Tenk deg dette: Som en del av en øvelse for å lære sikkerhetsbevissthet, går ansatte inn i et rom. Et faktisk, fysisk driftssikkerhets-"escape room", som til å begynne med ser ut som et vanlig kontorrom. Men etter hvert som folk ser nærmere etter, og spiller rolle som kriminelle sosiale ingeniører som brøt seg inn i bygningen, begynner de å oppdage informasjon de kan bruke til uhyggelige formål.
For eksempel er det et passord i en søppelbøtte. Og det er et videokonferansemøte som ikke er lukket. Rundt deltakerne er det ledetråder som kan hjelpe dem å utnytte virksomheten. Håpet er at denne opplevelsen hjelper dem å se gjennom øynene til en kriminell – og lar dem forstå viktigheten av fysisk sikkerhet. Når de er ferdige, er målet å få dem til å huske behovet for å holde ting som tavler rene, bærbare datamaskiner låst og dokumenter skjult eller makulert for å beskytte selskapet.
Dette er den typen sikkerhet bevissthet trening som Kim Burton, leder for tillit og etterlevelse av Tessian, har brukt for å sørge for at opplæring setter sitt preg på ansatte.
Bevissthetstrening som holder seg er fortsatt desperat nødvendig ettersom menneskelige feil er ansvarlige for mange brudd og datatap. Faktisk den nyeste Verizon Data Breach Investigations Report fant at 74 % av bruddene involverte det menneskelige elementet, som inkluderer angrep, feil eller misbruk av sosiale ingeniører.
Tall viser også at mange bedrifter fortsatt kommer til kort når de leverer bevissthetstrening. Ny data fra Hornetsecurity fant at 33 % av selskapene ikke tilbyr opplæring i bevissthet om nettsikkerhet til brukere som jobber eksternt, en vanlig ordning i en verden etter COVID. Og de organisasjonene som tilbyr bevissthetsopplæring - enten det er til ansatte på stedet eller eksternt - administrerer det ofte bare årlig. Dette er langt fra effektivt, ifølge Lisa Plaggemier, administrerende direktør i National Cyber Security Alliance, som har en lang historie med å utvikle og drive sikkerhetsbevissthetsprogrammer.
Det er på tide, sier hun, at organisasjoner får det sammen når det gjelder effektiv bevissthet.
«Kort, men hyppig; ikke mer av dette tullet en gang i året, sier hun.
Gå Beyond Compliance
Men mer frekvens er bare én av mange måter moderne sikkerhetsopplæring må forbedres på. Hvordan ser en effektiv sikkerhetsopplæring ut i et trussellandskap i stadig utvikling?
"Hos National Cybersecurity Alliance er mye av atferden vi prøver å påvirke den samme, så rådene er de samme - ved å bruke MFA, rapportere phishing, osv. - men vi leverer dem gjennom unike meldinger over tid," sier Plaggemier. "Disse meldingene bruker forskjellige tilnærminger: historiefortelling fra et offers perspektiv, historiefortelling fra forsvarerens perspektiv, utnytte aktuelle hendelser i overskriftene."
Overbevisende, tidsriktig, engasjerende og minneverdig. Det høres enkelt ut, ikke sant? Men det er det ikke. Det viktigste problemet som holder mange selskaper tilbake, er holdning, sier Dr. Jason Nurse, direktør for vitenskap og forskning ved CybSafe og førsteamanuensis i cybersikkerhet ved University of Kent.
"Mange sikkerhetsbevissthetsprogrammer faller fortsatt flatt fordi organisasjonen ser på opplæringen som en boks som må krysses av," sier han. "Organisasjoner fokuserer ofte på etterlevelse og oppfyllelse av de grunnleggende kravene, noe som kan resultere i opplæring som mangler dybde og engasjement."
Skap "klebende" bevissthet
Hvordan kan sikkerhetsledere sette sammen et program som går langt utover etterlevelsesmandater og forme opplæring til noe folk ikke bare husker, men faktisk bruker når de står overfor risikobaserte beslutninger?
