Föreställ dig det här: Som en del av en övning för att lära ut säkerhetsmedvetenhet går anställda in i ett rum. Ett verkligt, fysiskt operativt säkerhets-”escape room”, som till en början ser ut som ett vanligt kontorsrum. Men när människor tittar närmare och spelar roller som kriminella sociala ingenjörer som bröt sig in i byggnaden, börjar de upptäcka information som de kan använda för skändliga syften.
Det finns till exempel ett lösenord i en papperskorg. Och det finns ett videokonferensmöte som inte är stängt. Runt omkring deltagarna finns ledtrådar som kan hjälpa dem att utnyttja verksamheten. Förhoppningen är att denna upplevelse hjälper dem att se genom ögonen på en brottsling - och låter dem förstå vikten av fysisk säkerhet. När de är klara är målet att få dem att komma ihåg behovet av att hålla saker som whiteboards rena, bärbara datorer låsta och dokument dolda eller strimlade för att skydda företaget.
Det här är den typen av utbildning i säkerhetsmedvetenhet som Kim Burton, chef för förtroende och efterlevnad av Tessian, har använt för att se till att utbildning sätter sin prägel på de anställda.
Medvetenhetsträning som fastnar är fortfarande desperat behov eftersom mänskliga fel är ansvariga för många intrång och dataförlusthändelser. Faktiskt den senaste Verizon Data Break Investigations Report fann att 74 % av överträdelserna involverade det mänskliga elementet, vilket inkluderar sociala ingenjörskattacker, fel eller missbruk.
Siffror avslöjar också att många företag fortfarande misslyckas med att tillhandahålla utbildning i medvetenhet. Ny data från Hornetsecurity fann att 33 % av företagen inte tillhandahåller någon utbildning om cybersäkerhetsmedvetenhet till användare som arbetar på distans, ett vanligt arrangemang i en värld efter COVID. Och de organisationer som tillhandahåller utbildning i medvetenhet – oavsett om det är till anställda på plats eller distans – administrerar det ofta bara årligen. Detta är långt ifrån effektivt, enligt Lisa Plaggemier, verkställande direktör på National Cyber Security Alliance, som har en lång historia av att utveckla och driva program för säkerhetsmedvetenhet.
Det är dags, säger hon, för organisationer att få ihop det när det gäller effektiv medvetenhet.
”Kort men frekvent; inte mer av det här nonsens en gång om året, säger hon.
Go Beyond Compliance
Men mer frekvens är bara ett av många sätt som modern säkerhetsutbildning behöver förbättras. I ett hotlandskap som ständigt utvecklas, hur ser en effektiv utbildning i säkerhetsmedvetenhet ut?
"På National Cybersecurity Alliance är många av de beteenden vi försöker påverka desamma, så råden är desamma - att använda MFA, rapportera nätfiske, etc. - men vi levererar dem genom unika meddelanden över tiden", säger Plaggemier. "Dessa meddelanden använder olika tillvägagångssätt: berättande från ett offers perspektiv, berättande från försvararens perspektiv, utnyttja aktuella händelser i rubrikerna."
Övertygande, lägligt, engagerande och minnesvärt. Det låter enkelt, eller hur? Men det är inte. Det viktigaste problemet som håller många företag tillbaka är attityden, säger Dr. Jason Nurse, chef för vetenskap och forskning vid CybSafe och docent i cybersäkerhet vid University of Kent.
"Många program för säkerhetsmedvetenhet faller fortfarande platt eftersom organisationen ser utbildningen som en ruta som måste kryssas för", säger han. "Organisationer fokuserar ofta på efterlevnad och att uppfylla de grundläggande kraven, vilket kan resultera i utbildning som saknar djup och engagemang."
Skapa "Sticky" medvetenhet
Hur kan säkerhetsledare sätta ihop ett program som går långt bortom efterlevnadsmandat och forma utbildning till något som människor inte bara kommer ihåg, utan faktiskt använder när de står inför riskbaserade beslut?
