Imaginați-vă asta: ca parte a unui exercițiu de predare a conștientizării securității, angajații intră într-o cameră. O „cameră de evadare” de securitate operațională reală, fizică, care la început arată ca o cameră obișnuită de birou. Dar, pe măsură ce oamenii privesc mai de aproape, jucându-se ca ingineri sociali criminali care au pătruns în clădire, încep să descopere informații pe care le pot folosi în scopuri nefaste.
De exemplu, există o parolă într-un coș de gunoi. Și există o întâlnire de videoconferință rămasă neînchisă. În jurul participanților există indicii care i-ar putea ajuta să exploateze afacerea. Speranța este că această experiență îi ajută să vadă prin ochii unui criminal - și îi lasă să înțeleagă importanța securității fizice. Odată ce au terminat, scopul este ca aceștia să-și amintească nevoia de a păstra lucruri precum tablele albe curate, laptopurile blocate și documentele ascunse sau mărunțite pentru a proteja compania.
Acesta este genul de instruire de conștientizare a securității pe care Kim Burton, șeful departamentului de încredere și conformitate cu Tessian, l-a folosit pentru a se asigura că formarea își lasă amprenta asupra angajaților.
Instruirea de conștientizare care se fixează este încă nevoie cu disperare, deoarece eroarea umană este responsabilă pentru multe încălcări și evenimente de pierdere de date. De fapt, cel mai recent Raportul Verizon privind investigațiile privind încălcarea datelor a constatat că 74% dintre încălcări au implicat elementul uman, care include atacuri de inginerie socială, erori sau abuzuri.
Cifrele arată, de asemenea, că multe companii sunt încă insuficiente în furnizarea de formare de sensibilizare. Nou date de la Hornetsecurity a constatat că 33% dintre companii nu oferă nicio formare de conștientizare a securității cibernetice utilizatorilor care lucrează de la distanță, un aranjament comun într-o lume post-COVID. Și acele organizații care oferă cursuri de conștientizare – fie angajaților la fața locului, fie la distanță – o administrează adesea doar anual. Acest lucru este departe de a fi eficient, potrivit Lisei Plaggemier, director executiv la National Cyber Security Alliance, care are o lungă istorie în dezvoltarea și desfășurarea programelor de conștientizare a securității.
Este timpul, spune ea, ca organizațiile să o reunească atunci când vine vorba de o conștientizare eficientă.
„Scurt, dar frecvent; nu mai mult din aceste prostii de o dată pe an”, spune ea.
Treci dincolo de conformitate
Dar mai multă frecvență este doar una dintre multele moduri pe care trebuie să se îmbunătățească formarea modernă de conștientizare a securității. Într-un peisaj de amenințări în continuă evoluție, cum arată un curs eficient de conștientizare a securității?
„La Alianța Națională pentru Securitate Cibernetică, multe dintre comportamentele pe care încercăm să le influențăm sunt aceleași, așa că sfaturile sunt aceleași – folosind MFA, raportarea phishing-ului etc. – dar le transmitem prin mesaje unice de-a lungul timpului”, spune Plaggemier. „Aceste mesaje folosesc abordări diferite: povestirea din perspectiva victimei, povestirea din perspectiva apărătorului, valorificarea evenimentelor actuale în titluri.”
Convingător, oportun, captivant și memorabil. Sună simplu, nu? Dar nu este. Problema cheie care reține multe companii este atitudinea, spune dr. Jason Nurse, director de știință și cercetare la CybSafe și profesor asociat în securitate cibernetică la Universitatea din Kent.
„Multe programe de conștientizare a securității încă nu se potrivesc, deoarece organizația consideră instruirea ca pe o casetă care trebuie bifată”, spune el. „Organizațiile se concentrează adesea pe conformitate și pe îndeplinirea cerințelor de bază, ceea ce poate duce la formare lipsită de profunzime și implicare.”
Creați o conștientizare „lipicioasă”.
Cum pot liderii de securitate să pună la punct un program care depășește cu mult mandatele de conformitate și să transforme formarea într-un lucru pe care oamenii nu doar își amintesc, ci și îl folosesc de fapt atunci când se confruntă cu decizii bazate pe risc?
