Wyobraź sobie taką sytuację: w ramach ćwiczenia mającego na celu uczenie świadomości bezpieczeństwa pracownicy wchodzą do pokoju. Rzeczywisty, fizyczny „Escape Room”, zapewniający fizyczne bezpieczeństwo operacyjne, który na pierwszy rzut oka wygląda jak zwykły pokój biurowy. Kiedy jednak ludzie przyglądają się bliżej, wcielając się w kryminalnych inżynierów społecznych, którzy włamali się do budynku, zaczynają dostrzegać informacje, które mogą wykorzystać do niegodziwych celów.
Na przykład w koszu na śmieci leży hasło. Niezamknięte zostało także spotkanie wideokonferencyjne. Wokół uczestników znajdują się wskazówki, które mogą pomóc im wykorzystać biznes. Mamy nadzieję, że to doświadczenie pomoże im spojrzeć oczami przestępcy i pozwoli im zrozumieć znaczenie bezpieczeństwa fizycznego. Kiedy już skończą, celem jest, aby pamiętali o konieczności utrzymywania takich rzeczy, jak tablice w czystości, zamykanie laptopów i ukrywanie lub niszczenie dokumentów w celu ochrony firmy.
To jest rodzaj szkolenie uświadamiające w zakresie bezpieczeństwa które Kim Burton, dyrektor ds. zaufania i zgodności w firmie Tessian, wykorzystywał, aby mieć pewność, że szkolenia pozostawią ślad na pracownikach.
Trwałe szkolenie w zakresie świadomości jest nadal niezwykle potrzebne, ponieważ za wiele naruszeń i zdarzeń związanych z utratą danych odpowiedzialny jest błąd ludzki. Właściwie najnowsze Raport z dochodzeń w sprawie naruszenia danych firmy Verizon odkryli, że 74% naruszeń dotyczyło elementu ludzkiego, co obejmuje ataki socjotechniczne, błędy lub niewłaściwe użycie.
Dane pokazują również, że wiele firm w dalszym ciągu nie zapewnia szkoleń uświadamiających. Nowy dane z Hornetsecurity wykazało, że 33% firm nie zapewnia żadnych szkoleń w zakresie świadomości cyberbezpieczeństwa użytkownikom pracującym zdalnie, co jest powszechnym rozwiązaniem w świecie po pandemii. A te organizacje, które rzeczywiście zapewniają szkolenia uświadamiające – zarówno dla pracowników stacjonarnych, jak i zdalnych – często przeprowadzają je tylko raz w roku. Zdaniem Lisy Plaggemier, dyrektor wykonawczej National Cyber Security Alliance, która ma długą historię opracowywania i prowadzenia programów zwiększających świadomość bezpieczeństwa, jest to dalekie od skuteczności.
Mówi, że nadszedł czas, aby organizacje połączyły siły, jeśli chodzi o skuteczną świadomość.
„Krótkie, ale częste; Koniec z tymi powtarzającymi się raz do roku bzdurami” – mówi.
Wyjdź poza zgodność
Jednak większa częstotliwość to tylko jeden z wielu sposobów, w jaki nowoczesne szkolenia w zakresie świadomości bezpieczeństwa muszą zostać udoskonalone. Jak w stale zmieniającym się krajobrazie zagrożeń wygląda skuteczne szkolenie w zakresie świadomości bezpieczeństwa?
„W National Cybersecurity Alliance wiele zachowań, na które staramy się wpłynąć, jest takich samych, więc rada jest taka sama – korzystanie z usługi MFA, zgłaszanie phishingu itp. – ale z czasem dostarczamy je za pośrednictwem unikalnych wiadomości” – mówi Plaggemier. „W tych wiadomościach zastosowano różne podejścia: opowiadanie historii z perspektywy ofiary, opowiadanie historii z perspektywy obrońcy, wykorzystywanie bieżących wydarzeń na pierwszych stronach gazet”.