Ett sätt är att leverera innehållet genom en kommunikationskanal som fungerar för dem, säger Nurse. Forskning av CybSafe tidigare i år fann att 79 % av kontorsanställda sannolikt kommer att agera på säkerhetsrådgivning som tillhandahålls på de plattformar de använder dagligen, såsom Slack och Teams. Och 90 % av de tillfrågade tyckte att säkerhetsnuffar på plattformar för snabbmeddelanden skulle vara värdefulla. På samma sätt var det dubbelt så troligt att personer som fick cyberinformation dagligen och varje vecka kommer ihåg all sin träning som de som fick den månadsvis, kvartalsvis eller årligen.
"Medan en grundläggande förståelse för cyberhygien är viktig genom regelbunden, engagerande utbildning, är det lika viktigt att hjälpa anställda när de behöver det i ett användbart format", säger Nurse. ”Utbildning bör gå längre än att bara förmedla information; den ska vägleda individer om hur de ska bete sig säkert i sina dagliga aktiviteter. Dessutom bör det säkerställa att människor vet var de kan söka hjälp när de behövs.”
Ett annat sätt att få det att betyda mer är att göra utbildningen rollbaserad. One-size-fits-all är "nödvändigt till en viss grad för efterlevnad", säger Plaggemier, "men när du har uppfyllt din efterlevnadsskyldighet bör människor få utbildning som är lämplig för deras roll och de specifika risker som påverkar dem. ”
Tessians Burton säger att förutom att göra det för generiskt, misslyckas många organisationer med att ta hänsyn till kulturen och helheten när de utformar utbildning.
"Programmen tar inte hänsyn till de holistiska erfarenheterna hos anställda, såsom den nuvarande kulturen i organisationen, de aktuella signalerna från ledarskap om vikten av säkra metoder och där den allmänna anställde ombeds att använda det mesta av sin tid och energi, säger hon. "Säkerhetsmedvetenhetsprogram kan försumma icke-ingenjörer, och ingenjörer kan sakna mentorskap för att integrera materialet i sin praktik."
"Det finns inget rätt sätt att utbilda människor att vara cybersäkra. Det finns bara rätt väg för din organisation, avdelning eller team”, tillägger Nurse.
Spela till rummet
En annan viktig faktor för klibbig medvetenhet är att känna din publik, säger Burton. Som en bra ståuppkomiker måste du förstå vem du spelar för om du vill att de ska komma ihåg vad du säger till dem.
"Första steget är empati", säger hon. ”Trygghetspedagogen behöver en djup förståelse för de människor de undervisar. Upprepning under en längre tidsperiod samtidigt som innehåll introduceras på en mängd olika sätt säkerställer också återkallelse. Och slutligen, glöm inte att ha kul. Organisationer tappar ofta intresse och engagemang på grund av rädsla för att vara för konstig. Men det är mer sannolikt att människor behåller unikt innehåll. Konstigt är bra! Var rolig, var kreativ, hitta glädje!”
Burton har, förutom utrymningsrummet, också låtit anställda delta i en sagotävling som bad anställda att skriva ut en "läskig Halloween-saga" om hur de skulle attackera företaget. Hon har också skapat berättelser som sätter människor i positionen som säkerhetsanalytiker på företaget, där de måste utvärdera säkerheten hos externa leverantörer.
Den mest effektiva säkerhetsutbildningen, säger hon, täcker kärnrisker som verksamheten är oroad över; den är skräddarsydd för publiken; begreppen presenteras över tid och på en mängd olika sätt; och materialet är minnesvärt på grund av dess unika leverans, humor eller kreativa upplevelse.
"Nyckelkomponenten har varit, och kommer alltid att vara, fokus på människorna själva."
HUR MAN GÅR FRÅN GLÖMLIG TILL MINNESBAR SÄKERHETSMEDETETHET
Träning i klibbig säkerhetsmedvetenhet kan vara svårfångad för många organisationer. Och med 74 % av säkerhetshändelserna direkt kopplade till mänskliga fel, är det viktigt att hitta sätt att nå anställda och hjälpa dem att förstå cyberrisker. Kim Burton, chef för förtroende och efterlevnad av Tessian, använder en mängd olika träningstekniker för medvetenhet i sina program. Här är de viktiga grundsatser hon säger att ha i åtanke när du skapar ett program på ditt eget företag.