O modalitate este de a livra conținutul printr-un canal de comunicare care funcționează pentru ei, spune asistenta. Cercetare de CybSafe, la începutul acestui an, a constatat că 79% dintre angajații de birou sunt probabil să acționeze pe baza sfatului de securitate oferit pe platformele pe care le folosesc zilnic, cum ar fi Slack și Teams. Și 90% dintre respondenți au considerat că măsurile de securitate pe platformele de mesagerie instantanee ar fi valoroase. În mod similar, persoanele care au primit informații cibernetice zilnic și săptămânal au avut de două ori mai multe șanse să-și amintească toată formarea lor decât cei care le-au primit lunar, trimestrial sau anual.
„În timp ce o înțelegere de bază a igienei cibernetice este esențială printr-un training regulat și antrenant, este la fel de esențial să îi ajutăm pe angajați atunci când au nevoie de ea într-un format util”, spune Nurse. „Instruirea ar trebui să depășească doar transmiterea de informații; ar trebui să-i ghideze pe indivizi cu privire la modul de a se comporta în siguranță în activitățile lor de zi cu zi. În plus, ar trebui să se asigure că oamenii știu unde să caute ajutor atunci când este necesar.”
O altă modalitate de a face să însemne mai mult este să face formarea bazată pe roluri. O măsură universală este „într-o anumită măsură necesară pentru conformitate”, spune Plaggemier, „dar odată ce ți-ai îndeplinit obligația de conformitate, oamenii ar trebui să primească o formare adecvată rolului lor și riscurilor specifice care îi afectează. ”
Burton de la Tessian spune că, pe lângă faptul că îl fac prea generic, multe organizații nu reușesc să ia în considerare cultura și imaginea de ansamblu atunci când elaborează formarea.
„Programele nu iau în considerare experiențele holistice ale angajaților, cum ar fi cultura actuală a organizației, semnalele actuale de la conducere cu privire la importanța practicilor sigure și unde angajatului general i se cere să folosească cea mai mare parte a timpului și energie”, spune ea. „Programele de conștientizare a securității pot neglija angajații care nu fac parte din inginerie, iar inginerii ar putea să nu aibă îndrumare pentru a integra materialul în practica lor.”
„Nu există o modalitate corectă de a instrui oamenii să fie în siguranță cibernetică. Există doar calea potrivită pentru organizația, departamentul sau echipa ta”, adaugă Nurse.
Joacă în cameră
Un alt factor important pentru conștientizarea lipicioasă este cunoașterea publicului, spune Burton. Ca un bun comedian de stand-up, trebuie să înțelegi cu cine joci dacă vrei să-și amintească ceea ce le spui.
„Primul pas este empatia”, spune ea. „Educătorul de securitate are nevoie de o înțelegere profundă a oamenilor pe care îi predau. Repetarea pe o perioadă mai lungă de timp în timp ce introducerea conținutului într-o varietate de moduri va asigura, de asemenea, reamintirea. Și, în sfârșit, nu uitați să vă distrați. Organizațiile își pierd frecvent interesul și implicarea din cauza fricii de a fi prea ciudate. Cu toate acestea, oamenii au șanse mai mari să păstreze conținut unic. Ciudat este bun! Fii amuzant, fii creativ, găsește bucurie!”
Burton, pe lângă camera de evadare, a pus și angajații să participe la un concurs de povești care le-a cerut angajaților să scrie o „poveste înfricoșătoare de Halloween” despre cum ar ataca compania. De asemenea, a creat narațiuni care pun oamenii în postura de analist de securitate la companie, în care trebuie să evalueze securitatea furnizorilor externi.
Cea mai eficientă instruire în domeniul securității, spune ea, acoperă riscurile de bază de care este preocupată afacerea; este adaptat publicului; conceptele sunt prezentate în timp și într-o varietate de moduri; iar materialul este memorabil datorită livrării sale unice, umorului sau experienței creative.
„Componenta cheie a fost, și va fi întotdeauna, concentrarea asupra oamenilor înșiși.”
CUM SĂ TRECEȚI DE LA CONȘTIENTEREA DE SECURITATE UITABILĂ LA MEMORATĂ
Formarea de conștientizare a securității poate fi evazivă pentru multe organizații. Și având în vedere că 74% dintre evenimentele de securitate sunt direct legate de eroarea umană, este important să găsim modalități de a ajunge la angajați și de a-i ajuta să înțeleagă riscurile cibernetice. Kim Burton, șeful departamentului de încredere și conformitate cu Tessian, folosește o varietate de tehnici de formare a conștientizării în programele sale. Iată principiile importante pe care ea spune că trebuie să le țineți cont atunci când creați un program la propria companie.