Wciągająca, na czasie, wciągająca i zapadająca w pamięć. Brzmi prosto, prawda? Ale nie jest. Kluczowym problemem powstrzymującym wiele firm jest postawa, mówi dr Jason Nurse, dyrektor ds. nauki i badań w CybSafe i profesor nadzwyczajny ds. bezpieczeństwa cybernetycznego na Uniwersytecie Kent.
„Wiele programów zwiększających świadomość bezpieczeństwa w dalszym ciągu nie spełnia oczekiwań, ponieważ organizacja postrzega szkolenie jako pole, które należy zaznaczyć” – mówi. „Organizacje często skupiają się na zgodności i spełnianiu podstawowych wymagań, co może skutkować szkoleniem pozbawionym głębi i zaangażowania”.
Stwórz „lepką” świadomość
W jaki sposób liderzy ds. bezpieczeństwa mogą ułożyć program wykraczający daleko poza wymogi dotyczące zgodności i przekształcić szkolenia w coś, co ludzie nie tylko zapamiętują, ale także faktycznie wykorzystują w obliczu decyzji opartych na ryzyku?
Jednym ze sposobów jest dostarczanie treści za pośrednictwem odpowiedniego dla nich kanału komunikacji, mówi Nurse. Badania przeprowadzone na początku tego roku przez CybSafe wykazało, że 79% pracowników biurowych prawdopodobnie zastosuje się do porad dotyczących bezpieczeństwa udzielanych na platformach, z których korzystają na co dzień, takich jak Slack i Teams. 90% respondentów uważało, że przydatne będą wskazówki dotyczące bezpieczeństwa na platformach komunikatorów internetowych. Podobnie osoby, które codziennie i co tydzień otrzymywały informacje o cyberprzestrzeni, dwukrotnie częściej pamiętały całe swoje szkolenie niż osoby, które otrzymywały je co miesiąc, co kwartał lub co rok.
„Chociaż podstawowe zrozumienie higieny cybernetycznej jest niezbędne dzięki regularnym, angażującym szkoleniom, równie ważne jest pomaganie pracownikom, gdy tego potrzebują, w przydatnej formie” – mówi Nurse. „Szkolenie powinno wykraczać poza przekazywanie informacji; powinien wskazywać poszczególnym osobom, jak bezpiecznie zachowywać się w codziennych czynnościach. Co więcej, powinno to zapewnić ludziom wiedzę, gdzie w razie potrzeby mogą zwrócić się o pomoc”.
Innym sposobem, aby nadać temu sens więcej, jest uczynić szkolenie oparte na rolach. Uniwersalność jest „w pewnym stopniu konieczna do zapewnienia zgodności” – mówi Plaggemier, „ale kiedy wypełnisz swój obowiązek dotyczący zgodności, ludzie powinni przejść szkolenie odpowiednie do ich roli i konkretnego ryzyka, które ich dotyczy. ”
Burton z Tessian twierdzi, że oprócz tego, że jest to zbyt ogólne, wiele organizacji nie bierze pod uwagę kultury i szerszej perspektywy przy opracowywaniu szkoleń.
„Programy nie uwzględniają holistycznych doświadczeń pracowników, takich jak aktualna kultura organizacji, aktualne sygnały od kierownictwa dotyczące znaczenia bezpiecznych praktyk oraz to, gdzie od ogółu pracownika oczekuje się, aby spędzał większość swojego czasu i energię” – mówi. „Programy podnoszenia świadomości w zakresie bezpieczeństwa mogą zaniedbywać pracowników niebędących inżynierami, a inżynierom może brakować mentora, który umożliwiłby im włączenie materiałów do ich praktyki”.
„Nie ma jednego właściwego sposobu na przeszkolenie ludzi w zakresie bezpieczeństwa cybernetycznego. Istnieje tylko właściwa droga dla Twojej organizacji, działu lub zespołu” – dodaje Nurse.
Zagraj w pokoju
Innym ważnym czynnikiem wpływającym na lepką świadomość jest znajomość odbiorców, mówi Burton. Podobnie jak dobry komik stand-upowy, musisz zrozumieć, dla kogo grasz, jeśli chcesz, aby zapamiętali, co im mówisz.
