 提供します
- 提供
- 提供
- 目的
- 置きます
- パズル
- RE
- リーチ
- リアル
- 受け
- 受け入れ
- 最近
- レギュラー
- の関係
- 覚えています
- リモート
- 各種レポート作成
- 要件
- 研究
- 回答者
- 責任
- 結果
- リテンションを維持
- 明らかにする
- 右
- リスク
- 職種
- ルーム
- ランニング
- s
- 安全な
- 同じ
- 言う
- 科学
- 安全に
- しっかりと
- セキュリティ
- セキュリティー認識
- セキュリティイベント
- Seek
- 形状
- シェアする
- 彼女
- ショート
- すべき
- 信号
- 同様に
- 簡単な拡張で
- スラック
- So
- 社会
- ソーシャルエンジニアリング
- 何か
- ソース
- 特定の
- Spot
- start
- 手順
- スティッキー
- まだ
- ストーリー
- ストーリー
- ストーリーテリング
- そのような
- 確か
- テーラード
- 取る
- 物語
- ティーチング
- チーム
- チーム
- テクニック
- 言う
- 占い
- 信条
- それ
- アプリ環境に合わせて
- それら
- 自分自身
- そこ。
- ボーマン
- 彼ら
- 物事
- この
- 今年
- それらの
- 考え
- 脅威
- 介して
- タイド
- 時間
- タイムリーな
- 〜へ
- 一緒に
- あまりに
- トレーニング
- トレーニング
- 信頼
- 信頼されている
- しよう
- Twice
- わかる
- 理解する
- ユニーク
- 独特に
- 大学
- つかいます
- 中古
- users
- 使用されます
- 貴重な
- 多様
- Ve
- ベンダー
- ベライゾン
- 被害者
- ビデオ
- ビデオ会議
- ビュー
- 脆弱な
- 欲しいです
- 仕方..
- 方法
- we
- weekly
- 周知
- した
- この試験は
- 何ですか
- いつ
- かどうか
- which
- while
- 誰
- 意志
- 以内
- 仕事
- 労働者
- ワーキング
- 作品
- 世界
- でしょう
- 書きます
- 年
- You
- あなたの
- ゼファーネット