- Lucrați cu modul în care lucrează oamenii: Folosiți informații despre cum funcționează memoria umană, cum învață ființele umane, ce stimulente oferă cele mai bune rezultate pe termen lung.
- Abordare holistică: Înțelegeți angajații. Ce presiuni se confruntă? Cum este cultura locală? Cum este cultura internă? Ce experiență profesională au acești oameni? Cum este percepută în prezent pe plan intern echipa de securitate sau echipa IT? Directorii susțin securitatea?
- A spune povesti: Împărtășiți anecdote reale, spuneți povești din industrie sau din experiența dvs. și folosiți exemple. Acest lucru îi ajută pe oameni să se vadă pe ei înșiși în narațiune. În mod ideal, fiecare individ ar putea vedea cum contribuie în mod unic la povestea de securitate a organizației.
- Gamificare: Treci dincolo de un clasament. Faceți distracție interacționarea cu conținutul de securitate, folosind cunoștințele dvs. despre modul în care lucrează oamenii și experiența holistică de lucru în compania dvs. Realizează puzzle-uri, încurajează curiozitatea și misterul, recreează plăcerea descoperirii în învățare, subliniază progresul și folosește întărirea pozitivă pentru comportamente sigure.
- A cladi increderea: Construiți relații în interior. Deveniți o sursă de informații de încredere, dar și o persoană sigură la care să fiți vulnerabil cu privire la concepte dificile, greșeli de securitate și preocupări generale. Educatorul de securitate ar trebui să fie unul dintre cei mai cunoscuți oameni din cadrul afacerii.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- :are
- :este
- :nu
- :Unde
- 7
- a
- Capabil
- Despre Noi
- Conform
- Cont
- act
- activităţi de
- curent
- de fapt
- plus
- Adaugă
- administra
- sfat
- afecta
- TOATE
- Alianță
- de asemenea
- mereu
- an
- analist
- și
- Anual
- Orice
- abordari
- adecvat
- SUNT
- în jurul
- aranjament
- AS
- Avocat Colaborator
- At
- ataca
- Atacuri
- atitudine
- audiență
- gradului de conştientizare
- înapoi
- fundaluri
- de bază
- BE
- deoarece
- deveni
- fost
- comportamente
- fiind
- ființe
- CEL MAI BUN
- Dincolo de
- Mare
- Imagine de ansamblu
- Cutie
- încălcarea
- încălcări
- Rupt
- construi
- Clădire
- afaceri
- dar
- by
- CAN
- campion
- Canal
- mai aproape
- vine
- Comun
- Comunicare
- Companii
- companie
- conformitate
- component
- Concepte
- îngrijorat
- preocupările
- Conferință
- Lua în considerare
- mereu
- conţinut
- a contribui
- Nucleu
- ar putea
- Covers
- a creat
- Crearea
- Creator
- Penal
- crucial
- Cultură
- curiozitate
- Curent
- În prezent
- Cyber
- securitate cibernetică
- Securitate cibernetică
- zilnic
- de date
- încălcării securității datelor
- pierderi de date
- zilnic
- Deciziile
- adânc
- Grad
- încânta
- livra
- livrare
- Departament
- adâncime
- cu disperare
- în curs de dezvoltare
- diferit
- dificil
- direct
- Director
- descoperire
- do
- documente
- face
- don
- făcut
- dr
- două
- fiecare
- Mai devreme
- Eficace
- element
- empatie
- Angajat
- de angajați
- încuraja
- energie
- angajament
- captivant
- Inginerie
- inginerii
- asigura
- Intrați
- la fel de
- eroare
- Erori
- scăpa
- esenţial
- etc
- evalua
- evenimente
- evoluție
- exemplu
- exemple
- executiv
- Director Executiv
- directori
- Exercita
- experienţă
- Experiențe
- Exploata
- extern
- Ochi
- Față
- cu care se confruntă
- fapt
- factor
- FAIL
- Cădea
- departe
- frică
- În cele din urmă
- Găsi
- First
- plat
- Concentra
- Pentru
- format
- găsit
- Frecvență
- frecvent
- frecvent
- din
- distracţie
- amuzant
- În plus
- General
- obține
- Go
- scop
- bine
- ghida
- HAD
- Halloween
- Avea
- he
- cap
- Prima pagină
- ajutor
- util
- ajută
- ei
- aici
- Ascuns
- istorie
- deținere
- holistică
- speranţă
- Cum
- Cum Pentru a
- Totuși
- HTTPS
- uman
- Element uman
- umor
- ideal
- if
- importanță
- important
- îmbunătăţi
- in
- stimulente
- include
- individ
- persoane fizice
- industrie
- influență
- informații
- clipă
- integra
- interes
- intern
- intern
- în
- introducerea
- Investigații
- implicat
- IT
- ESTE
- jpg
- doar
- A pastra
- Cheie
- Kim
- Copil
- Cunoaște
- Cunoaștere
- cunoştinţe
- lipsă
- peisaj
- laptop-uri
- Liderii
- Conducere
- AFLAȚI
- învăţare
- stânga
- efectului de pârghie
- ca
- Probabil
- local
- blocat
- Lung
- pe termen lung
- mai lung
- Uite
- arată ca
- Se pare
- pierde
- de pe
- Lot
- face
- Efectuarea
- mandate
- multe
- marca
- material
- Mai..