„Pierwszym krokiem jest empatia” – mówi. „Nauczyciel bezpieczeństwa potrzebuje głębokiego zrozumienia ludzi, których uczy. Powtarzanie przez dłuższy czas przy wprowadzaniu treści na różne sposoby również zapewni przypomnienie. I na koniec, nie zapomnij o dobrej zabawie. Organizacje często tracą zainteresowanie i zaangażowanie ze strachu przed byciem zbyt dziwnymi. Jednak ludzie częściej zachowują unikalne treści. Dziwne jest dobre! Bądź zabawny, bądź kreatywny, znajdź radość!”
Oprócz pokoju ucieczki pracownicy Burton wzięli także udział w konkursie na opowiadanie, w ramach którego poproszono ich o napisanie „upiornej opowieści na Halloween” o tym, jak zaatakują firmę. Tworzyła także narracje stawiające ludzi w sytuacji analityka bezpieczeństwa w firmie, w którym muszą ocenić bezpieczeństwo zewnętrznych dostawców.
Jej zdaniem najskuteczniejsze szkolenie w zakresie bezpieczeństwa obejmuje podstawowe zagrożenia, którymi interesuje się firma; jest dostosowany do odbiorców; koncepcje są prezentowane na przestrzeni czasu i na różne sposoby; a materiał zapada w pamięć dzięki wyjątkowemu przekazowi, humorowi lub twórczemu doświadczeniu.
„Kluczowym elementem było i zawsze będzie skupienie się na samych ludziach”.
JAK PRZEJŚĆ OD ZAPOMNIANEJ DO PAMIĘTNEJ ŚWIADOMOŚCI BEZPIECZEŃSTWA
Szkolenie w zakresie świadomości bezpieczeństwa może być nieuchwytne dla wielu organizacji. Ponieważ 74% zdarzeń związanych z bezpieczeństwem jest bezpośrednio powiązanych z błędami ludzkimi, ważne jest znalezienie sposobów dotarcia do pracowników i pomocy im w zrozumieniu zagrożeń cybernetycznych. Kim Burton, dyrektor ds. zaufania i zgodności z Tessianem, w swoich programach wykorzystuje różnorodne techniki szkolenia świadomości. Oto ważne zasady, o których należy pamiętać podczas tworzenia programu we własnej firmie.
- Pracuj nad tym, jak pracują ludzie: Wykorzystaj informacje o tym, jak działa ludzka pamięć, jak się uczą, jakie bodźce zapewniają najlepsze długoterminowe rezultaty.
- Podejdź całościowo: Zrozum pracowników. Z jaką presją się spotykają? Jaka jest lokalna kultura? Jaka jest kultura wewnętrzna? Jakie doświadczenie zawodowe mają te osoby? Jak obecnie postrzegany jest zespół ds. bezpieczeństwa lub zespół IT wewnętrznie? Czy menedżerowie opowiadają się za bezpieczeństwem?
- Opowiedz historie: Dziel się prawdziwymi anegdotami, opowiadaj historie z branży lub swoich doświadczeń i korzystaj z przykładów. Pomaga to ludziom zobaczyć siebie w narracji. Idealnie byłoby, gdyby każda osoba mogła zobaczyć, w jaki sposób przyczynia się do historii bezpieczeństwa organizacji.
- Grywalizacja: Wyjdź poza tabelę liderów. Spraw, aby interakcja z treściami związanymi z bezpieczeństwem była zabawą, wykorzystując swoją wiedzę o tym, jak ludzie pracują i całościowe doświadczenie pracy w Twojej firmie. Układaj łamigłówki, wzbudzaj ciekawość i tajemniczość, odtwarzaj radość z odkrywania w nauce, wskazuj postępy i używaj pozytywnego wzmocnienia dla bezpiecznych zachowań.
