Imagine this: As part of an exercise to teach security awareness, employees enter a room. An actual, physical operational security “escape room,” which at first looks like a regular office room. But as people look closer, roleplaying as criminal social engineers that broke into the building, they start to spot information they can use for nefarious purposes.
For example, there’s a password in a trash can. And there’s a video conference meeting left unclosed. All around the participants are clues that could help them exploit the business. The hope is this experience helps them see through the eyes of a criminal — and leaves them understanding the importance of physical security. Once they are done, the goal is to have them remember the need to keep things like whiteboards clean, laptops locked, and documents hidden or shredded to protect the company.
นี่คือประเภทของ การฝึกอบรมความตระหนักด้านความปลอดภัย that Kim Burton, head of trust and compliance with Tessian, has used to make sure training leaves its mark on employees.
Awareness training that sticks is still desperately needed as human error is responsible for many breaches and data loss events. In fact, the most recent รายงานการสอบสวนการละเมิดข้อมูลของ Verizon found that 74% of breaches involved the human element, which includes social engineering attacks, errors, or misuse.
Figures also reveal many companies still fall short in their delivery of awareness training. New data from Hornetsecurity found that 33% of companies are not providing any cybersecurity awareness training to users who work remotely, a common arrangement in a post-COVID world. And those organizations that do provide awareness training — whether to on-site or remote employees — often administer it only annually. This is far from effective, according to Lisa Plaggemier, executive director at National Cyber Security Alliance, who has a long history of developing and running security awareness programs.
It’s time, she says, for organizations to get it together when it comes to effective awareness.
“Short but frequent; no more of this once-a-year nonsense,” she says.
Go Beyond Compliance
But more frequency is only one of many ways that modern security awareness training needs to improve. In a constantly evolving threat landscape, what does an effective security awareness training look like?
“At the National Cybersecurity Alliance, a lot of the behaviors we’re trying to influence are the same, so the advice is the same — using MFA, reporting phishing, etc. — but we deliver them through unique messages over time,” says Plaggemier. “Those messages use different approaches: storytelling from a victim’s perspective, storytelling from the defender’s perspective, leveraging current events in the headlines.”
Compelling, timely, engaging, and memorable. It sounds simple, right? But it’s not. They key problem holding many companies back, is attitude, says Dr. Jason Nurse, director of science and research at CybSafe and associate professor in cyber security at University of Kent.
“Many security awareness programs still fall flat because the organization views the training as a box that must be ticked,” he says. “Organizations often focus on compliance and meeting the basic requirements, which may result in training that lacks depth and engagement.”
Create ‘Sticky’ Awareness
How can security leaders put together a program that moves far beyond compliance mandates and shape training into something people not only remember, but actually use when faced with risk-based decisions?
One way is to deliver the content through a communication channel that works for them, says Nurse. การวิจัยศึกษา by CybSafe earlier this year found that 79% of office workers are likely to act on security advice provided on the platforms they use daily, such as Slack and Teams. And 90% of respondents thought security nudges on instant messaging platforms would be valuable. Similarly, people who received cyber information daily and weekly were twice as likely to remember all of their training as those who received it monthly, quarterly, or annually.
“While a base-level understanding of cyber hygiene is essential through regular, engaging training, it’s equally crucial to help employees when they need it in a helpful format,” says Nurse. “Training should go beyond just conveying information; it should guide individuals on how to behave securely in their day-to-day activities. Furthermore, it should ensure people know where to seek help when needed.”
Another way to make it mean more is to make training role-based. One-size-fits-all is “necessary to a degree for compliance,” says Plaggemier, “but once you’ve fulfilled your compliance obligation, people should be receiving training that is appropriate for their role and the specific risks that affect them.”
Tessian’s Burton says in addition to making it too generic, many organizations fail to consider the culture and big picture when devising training.
“The programs fail to take into account the holistic experiences of employees, such as the current culture of the organization, the current signals from leadership about the importance of secure practices, and where the general employee is being asked to use most of their time and energy,” she says. “Security awareness programs may neglect non-engineering employees, and engineers may lack mentorship to integrate the material into their practice.”
“There is no one right way to train people to be cyber secure. There is only the right way for your organization, department, or team,” adds Nurse.