- Arbeta med hur människor arbetar: Använd information om hur mänskligt minne fungerar, hur människor lär sig, vilka incitament som ger de bästa långsiktiga resultaten.
- Förhållningssätt holistiskt: Förstå medarbetarna. Vilken press utsätts de för? Hur är den lokala kulturen? Hur är den interna kulturen? Vilken yrkesbakgrund har dessa personer? Hur uppfattas säkerhetsteamet eller IT-teamet för närvarande internt? Försvarar chefer säkerhet?
- Berätta historier: Dela verkliga anekdoter, berätta historier från branschen eller din erfarenhet och använd exempel. Detta hjälper människor att se sig själva i berättelsen. Helst skulle varje individ kunna se hur de på ett unikt sätt bidrar till organisationens säkerhetshistoria.
- spelifiering: Gå bortom en topplista. Gör det roligt att engagera sig i säkerhetsinnehåll genom att använda din kunskap om hur människor arbetar och den holistiska erfarenheten av att arbeta på ditt företag. Lägg pussel, uppmuntra nyfikenhet och mystik, återskapa glädjen av upptäckter i lärande, peka på framsteg och använd positiv förstärkning för säkra beteenden.
- Bygg förtroende: Bygga relationer internt. Bli en pålitlig informationskälla, men också en säker person att vara sårbar med om svåra koncept, säkerhetsmisstag och allmänna bekymmer. Säkerhetspedagogen ska vara en av de mest kända personerna inom verksamheten.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- : har
- :är
- :inte
- :var
- 7
- a
- Able
- Om Oss
- Enligt
- Konto
- Agera
- aktiviteter
- faktiska
- faktiskt
- Dessutom
- Lägger
- administrera
- rådgivning
- påverka
- Alla
- Alliance
- också
- alltid
- an
- analytiker
- och
- Årligen
- vilken som helst
- tillvägagångssätt
- lämpligt
- ÄR
- runt
- arrangemang
- AS
- Associate
- At
- attackera
- Attacker
- attityd
- publik
- medvetenhet
- tillbaka
- bakgrunder
- grundläggande
- BE
- därför att
- blir
- varit
- beteenden
- Där vi får lov att vara utan att konstant prestera,
- varelser
- BÄST
- Bortom
- Stor
- Hela bilden
- Box
- brott
- överträdelser
- Pank
- SLUTRESULTAT
- Byggnad
- företag
- men
- by
- KAN
- champion
- Kanal
- närmare
- kommer
- Gemensam
- Kommunikation
- Företag
- företag
- Efterlevnad
- komponent
- Begreppen
- aktuella
- oro
- Konferens
- Tänk
- ständigt
- innehåll
- bidra
- Kärna
- kunde
- Täcker
- skapas
- Skapa
- Kreativ
- Kriminell
- avgörande
- kultur
- nyfikenhet
- Aktuella
- För närvarande
- cyber
- Cybersäkerhet
- Cybersäkerhet
- dagligen
- datum
- dataintrång
- dataförlust
- dag för dag
- beslut
- djup
- Examen
- behag
- leverera
- leverans
- Avdelning
- djup
- desperat
- utveckla
- olika
- svårt
- direkt
- Direktör
- Upptäckten
- do
- dokument
- gör
- donation
- gjort
- dr
- grund
- varje
- Tidigare
- Effektiv
- elementet
- empati
- Anställd
- anställda
- uppmuntra
- energi
- ingrepp
- engagerande
- Teknik
- Ingenjörer
- säkerställa
- ange
- lika
- fel
- fel
- fly
- väsentlig
- etc
- utvärdera
- händelser
- utvecklas
- exempel
- exempel
- verkställande
- Verkställande direktör
- befattningshavare
- Motionera
- erfarenhet
- Erfarenheter
- Exploit
- extern
- Ögon
- Ansikte
- inför
- Faktum
- faktor
- MISSLYCKAS
- Höst
- långt
- rädsla
- Slutligen
- hitta
- Förnamn
- platta
- Fokus
- För
- format
- hittade
- Frekvens
- frekvent
- ofta
- från
- kul
- rolig
- Vidare
- Allmänt
- skaffa sig
- Go
- Målet
- god
- styra
- hade
- halloween
- Har
- he
- huvud
- Rubriker
- hjälpa
- hjälp
- hjälper
- här
- här.
