Представьте себе: в рамках упражнения по обучению технике безопасности сотрудники входят в помещение. Настоящая «квест-комната» физической оперативной безопасности, которая на первый взгляд выглядит как обычное офисное помещение. Но когда люди присматриваются поближе, играя роль преступных социальных инженеров, ворвавшихся в здание, они начинают замечать информацию, которую могут использовать в гнусных целях.
Например, в мусорной корзине лежит пароль. И встреча по видеоконференции осталась незакрытой. Вокруг участников есть подсказки, которые могут помочь им использовать бизнес. Надеемся, что этот опыт поможет им увидеть ситуацию глазами преступника и позволит им понять важность физической безопасности. После того, как они закончат, цель состоит в том, чтобы они помнили о необходимости содержать в чистоте такие вещи, как доски, ноутбуки запертыми, а документы прятать или уничтожать, чтобы защитить компанию.
Это своего рода обучение безопасности Ким Бертон, руководитель отдела доверия и соответствия Tessian, использовала, чтобы обучение оставило свой след на сотрудниках.
Постоянное обучение по повышению осведомленности по-прежнему крайне необходимо, поскольку человеческие ошибки являются причиной многих нарушений и потерь данных. Фактически, самая последняя Отчет о расследовании утечки данных Verizon обнаружили, что 74% нарушений связаны с человеческим фактором, который включает в себя атаки социальной инженерии, ошибки или неправильное использование.
Цифры также показывают, что многие компании по-прежнему не обеспечивают должного обучения. Новый данные Hornetsecurity обнаружили, что 33% компаний не проводят никакого обучения по вопросам кибербезопасности для пользователей, работающих удаленно, что является обычным явлением в мире после COVID. А те организации, которые проводят обучение по повышению осведомленности — будь то для сотрудников на месте или удаленно — часто проводят его только ежегодно. По мнению Лизы Плаггемье, исполнительного директора Национального альянса кибербезопасности, которая имеет долгий опыт разработки и реализации программ по повышению осведомленности о безопасности, это далеко не эффективно.
Пришло время, по ее словам, организациям объединиться, когда дело доходит до эффективного информирования.
«Коротко, но часто; хватит больше этой ерунды, которая случается раз в год», — говорит она.
Выйдите за рамки соответствия
Но более частые занятия — это лишь один из многих способов улучшения современного обучения по вопросам безопасности. Как выглядит эффективное обучение по вопросам безопасности в условиях постоянно меняющегося ландшафта угроз?
«В Национальном альянсе кибербезопасности многие модели поведения, на которые мы пытаемся повлиять, одинаковы, поэтому и советы одни и те же — использовать MFA, сообщать о фишинге и т. д. — но со временем мы доставляем их посредством уникальных сообщений», — говорит Плаггемир. «В этих сообщениях используются разные подходы: повествование с точки зрения жертвы, повествование с точки зрения защитника, использование текущих событий в заголовках».
Яркий, своевременный, интересный и запоминающийся. Звучит просто, правда? Но это не так. Ключевой проблемой, сдерживающей многие компании, является отношение, говорит доктор Джейсон Нерс, директор по науке и исследованиям CybSafe и доцент кафедры кибербезопасности в Кентском университете.
«Многие программы повышения безопасности по-прежнему терпят неудачу, потому что организация рассматривает обучение как флажок, который необходимо поставить галочку», — говорит он. «Организации часто сосредотачиваются на соблюдении требований и выполнении основных требований, что может привести к недостаточному обучению и вовлеченности».
Создайте «прилипчивую» осведомленность
Как лидеры служб безопасности могут разработать программу, которая выйдет далеко за рамки мандатов по соблюдению требований и превратит обучение в то, что люди не только запомнят, но и действительно будут использовать, когда сталкиваются с решениями, основанными на рисках?