- Budować zaufanie: Buduj relacje wewnętrznie. Stań się zaufanym źródłem informacji, ale także bezpieczną osobą, która może być podatna na zagrożenia w przypadku trudnych koncepcji, błędów związanych z bezpieczeństwem i ogólnych obaw. Edukator ds. bezpieczeństwa powinien być jedną z najbardziej znanych osób w branży.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- :ma
- :Jest
- :nie
- :Gdzie
- 7
- a
- Zdolny
- O nas
- Stosownie
- Konto
- działać
- zajęcia
- rzeczywisty
- faktycznie
- dodatek
- Dodaje
- administrować
- Rada
- oddziaływać
- Wszystkie kategorie
- Alians
- również
- zawsze
- an
- analityk
- i
- Rocznie
- każdy
- awanse
- właściwy
- SĄ
- na około
- układ
- AS
- Współpracownik
- At
- atakować
- Ataki
- postawa
- publiczność
- świadomość
- z powrotem
- tła
- podstawowy
- BE
- bo
- stają się
- być
- zachowania
- jest
- istoty
- BEST
- Poza
- Duży
- Duże zdjęcie
- Pudełko
- naruszenie
- naruszenia
- Zepsuł się
- budować
- Budowanie
- biznes
- ale
- by
- CAN
- mistrz
- Kanał
- bliższy
- byliśmy spójni, od początku
- wspólny
- Komunikacja
- Firmy
- sukcesy firma
- spełnienie
- składnik
- Koncepcje
- zaniepokojony
- Obawy
- Konferencja
- Rozważać
- stale
- zawartość
- przyczynić się
- rdzeń
- mógłby
- Okładki
- stworzony
- Tworzenie
- Twórczy
- Karny
- istotny
- kultura
- ciekawość
- Aktualny
- Obecnie
- cyber
- bezpieczeństwo cybernetyczne
- Bezpieczeństwo cybernetyczne
- codziennie
- dane
- naruszenie danych
- Utrata danych
- dzień do dnia
- Decyzje
- głęboko
- Stopień
- zachwycać
- dostarczyć
- dostawa
- Departament
- głębokość
- beznadziejnie
- rozwijanie
- różne
- trudny
- bezpośrednio
- Dyrektor
- odkrycie
- do
- dokumenty
- robi
- darowizna
- zrobić
- dr
- z powodu
- każdy
- Wcześniej
- Efektywne
- element
- empatia
- Pracownik
- pracowników
- zachęcać
- energia
- zaręczynowy
- ujmujący
- Inżynieria
- Inżynierowie
- zapewnić
- Wchodzę
- Równie
- błąd
- Błędy
- uciec
- niezbędny
- itp
- oceniać
- wydarzenia
- ewoluuje
- przykład
- przykłady
- wykonawczy
- Dyrektor wykonawczy
- kierownictwo
- Ćwiczenie
- doświadczenie
- Doświadczenia
- Wykorzystać
- zewnętrzny
- Oczy
- Twarz
- w obliczu
- fakt
- czynnik
- FAIL
- Spadać
- daleko
- strach
- W końcu
- Znajdź
- i terminów, a
- mieszkanie
- Skupiać
- W razie zamówieenia projektu
- format
- znaleziono
- Częstotliwość
- częsty
- często
- od
- zabawa
- zabawny
- Ponadto
- Ogólne
- otrzymać
- Go
- cel
- dobry
- poprowadzi
- miał
- halloween
- Have
- he
- głowa
- Nagłówki
- pomoc
- pomocny
- pomaga
- jej
- tutaj
- Ukryty
- historia
- przytrzymanie
- holistyczne
- nadzieję
- W jaki sposób
- How To
- Jednak
- HTTPS
- człowiek
- Element ludzki
- humor
- idealnie
- if
- znaczenie
- ważny
- podnieść
- in
- zachęty
- obejmuje
- indywidualny
- osób
- przemysł
- wpływ
- Informacja
- natychmiastowy
- integrować
- odsetki
- wewnętrzny
- wewnętrznie
- najnowszych
- wprowadzenie
- Dochodzenia
- zaangażowany
- IT
- JEGO
- jpg
- właśnie
- Trzymać
- Klawisz
- Kim
- Uprzejmy
- Wiedzieć
- Wiedząc
- wiedza
- Brak
- krajobraz
- laptopy
- Przywódcy
- Przywództwo
- UCZYĆ SIĘ
- nauka
- lewo
- lewarowanie
- lubić
- Prawdopodobnie
- miejscowy
- zamknięty
- długo
- długoterminowy
- dłużej
- Popatrz
- wygląda jak
- WYGLĄD
- stracić
- od
- Partia
- robić
- Dokonywanie
- mandaty
- wiele
- znak
- materiał
- Może..