Play to the Room
Another important factor to sticky awareness is knowing your audience, says Burton. Like a good stand-up comedian, you need to understand who you are playing to if you want them to remember what you’re telling them.
“The first step is empathy,” she says. “The security educator needs a deep understanding of the people they are teaching. Repetition over a longer period of time while introducing content in a variety of ways will also ensure recall. And finally, don’t forget to have fun. Organizations frequently lose interest and engagement because of a fear of being too weird. However, people are more likely to retain unique content. Weird is good! Be funny, be creative, find joy!”
Burton, in addition to the escape room, has also had employees take part in a story contest that asked employees to write out a “spooky Halloween tale” of how they would attack the company. She has also created narratives that put people in the position of a security analyst at the company, in which they have to evaluate the security of external vendors.
The most effective security training, she says, covers core risks the business is concerned about; it is tailored to the audience; the concepts are presented over time and in a variety of ways; and the material is memorable due to its unique delivery, humor, or creative experience.
“The key component has been, and always will be, a focus on the people themselves.”
HOW TO MOVE FROM FORGETTABLE TO MEMORABLE SECURITY AWARENESS
Sticky security awareness training can be elusive for many organizations. And with 74% of security events directly tied back to human error, it is important to find ways to reach employees and help them understand cyber risks. Kim Burton, head of trust and compliance with Tessian, uses a variety of awareness training techniques in her programs. Here are the important tenets she says to keep in mind when creating a program at your own company.
- Work with how people work: Use information about how human memory works, how human beings learn, what incentives provide the best long-term outcomes.
- Approach holistically: Understand the employees. What pressures do they face? What is the local culture like? What is the internal culture like? What professional backgrounds do these people have? How is the security team or IT team currently perceived internally? Do executives champion security?
- เล่าเรื่อง: Share real anecdotes, tell stories from the industry or your experience, and use examples. This helps people see themselves in the narrative. Ideally, each individual would be able to see how they uniquely contribute to the security story of the organization.
- gamification: Go beyond a leaderboard. Make engaging with security content fun by using your knowledge of how people work and the holistic experience of working at your company. Make puzzles, encourage curiosity and mystery, recreate the delight of discovery in learning, point out progress, and use positive reinforcement for secure behaviors.