«Один из способов — доставлять контент через удобный для них канал связи», — говорит Нерс. В исследовании Ранее в этом году компания CybSafe обнаружила, что 79% офисных работников, скорее всего, будут следовать советам по безопасности, полученным на платформах, которые они используют ежедневно, таких как Slack и Teams. А 90% респондентов считают, что улучшения безопасности на платформах обмена мгновенными сообщениями будут ценными. Аналогичным образом, люди, получавшие киберинформацию ежедневно и еженедельно, в два раза чаще запоминали все свое обучение, чем те, кто получал ее ежемесячно, ежеквартально или ежегодно.
«Хотя базовое понимание кибергигиены необходимо посредством регулярного увлекательного обучения, не менее важно помогать сотрудникам, когда им это нужно, в полезном формате», — говорит Нерс. «Обучение должно выходить за рамки простой передачи информации; он должен направлять людей в отношении того, как вести себя безопасно в своей повседневной деятельности. Кроме того, это должно гарантировать, что люди знают, куда обращаться за помощью в случае необходимости».
Еще один способ заставить это значить больше — это сделать обучение ролевым. «Единый размер подходит всем» «в определенной степени необходим для соблюдения требований», — говорит Плаггемье, — «но как только вы выполнили свои обязательства по соблюдению требований, люди должны пройти обучение, соответствующее их роли и конкретным рискам, которые их затрагивают. »
Бертон из Tessian говорит, что многие организации не только делают это слишком общим, но и не учитывают культуру и общую картину при разработке обучения.
«Программы не учитывают целостный опыт сотрудников, такой как текущая культура организации, текущие сигналы руководства о важности безопасных методов, а также то, где обычного сотрудника просят использовать большую часть своего времени и энергии», — говорит она. «Программы повышения осведомленности о безопасности могут пренебрегать сотрудниками, не являющимися инженерами, а инженерам может не хватать наставничества, чтобы интегрировать материал в свою практику».
«Не существует единственного правильного способа научить людей кибербезопасности. Для вашей организации, отдела или команды есть только правильный путь», — добавляет Нерс.
Играй в комнату
«Еще один важный фактор, способствующий повышению осведомленности, — это знание своей аудитории», — говорит Бертон. Как хорошему стендап-комику, вам нужно понимать, перед кем вы играете, если хотите, чтобы они запомнили то, что вы им говорите.
«Первый шаг — это сочувствие», — говорит она. «Преподаватель по безопасности должен глубоко понимать людей, которых он обучает. Повторение в течение более длительного периода времени при одновременном представлении контента различными способами также обеспечит запоминание. И, наконец, не забудьте развлечься. Организации часто теряют интерес и вовлеченность из-за страха показаться слишком странными. Однако люди с большей вероятностью сохранят уникальный контент. Странно – это хорошо! Будьте веселыми, будьте креативными, находите радость!»
Burton, помимо квест-комнаты, также пригласил сотрудников принять участие в конкурсе рассказов, в котором им предлагалось написать «жуткий рассказ на Хэллоуин» о том, как они нападут на компанию. Она также создала истории, которые ставят людей на место аналитиков безопасности в компании, где им приходится оценивать безопасность внешних поставщиков.
По ее словам, наиболее эффективное обучение безопасности охватывает основные риски, которые беспокоят бизнес; он адаптирован к аудитории; концепции представлены с течением времени и различными способами; материал запоминается благодаря уникальной подаче, юмору или творческому опыту.
«Ключевым компонентом было и всегда будет внимание к самим людям».
КАК ПЕРЕЙТИ ОТ ЗАБЫВАЕМОГО К НЕЗАБЫВАЕМОМУ БЕЗОПАСНОСТИ
Обучение по вопросам безопасности может оказаться невозможным для многих организаций. А поскольку 74% событий безопасности напрямую связаны с человеческими ошибками, важно найти способы связаться с сотрудниками и помочь им понять киберриски. Ким Бертон, руководитель отдела доверия и соответствия Tessian, использует в своих программах различные методы повышения осведомленности. Вот важные принципы, которые, по ее словам, следует учитывать при создании программы в вашей компании.
- Работайте с тем, как работают люди: Используйте информацию о том, как работает человеческая память, как люди учатся, какие стимулы обеспечивают наилучшие долгосрочные результаты.