En måte er å levere innholdet gjennom en kommunikasjonskanal som fungerer for dem, sier sykepleier. Forskning av CybSafe tidligere i år fant at 79% av kontorarbeidere sannsynligvis vil handle på sikkerhetsråd gitt på plattformene de bruker daglig, for eksempel Slack og Teams. Og 90 % av respondentene mente sikkerhetsdytt på direktemeldingsplattformer ville være verdifulle. På samme måte var det dobbelt så sannsynlig at personer som mottok cyberinformasjon daglig og ukentlig husker all treningen sin som de som mottok den månedlig, kvartalsvis eller årlig.
"Selv om en grunnleggende forståelse av cyberhygiene er avgjørende gjennom regelmessig, engasjerende opplæring, er det like viktig å hjelpe ansatte når de trenger det i et nyttig format," sier Nurse. «Opplæring bør gå utover bare å formidle informasjon; den skal veilede enkeltpersoner om hvordan de skal oppføre seg sikkert i sine daglige aktiviteter. Videre bør det sikre at folk vet hvor de kan søke hjelp når det er nødvendig.»
En annen måte å få det til å bety mer er å gjøre opplæring rollebasert. One-size-fits-all er «nødvendig til en viss grad for overholdelse», sier Plaggemier, «men når du har oppfylt overholdelsesforpliktelsen, bør folk få opplæring som passer for deres rolle og de spesifikke risikoene som påvirker dem. ”
Tessians Burton sier at i tillegg til å gjøre det for generisk, klarer mange organisasjoner ikke å vurdere kulturen og det store bildet når de planlegger opplæring.
«Programmene tar ikke hensyn til ansattes helhetlige erfaringer, slik som dagens kultur i organisasjonen, dagens signaler fra ledelsen om viktigheten av sikker praksis, og hvor den generelle ansatte blir bedt om å bruke mesteparten av tiden sin og energi, sier hun. "Sikkerhetsbevissthetsprogrammer kan neglisjere ansatte som ikke er ingeniører, og ingeniører kan mangle mentorskap for å integrere materialet i deres praksis."
"Det er ingen riktig måte å lære folk til å være cybersikre. Det er bare den riktige veien for din organisasjon, avdeling eller team, legger Nurse til.
Spill til rommet
En annen viktig faktor for klissete bevissthet er å kjenne publikum, sier Burton. Som en god standup-komiker må du forstå hvem du spiller for hvis du vil at de skal huske hva du forteller dem.
"Det første trinnet er empati," sier hun. «Sikkerhetspedagogen trenger en dyp forståelse av menneskene de underviser. Gjentakelse over lengre tid samtidig som innhold introduseres på en rekke måter vil også sikre tilbakekalling. Og til slutt, ikke glem å ha det gøy. Organisasjoner mister ofte interesse og engasjement på grunn av frykt for å bli for rare. Imidlertid er det mer sannsynlig at folk beholder unikt innhold. Rart er bra! Vær morsom, vær kreativ, finn glede!»
Burton, i tillegg til rømningsrommet, har også fått ansatte til å delta i en historiekonkurranse som ba ansatte skrive ut en "skummel Halloween-fortelling" om hvordan de ville angripe selskapet. Hun har også laget narrativer som setter folk i posisjonen som en sikkerhetsanalytiker i selskapet, der de må vurdere sikkerheten til eksterne leverandører.
Den mest effektive sikkerhetsopplæringen, sier hun, dekker kjernerisiko virksomheten er opptatt av; den er skreddersydd for publikum; konseptene presenteres over tid og på en rekke måter; og materialet er minneverdig på grunn av dets unike levering, humor eller kreative opplevelse.
"Nøkkelkomponenten har vært, og vil alltid være, et fokus på menneskene selv."
SLIK GÅR DU FRA GLEMMELIG TIL MINNEBAR SIKKERHETSBEVISSTHET
Opplæring i klebrig sikkerhetsbevissthet kan være unnvikende for mange organisasjoner. Og med 74 % av sikkerhetshendelsene direkte knyttet til menneskelige feil, er det viktig å finne måter å nå ansatte på og hjelpe dem med å forstå cyberrisikoer. Kim Burton, leder for tillit og etterlevelse av Tessian, bruker en rekke teknikker for bevissthetstrening i programmene sine. Her er de viktige prinsippene hun sier å huske på når du lager et program i din egen bedrift.