- สร้างความไว้วางใจ: Build relationships internally. Become a trusted source of information, but also a safe person to be vulnerable with about difficult concepts, security mistakes, and general concerns. The security educator should be one of the most well-known people within the business.
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 7
- a
- สามารถ
- เกี่ยวกับเรา
- ตาม
- ลงชื่อเข้าใช้
- กระทำ
- กิจกรรม
- ที่เกิดขึ้นจริง
- จริง
- นอกจากนี้
- เพิ่ม
- จัดการ
- คำแนะนำ
- มีผลต่อ
- ทั้งหมด
- พันธมิตร
- ด้วย
- เสมอ
- an
- นักวิเคราะห์
- และ
- ทุกๆปี
- ใด
- วิธีการ
- เหมาะสม
- เป็น
- รอบ
- การจัดการ
- AS
- ภาคี
- At
- โจมตี
- การโจมตี
- เจตคติ
- ผู้ฟัง
- ความตระหนัก
- กลับ
- ภูมิหลัง
- ขั้นพื้นฐาน
- BE
- เพราะ
- กลายเป็น
- รับ
- พฤติกรรม
- กำลัง
- สิ่งมีชีวิต
- ที่ดีที่สุด
- เกิน
- ใหญ่
- รูปภาพขนาดใหญ่
- กล่อง
- ช่องโหว่
- การละเมิด
- Broke
- สร้าง
- การก่อสร้าง
- ธุรกิจ
- แต่
- by
- CAN
- แชมป์
- ช่อง
- ใกล้ชิด
- มา
- ร่วมกัน
- การสื่อสาร
- บริษัท
- บริษัท
- การปฏิบัติตาม
- ส่วนประกอบ
- แนวความคิด
- เกี่ยวข้อง
- ความกังวลเกี่ยวกับ
- การประชุม
- พิจารณา
- ไม่หยุดหย่อน
- เนื้อหา
- สนับสนุน
- แกน
- ได้
- ครอบคลุม
- ที่สร้างขึ้น
- การสร้าง
- ความคิดสร้างสรรค์
- ความผิดทางอาญา
- สำคัญมาก
- วัฒนธรรม
- ความอยากรู้
- ปัจจุบัน
- ขณะนี้
- ไซเบอร์
- การรักษาความปลอดภัยในโลกไซเบอร์
- cybersecurity
- ประจำวัน
- ข้อมูล
- การละเมิดข้อมูล
- ข้อมูลสูญหาย
- วันต่อวัน
- การตัดสินใจ
- ลึก
- องศา
- พอใจ
- ส่งมอบ
- การจัดส่ง
- แผนก
- ความลึก
- หมดท่า
- ที่กำลังพัฒนา
- ต่าง
- ยาก
- โดยตรง
- ผู้อำนวยการ
- การค้นพบ
- do
- เอกสาร
- ทำ
- สวม
- ทำ
- dr
- สอง
- แต่ละ
- ก่อน
- มีประสิทธิภาพ
- ธาตุ
- การเอาใจใส่
- ลูกจ้าง
- พนักงาน
- ส่งเสริม
- พลังงาน
- มีส่วนร่วม
- น่าสนใจ
- ชั้นเยี่ยม
- วิศวกร
- ทำให้มั่นใจ
- เข้าสู่
- พอ ๆ กัน
- ความผิดพลาด
- ข้อผิดพลาด
- หลบหนี
- จำเป็น
- ฯลฯ
- ประเมินค่า
- เหตุการณ์
- การพัฒนา
- ตัวอย่าง
- ตัวอย่าง
- ผู้บริหารงาน
- ผู้อำนวยการบริหาร
- ผู้บริหารระดับสูง
- การออกกำลังกาย
- ประสบการณ์
- ประสบการณ์
- เอาเปรียบ
- ภายนอก
- Eyes
- ใบหน้า
- ต้องเผชิญกับ
- ความจริง
- ปัจจัย
- ล้มเหลว
- ตก
- ไกล
- กลัว
- ในที่สุด
- หา
- ชื่อจริง
- แบน
- โฟกัส
- สำหรับ
- รูป
- พบ
- เวลา
- บ่อย
- มัก
- ราคาเริ่มต้นที่
- สนุก
- ตลก
- นอกจากนี้
- General
- ได้รับ
- Go
- เป้าหมาย
- ดี
- ให้คำแนะนำ
- มี
- วันฮาโลวีน
- มี
- he
- หัว
- พาดหัวข่าว
- ช่วย
- เป็นประโยชน์
- จะช่วยให้
- เธอ
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- ซ่อนเร้น
- ประวัติ
- โฮลดิ้ง
- แบบองค์รวม
- ความหวัง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- อย่างไรก็ตาม
- HTTPS
- เป็นมนุษย์
- องค์ประกอบของมนุษย์
- อารมณ์ขัน
- ความนึกคิด
- if
- ความสำคัญ
- สำคัญ
- ปรับปรุง
- in
- แรงจูงใจ
- รวมถึง
- เป็นรายบุคคล
- บุคคล
- อุตสาหกรรม
- มีอิทธิพล
- ข้อมูล
- ด่วน
- รวบรวม
- อยากเรียนรู้
- ภายใน
- ภายใน
- เข้าไป
- แนะนำ
- การสืบสวน
- ร่วมมือ
- IT
- ITS
- jpg
- เพียงแค่
- เก็บ
- คีย์
- คิม
- ชนิด
- ทราบ
- รู้ดี
- ความรู้
- ไม่มี
- ภูมิประเทศ
- แล็ปท็อป
- ผู้นำ
- ความเป็นผู้นำ
- เรียนรู้
- การเรียนรู้
- ซ้าย
- การใช้ประโยชน์
- กดไลก์
- น่าจะ
- ในประเทศ
- ล็อค
- นาน
- ระยะยาว
- อีกต่อไป
- ดู
- ดูเหมือน
- LOOKS
- สูญเสีย
- ปิด
- Lot
- ทำ
- การทำ
- เอกสาร
- หลาย
- เครื่องหมาย
- วัสดุ
- อาจ..