- Подход комплексный: Поймите сотрудников. С каким давлением они сталкиваются? Какова местная культура? Какова внутренняя культура? Какой профессиональный опыт имеют эти люди? Как в настоящее время воспринимается команда безопасности или ИТ-команда внутри компании? Выступают ли руководители за безопасность?
- Расскажи истории: Делитесь реальными анекдотами, рассказывайте истории из отрасли или свой опыт и приведите примеры. Это помогает людям увидеть себя в повествовании. В идеале каждый человек должен иметь возможность увидеть, какой уникальный вклад он вносит в историю безопасности организации.
- Геймификация: Выйдите за рамки таблицы лидеров. Сделайте взаимодействие с контентом по безопасности увлекательным, используя свои знания о том, как работают люди, и целостный опыт работы в вашей компании. Составляйте загадки, поощряйте любопытство и загадку, воссоздайте радость открытия в обучении, отмечайте прогресс и используйте положительное подкрепление для безопасного поведения.
- Построить доверие: Выстраивайте внутренние отношения. Станьте надежным источником информации, а также безопасным человеком, который будет уязвим в отношении сложных концепций, ошибок безопасности и общих проблем. Преподаватель по безопасности должен быть одним из самых известных людей в бизнесе.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- :имеет
- :является
- :нет
- :куда
- 7
- a
- в состоянии
- О нас
- По
- Учетная запись
- Действие (Act):
- активно
- фактического соединения
- на самом деле
- дополнение
- Добавляет
- управлять
- совет
- влиять на
- Все
- Альянс
- причислены
- всегда
- an
- аналитик
- и
- Ежегодно
- любой
- подходы
- соответствующий
- МЫ
- около
- расположение
- AS
- Юрист
- At
- атаковать
- нападки
- отношение
- аудитория
- осведомленность
- назад
- фоны
- основной
- BE
- , так как:
- становиться
- было
- поведения
- не являетесь
- существ
- ЛУЧШЕЕ
- Beyond
- большой
- Большая фотография
- Коробка
- нарушение
- нарушения
- Сломался
- строить
- Строительство
- бизнес
- но
- by
- CAN
- чемпион
- Канал
- ближе
- выходит
- Общий
- Связь
- Компании
- Компания
- Соответствие закону
- компонент
- понятия
- обеспокоенный
- Обеспокоенность
- Конференция
- Рассматривать
- постоянно
- содержание
- способствовать
- Основные
- может
- Обложки
- создали
- Создающий
- творческий
- Криминальное
- решающее значение
- Культура
- любопытство
- Текущий
- В настоящее время
- кибер-
- информационная безопасность
- Информационная безопасность
- ежедневно
- данным
- Данные нарушения
- Потеря данных
- дня в день
- решения
- глубоко
- Степень
- восторг
- доставить
- поставка
- Кафедра
- глубина
- в отчаянии
- развивающийся
- различный
- трудный
- непосредственно
- директор
- открытие
- do
- Документация
- приносит
- Дон
- сделанный
- dr
- два
- каждый
- Ранее
- Эффективный
- элемент
- сопереживание
- Сотрудник
- сотрудников
- поощрять
- энергетика
- обязательство
- привлечение
- Проект и
- Инженеры
- обеспечивать
- Enter
- одинаково
- ошибка
- ошибки
- бежать
- существенный
- и т.д
- оценивать
- События
- развивается
- пример
- Примеры
- исполнительный
- Исполнительный директор
- руководителей высшего звена.