- însemna
- Reuniunea
- memorabil
- Memorie
- Mentorship
- mesaje
- mesagerie
- AMF
- minte
- greşeli
- folosire greșită
- Modern
- lunar
- mai mult
- cele mai multe
- muta
- mişcă
- trebuie sa
- Mister
- NARATIV
- narațiuni
- național
- necesar
- Nevoie
- necesar
- nevoilor
- Nou
- Nu.
- obligaţie
- of
- Birou
- de multe ori
- on
- dată
- ONE
- afară
- operațional
- or
- organizație
- organizații
- afară
- rezultate
- peste
- propriu
- parte
- participanţi
- Parolă
- oameni
- oamenii muncesc
- percepută
- perioadă
- persoană
- perspectivă
- Phishing
- fizic
- imagine
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- joc
- Punct
- poziţie
- pozitiv
- practică
- practicile
- prezentat
- Presiunile
- Problemă
- profesional
- Profesor
- Program
- Programe
- Progres
- proteja
- furniza
- prevăzut
- furnizarea
- scopuri
- pune
- Puzzle
- RE
- ajunge
- real
- primit
- primire
- recent
- regulat
- Relaţii
- minte
- la distanta
- Raportarea
- Cerinţe
- cercetare
- respondenți
- responsabil
- rezultat
- reține
- dezvălui
- dreapta
- Riscurile
- Rol
- Cameră
- funcţionare
- s
- sigur
- acelaşi
- spune
- Ştiinţă
- sigur
- în siguranță,
- securitate
- Conștientizarea securității
- Evenimente de securitate
- vedea
- Căuta
- Modela
- Distribuie
- ea
- Pantaloni scurți
- să
- semnalele
- asemănător
- simplu
- moale
- So
- Social
- Inginerie sociala
- ceva
- Sursă
- specific
- Loc
- Începe
- Pas
- lipicios
- Încă
- Istorii
- Poveste
- povestiri
- astfel de
- sigur
- adaptate
- Lua
- poveste
- Predarea
- echipă
- echipe
- tehnici de
- spune
- spune
- principii
- acea
- lor
- Lor
- se
- Acolo.
- Acestea
- ei
- lucruri
- acest
- în acest an
- aceste
- gândit
- amenințare
- Prin
- legat
- timp
- oportun
- la
- împreună
- de asemenea
- Tren
- Pregătire
- Încredere
- de încredere
- încercat
- De două ori
- înţelege
- înţelegere
- unic
- unic
- universitate
- utilizare
- utilizat
- utilizatorii
- utilizări
- folosind
- Valoros
- varietate
- Ve
- furnizori
- Verizon
- Victimă
- Video
- conferințe video
- vizualizari
- vulnerabil
- vrea
- Cale..
- modalități de
- we
- săptămânal
- bine cunoscut
- au fost
- Ce
- Ce este
- cand
- dacă
- care
- în timp ce
- OMS
- voi
- cu
- în
- Apartamente
- muncitorii
- de lucru
- fabrică
- lume
- ar
- scrie
- an
- Tu
- Ta
- zephyrnet