- Arbeid med hvordan folk jobber: Bruk informasjon om hvordan menneskelig hukommelse fungerer, hvordan mennesker lærer, hvilke insentiver som gir de beste langsiktige resultatene.
- Tilnærming helhetlig: Forstå de ansatte. Hvilket press møter de? Hvordan er den lokale kulturen? Hvordan er den interne kulturen? Hvilken faglig bakgrunn har disse menneskene? Hvordan oppfattes sikkerhetsteamet eller IT-teamet internt for tiden? Forkjemper ledere sikkerhet?
- Fortell historier: Del ekte anekdoter, fortell historier fra bransjen eller din erfaring, og bruk eksempler. Dette hjelper folk til å se seg selv i fortellingen. Ideelt sett vil hver enkelt kunne se hvordan de på en unik måte bidrar til sikkerhetshistorien til organisasjonen.
- Spillifisering: Gå utover en ledertavle. Gjør det morsomt å engasjere seg i sikkerhetsinnhold ved å bruke kunnskapen din om hvordan folk jobber og den helhetlige opplevelsen av å jobbe i bedriften din. Lag gåter, oppmuntre til nysgjerrighet og mystikk, gjenskap gleden ved oppdagelse ved læring, påpek fremgang og bruk positiv forsterkning for sikker oppførsel.
- Bygg tillit: Bygg relasjoner internt. Bli en pålitelig kilde til informasjon, men også en trygg person å være sårbar med om vanskelige konsepter, sikkerhetsfeil og generelle bekymringer. Sikkerhetspedagogen skal være en av de mest kjente personene i virksomheten.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- : har
- :er
- :ikke
- :hvor
- 7
- a
- I stand
- Om oss
- Ifølge
- Logg inn
- Handling
- Aktiviteter
- faktiske
- faktisk
- tillegg
- Legger
- administrere
- råd
- påvirke
- Alle
- Allianse
- også
- alltid
- an
- analytiker
- og
- Årlig
- noen
- tilnærminger
- hensiktsmessig
- ER
- rundt
- ordning
- AS
- Førsteamanuensis
- At
- angripe
- Angrep
- holdning
- publikum
- bevissthet
- tilbake
- bakgrunner
- grunnleggende
- BE
- fordi
- bli
- vært
- atferd
- være
- vesener
- BEST
- Beyond
- Stor
- Stort bilde
- Eske
- brudd
- brudd
- Broke
- bygge
- Bygning
- virksomhet
- men
- by
- CAN
- Champion
- Kanal
- nærmere
- kommer
- Felles
- Kommunikasjon
- Selskaper
- Selskapet
- samsvar
- komponent
- konsepter
- bekymret
- bekymringer
- Konferanse
- Vurder
- stadig
- innhold
- bidra
- Kjerne
- kunne
- Dekker
- opprettet
- Opprette
- Kreativ
- Criminal
- avgjørende
- Kultur
- nysgjerrighet
- Gjeldende
- I dag
- cyber
- cybersikkerhet
- Cybersecurity
- daglig
- dato
- datainnbrudd
- Data Loss
- dag til dag
- avgjørelser
- dyp
- Grad
- glede
- leverer
- levering
- Avdeling
- dybde
- desperat
- utvikle
- forskjellig
- vanskelig
- direkte
- Regissør
- Funnet
- do
- dokumenter
- gjør
- Don
- gjort
- dr
- to
- hver enkelt
- Tidligere
- Effektiv
- element
- empati
- Ansatt
- ansatte
- oppmuntre
- energi
- engasjement
- engasjerende
- Ingeniørarbeid
- Ingeniører
- sikre
- Enter
- like
- feil
- feil
- flykte
- avgjørende
- etc
- evaluere
- hendelser
- utvikling
- eksempel
- eksempler
- utøvende
- Direktør
- ledere
- Øvelse
- erfaring
- Erfaringer
- Exploit
- utvendig
- øyne
- Face
- møtt
- Faktisk
- faktor
- FAIL
- Fall
- langt
- frykt
- Endelig
- Finn
- Først
- flate
- Fokus
- Til
- format
- funnet
- Frekvens
- hyppig
- ofte
- fra
- moro
- morsomt
- Dess
- general
- få
- Go
- mål
- god
- veilede
- HAD
- Halloween
- Ha
- he
- hode
- Overskrifter
- hjelpe
- nyttig
- hjelper
- her
- her.