- Упражнение
- опыт
- Впечатления
- Эксплуатировать
- и, что лучший способ
- Глаза
- Face
- сталкиваются
- факт
- фактор
- FAIL
- Осень
- далеко
- страх
- в заключение
- Найдите
- Во-первых,
- плоский
- Фокус
- Что касается
- формат
- найденный
- частота
- частое
- часто
- от
- fun
- веселая
- Более того
- Общие
- получить
- Go
- цель
- хорошо
- инструкция
- было
- Хэллоуин
- Есть
- he
- Последние новости
- помощь
- полезный
- помогает
- ее
- здесь
- Скрытый
- история
- проведение
- целостный
- надежды
- Как
- How To
- Однако
- HTTPS
- человек
- Человеческий элемент
- юмор
- Идеально
- if
- значение
- важную
- улучшать
- in
- Стимулы
- включает в себя
- individual
- лиц
- промышленность
- повлиять
- информация
- мгновение
- интегрировать
- интерес
- в нашей внутренней среде,
- внутренне
- в
- введение
- Исследования
- вовлеченный
- IT
- ЕГО
- JPG
- всего
- Сохранить
- Основные
- Ким
- Вид
- Знать
- знание
- знания
- Отсутствие
- пейзаж
- ноутбуки
- Лидеры
- Наша команда
- УЧИТЬСЯ
- изучение
- оставил
- Используя
- такое как
- Вероятно
- локальным
- запертый
- Длинное
- долгосрочный
- дольше
- посмотреть
- выглядит как
- ВЗГЛЯДЫ
- терять
- от
- серия
- сделать
- Создание
- мандаты
- многих
- отметка
- материала
- Май..
- значить
- заседания
- памятный
- Память
- Наставничество
- Сообщения
- обмен сообщениями
- МИД
- против
- ошибки
- злоупотреблять
- Модерн
- ежемесячно
- БОЛЕЕ
- самых
- двигаться
- движется
- должен
- Тайна
- РАССКАЗ
- повествовательный
- национальный
- необходимо
- Необходимость
- необходимый
- потребности
- Новые
- нет
- обязательство
- of
- Офис
- .
- on
- консолидировать
- ONE
- только
- оперативный
- or
- организация
- организации
- внешний
- Результаты
- за
- собственный
- часть
- новыми участниками
- Пароль
- Люди
- люди работают
- восприятии
- период
- человек
- перспектива
- фишинг
- физический
- картина
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- игры
- Точка
- должность
- положительный
- практика
- практиками
- представлены
- давление
- Проблема
- профессиональный
- Профессор
- FitPartner™
- Программы
- Прогресс
- для защиты
- обеспечивать
- при условии
- обеспечение
- целей
- положил
- Пазлы
- RE
- достигать
- реальные
- получила
- получение
- последний
- регулярный
- Отношения
- помнить
- удаленные
- Reporting
- Требования
- исследованиям
- респондентов
- ответственный
- результат
- сохранять
- показывать
- правую
- рисках,
- Роли
- Комната
- Бег
- s
- безопасный
- то же
- говорит
- Наука
- безопасный
- безопасно
- безопасность
- Безопасность
- события безопасности
- посмотреть
- Искать
- Форма
- Поделиться
- она
- Короткое
- должен
- сигналы
- Аналогичным образом
- просто
- слабина
- So
- Соцсети
- Социальная инженерия
- удалось
- Источник
- конкретный
- Спотовая торговля
- Начало
- Шаг
- липкий
- По-прежнему
- Истории
- История
- рассказ
- такие
- Убедитесь
- с учетом
- взять
- рассказ
- Обучение
- команда
- команды
- снижения вреда
- сказать
- говорят
- постулаты
- который
- Ассоциация
- их
- Их
- сами
- Там.
- Эти
- они
- вещи
- этой
- В этом году
- те
- мысль
- угроза
- Через
- Связанный
- время
- своевременно
- в
- вместе
- слишком
- Train
- Обучение
- Доверие
- надежных
- пытается
- Дважды
- понимать
- понимание
- созданного
- общественного.
- Университет
- использование
- используемый
- пользователей
- использования
- через
- ценный
- разнообразие
- Ve
- поставщики
- Verizon
- Жертва
- Видео
- видеоконференций
- Просмотры
- Уязвимый
- хотеть
- Путь..
- способы
- we
- еженедельно
- известный
- были
- Что
- Что такое
- когда
- будь то
- , которые
- в то время как
- КТО
- будете
- в
- Работа
- рабочие
- работает
- работает
- Мир
- бы
- записывать
- год
- Ты
- ВАШЕ
- зефирнет