- oznaczać
- Spotkanie
- niezapomniany
- Pamięć
- Mentoring
- wiadomości
- wiadomości
- MSZ
- nic
- błędy
- nadużycie
- Nowoczesne technologie
- miesięcznie
- jeszcze
- większość
- ruch
- porusza się
- musi
- Tajemnica
- NARRACJA
- narracje
- narodowy
- niezbędny
- Potrzebować
- potrzebne
- wymagania
- Nowości
- Nie
- obowiązek
- of
- Biurowe
- często
- on
- pewnego razu
- ONE
- tylko
- operacyjny
- or
- organizacja
- organizacji
- na zewnątrz
- wyniki
- koniec
- własny
- część
- Uczestnicy
- Hasło
- Ludzie
- ludzie pracują
- spostrzegany
- okres
- osoba
- perspektywa
- phishing
- fizyczny
- obraz
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- gra
- punkt
- position
- pozytywny
- praktyka
- praktyki
- przedstawione
- Ciśnienia
- Problem
- profesjonalny
- Profesor
- Program
- Programy
- Postęp
- chronić
- zapewniać
- pod warunkiem,
- że
- cele
- położyć
- Puzzle
- RE
- dosięgnąć
- real
- Odebrane
- odbieranie
- niedawny
- regularny
- Relacje
- pamiętać
- zdalny
- Raportowanie
- wymagania
- Badania naukowe
- respondenci
- odpowiedzialny
- dalsze
- zachować
- ujawniać
- prawo
- ryzyko
- Rola
- Pokój
- bieganie
- s
- "bezpiecznym"
- taki sam
- mówią
- nauka
- bezpieczne
- bezpiecznie
- bezpieczeństwo
- Świadomość bezpieczeństwa
- zdarzenia zabezpieczeń
- widzieć
- Szukajcie
- Shape
- Share
- ona
- Short
- powinien
- Sygnały
- Podobnie
- Prosty
- luźny
- So
- Obserwuj Nas
- Inżynieria społeczna
- coś
- Źródło
- specyficzny
- Spot
- początek
- Ewolucja krok po kroku
- lepki
- Nadal
- historie
- Historia
- opowiadanie
- taki
- pewnie
- dostosowane
- Brać
- opowieść
- Nauczanie
- zespół
- Zespoły
- Techniki
- powiedzieć
- mówi
- zasady
- że
- Połączenia
- ich
- Im
- sami
- Tam.
- Te
- one
- rzeczy
- to
- w tym roku
- tych
- myśl
- groźba
- Przez
- Związany
- czas
- aktualny
- do
- razem
- także
- Pociąg
- Trening
- Zaufaj
- zaufany
- stara
- Dwa razy
- zrozumieć
- zrozumienie
- wyjątkowy
- wyjątkowo
- uniwersytet
- posługiwać się
- używany
- Użytkownicy
- zastosowania
- za pomocą
- Cenny
- różnorodność
- Ve
- sprzedawców
- Verizon
- Ofiara
- Wideo
- Konferencja wideo
- widoki
- Wrażliwy
- chcieć
- Droga..
- sposoby
- we
- tygodniowy
- znane
- były
- Co
- Co to jest
- jeśli chodzi o komunikację i motywację
- czy
- który
- Podczas
- KIM
- będzie
- w
- w ciągu
- Praca
- pracowników
- pracujący
- działa
- świat
- by
- napisać
- rok
- You
- Twój
- zefirnet