- skjult
- historie
- holder
- helhetlig
- håp
- Hvordan
- Hvordan
- Men
- HTTPS
- menneskelig
- Menneskelig element
- humor
- ideelt sett
- if
- betydning
- viktig
- forbedre
- in
- Incentiver
- inkluderer
- individuelt
- individer
- industri
- påvirke
- informasjon
- instant
- integrere
- interesse
- intern
- internt
- inn
- innføre
- Undersøkelser
- involvert
- IT
- DET ER
- jpg
- bare
- Hold
- nøkkel
- Kim
- Type
- Vet
- Knowing
- kunnskap
- maling
- landskap
- bærbare datamaskiner
- ledere
- Ledelse
- LÆRE
- læring
- venstre
- utnytte
- i likhet med
- Sannsynlig
- lokal
- låst
- Lang
- langsiktig
- lenger
- Se
- ser ut som
- UTSEENDE
- taper
- tap
- Lot
- gjøre
- Making
- mandater
- mange
- merke
- materiale
- Kan..
- bety
- møte
- minneverdig
- Minne
- mentorer
- meldinger
- meldinger
- MFA
- tankene
- feil
- misbruk
- Moderne
- månedlig
- mer
- mest
- flytte
- trekk
- må
- Mystery
- FORTELLING
- fortellinger
- nasjonal
- nødvendig
- Trenger
- nødvendig
- behov
- Ny
- Nei.
- plikt
- of
- Office
- ofte
- on
- gang
- ONE
- bare
- operasjonell
- or
- organisasjon
- organisasjoner
- ut
- utfall
- enn
- egen
- del
- deltakere
- Passord
- Ansatte
- folk jobber
- oppfattet
- perioden
- person
- perspektiv
- phishing
- fysisk
- bilde
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- spiller
- Point
- posisjon
- positiv
- praksis
- praksis
- presentert
- press
- Problem
- profesjonell
- Professor
- program
- programmer
- Progress
- beskytte
- gi
- forutsatt
- gi
- formål
- sette
- Puslespill
- RE
- å nå
- ekte
- mottatt
- mottak
- nylig
- regelmessig
- Relasjoner
- husker
- fjernkontroll
- Rapportering
- Krav
- forskning
- respondentene
- ansvarlig
- resultere
- beholde
- avsløre
- ikke sant
- risikoer
- Rolle
- rom
- rennende
- s
- trygge
- samme
- sier
- Vitenskap
- sikre
- sikkert
- sikkerhet
- Sikkerhetsbevissthet
- sikkerhetshendelser
- se
- Søke
- Form
- Del
- hun
- Kort
- bør
- signaler
- på samme måte
- Enkelt
- slakk
- So
- selskap
- Sosialteknikk
- noe
- kilde
- spesifikk
- Spot
- Begynn
- Trinn
- klebrig
- Still
- Stories
- Story
- historiefortelling
- slik
- sikker
- skreddersydd
- Ta
- fortelling
- Undervisning
- lag
- lag
- teknikker
- fortelle
- fortelle
- prinsipper
- Det
- De
- deres
- Dem
- seg
- Der.
- Disse
- de
- ting
- denne
- dette året
- De
- trodde
- trussel
- Gjennom
- Tied
- tid
- rettidig
- til
- sammen
- også
- Tog
- Kurs
- Stol
- klarert
- prøver
- To ganger
- forstå
- forståelse
- unik
- unikt
- universitet
- bruke
- brukt
- Brukere
- bruker
- ved hjelp av
- Verdifull
- variasjon
- Ve
- leverandører
- Verizon
- Offer
- video
- Videokonferanse
- visninger
- Sårbar
- ønsker
- Vei..
- måter
- we
- ukentlig
- velkjent
- var
- Hva
- Hva er
- når
- om
- hvilken
- mens
- HVEM
- vil
- med
- innenfor
- Arbeid
- arbeidere
- arbeid
- virker
- verden
- ville
- skrive
- år
- Du
- Din
- zephyrnet