- dold
- historia
- innehav
- helhetssyn
- hoppas
- Hur ser din drömresa ut
- How To
- Men
- HTTPS
- humant
- Mänskligt element
- humor
- idealt
- if
- vikt
- med Esport
- förbättra
- in
- incitament
- innefattar
- individuellt
- individer
- industrin
- påverka
- informationen
- omedelbar
- integrera
- intresse
- inre
- invändigt
- in
- införa
- Undersökningar
- involverade
- IT
- DESS
- jpg
- bara
- Ha kvar
- Nyckel
- kim
- Snäll
- Vet
- Menande
- kunskap
- Brist
- liggande
- bärbara datorer
- ledare
- Ledarskap
- LÄRA SIG
- inlärning
- vänster
- hävstångs
- tycka om
- sannolikt
- lokal
- låst
- Lång
- lång sikt
- längre
- se
- ser ut som
- UTSEENDE
- förlorar
- förlust
- Lot
- göra
- Framställning
- mandat
- många
- markera
- Materialet
- Maj..
- betyda
- möte
- minnesvärda
- Minne
- mentorskap
- meddelanden
- meddelandehantering
- UD
- emot
- misstag
- missbruka
- Modern Konst
- månad
- mer
- mest
- flytta
- förflyttar
- måste
- Mystery
- BERÄTTANDE
- berättelser
- nationell
- nödvändigt för
- Behöver
- behövs
- behov
- Nya
- Nej
- Skyldigheten
- of
- Office
- Ofta
- on
- gång
- ONE
- endast
- operativa
- or
- organisation
- organisationer
- ut
- utfall
- över
- egen
- del
- deltagare
- Lösenord
- Personer
- människor arbetar
- uppfattas
- perioden
- personen
- perspektiv
- Nätfiske
- fysisk
- Bild
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- i
- Punkt
- placera
- positiv
- praktiken
- praxis
- presenteras
- tryck
- Problem
- professionell
- Professor
- Program
- Program
- Framsteg
- skydda
- ge
- förutsatt
- tillhandahålla
- syfte
- sätta
- pussel
- RE
- nå
- verklig
- mottagna
- mottagande
- senaste
- regelbunden
- Förhållanden
- ihåg
- avlägsen
- Rapportering
- Krav
- forskning
- svarande
- ansvarig
- resultera
- behålla
- avslöjar
- höger
- risker
- Roll
- Rum
- rinnande
- s
- säker
- Samma
- säger
- Vetenskap
- säkra
- säkert
- säkerhet
- Säkerhetsmedvetenhet
- säkerhetshändelser
- se
- Seek
- Forma
- Dela
- hon
- Kort
- skall
- signaler
- Liknande
- Enkelt
- slak
- So
- Social hållbarhet
- Samhällsteknik
- något
- Källa
- specifik
- Spot
- starta
- Steg
- klibbig
- Fortfarande
- Upplevelser för livet
- Historia
- berättande
- sådana
- säker
- skräddarsydd
- Ta
- saga
- Undervisning
- grupp
- lag
- tekniker
- tala
- tala
- grundsatser
- den där
- Smakämnen
- deras
- Dem
- sig själva
- Där.
- Dessa
- de
- saker
- detta
- i år
- de
- trodde
- hot
- Genom
- Bunden
- tid
- tid
- till
- tillsammans
- alltför
- Tåg
- Utbildning
- Litar
- betrodd
- försöker
- Dubbelt
- förstå
- förståelse
- unika
- unikt
- universitet
- användning
- Begagnade
- användare
- användningar
- med hjälp av
- Värdefulla
- mängd
- Ve
- försäljare
- verizon
- Victim
- Video
- videokonferens
- visningar
- Sårbara
- vill
- Sätt..
- sätt
- we
- vecka
- ALLBEKANT
- były
- Vad
- Vad är
- när
- om
- som
- medan
- VEM
- kommer
- med
- inom
- Arbete
- arbetare
- arbetssätt
- fungerar
- världen
- skulle
- skriva
- år
- Om er
- Din
- zephyrnet