- หมายความ
- ที่ประชุม
- ที่น่าจดจำ
- หน่วยความจำ
- การให้คำปรึกษา
- ข้อความ
- ส่งข้อความ
- ไอ้เวรตะไล
- ใจ
- ความผิดพลาด
- ด่าว่า
- ทันสมัย
- รายเดือน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ย้าย
- ย้าย
- ต้อง
- ความลึกลับ
- เล่าเรื่อง
- เรื่องเล่า
- แห่งชาติ
- จำเป็น
- จำเป็นต้อง
- จำเป็น
- ความต้องการ
- ใหม่
- ไม่
- ภาระผูกพัน
- of
- Office
- มักจะ
- on
- ครั้งเดียว
- ONE
- เพียง
- การดำเนินงาน
- or
- organizacja
- องค์กร
- ออก
- ผลลัพธ์
- เกิน
- ของตนเอง
- ส่วนหนึ่ง
- ผู้เข้าร่วม
- รหัสผ่าน
- คน
- คนทำงาน
- ที่รับรู้
- ระยะเวลา
- คน
- มุมมอง
- ฟิชชิ่ง
- กายภาพ
- ภาพ
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- จุด
- ตำแหน่ง
- บวก
- การปฏิบัติ
- การปฏิบัติ
- นำเสนอ
- แรงกดดัน
- ปัญหา
- มืออาชีพ
- ศาสตราจารย์
- โครงการ
- โปรแกรม
- ความคืบหน้า
- ป้องกัน
- ให้
- ให้
- การให้
- วัตถุประสงค์
- ใส่
- จิ๊กซอร์
- RE
- มาถึง
- จริง
- ที่ได้รับ
- การได้รับ
- เมื่อเร็ว ๆ นี้
- ปกติ
- ความสัมพันธ์
- จำ
- รีโมท
- การรายงาน
- ความต้องการ
- การวิจัย
- ผู้ตอบแบบสอบถาม
- รับผิดชอบ
- ผล
- รักษา
- เปิดเผย
- ขวา
- ความเสี่ยง
- บทบาท
- ห้อง
- วิ่ง
- s
- ปลอดภัย
- เดียวกัน
- พูดว่า
- วิทยาศาสตร์
- ปลอดภัย
- อย่างปลอดภัย
- ความปลอดภัย
- ตระหนักถึงความปลอดภัย
- เหตุการณ์การรักษาความปลอดภัย
- เห็น
- แสวงหา
- รูปร่าง
- Share
- เธอ
- สั้น
- น่า
- สัญญาณ
- เหมือนกับ
- ง่าย
- หย่อน
- So
- สังคม
- วิศวกรรมทางสังคม
- บางสิ่งบางอย่าง
- แหล่ง
- โดยเฉพาะ
- จุด
- เริ่มต้น
- ขั้นตอน
- เหนียว
- ยังคง
- จำนวนชั้น
- เรื่องราว
- การเล่านิยาย
- อย่างเช่น
- แน่ใจ
- ปรับปรุง
- เอา
- คุย
- การเรียนการสอน
- ทีม
- ทีม
- เทคนิค
- บอก
- บอก
- หลักการ
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ตัวเอง
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- นี้
- ในปีนี้
- เหล่านั้น
- คิดว่า
- การคุกคาม
- ตลอด
- ผูก
- เวลา
- ทันเวลา
- ไปยัง
- ร่วมกัน
- เกินไป
- รถไฟ
- การฝึกอบรม
- วางใจ
- ที่เชื่อถือ
- พยายาม
- สองครั้ง
- เข้าใจ
- ความเข้าใจ
- เป็นเอกลักษณ์
- ที่ไม่ซ้ำกัน
- มหาวิทยาลัย
- ใช้
- มือสอง
- ผู้ใช้
- ใช้
- การใช้
- มีคุณค่า
- ความหลากหลาย
- Ve
- ผู้ขาย
- Verizon
- เหยื่อ
- วีดีโอ
- การประชุมทางไกลผ่านระบบวิดีโอ
- ยอดวิว
- อ่อนแอ
- ต้องการ
- ทาง..
- วิธี
- we
- รายสัปดาห์
- โด่งดัง
- คือ
- อะไร
- ความหมายของ
- เมื่อ
- ว่า
- ที่
- ในขณะที่
- WHO
- จะ
- กับ
- ภายใน
- งาน
- แรงงาน
- การทำงาน
- โรงงาน
- โลก
- จะ
- เขียน
- ปี
- คุณ
- ของคุณ
- ลมทะเล