Уявіть собі це: у рамках вправи з навчання обізнаності про безпеку співробітники заходять до кімнати. Фактична фізична оперативна «кімната квесту», яка спочатку виглядає як звичайна офісна кімната. Але коли люди придивляються ближче, граючи роль кримінальних соціальних інженерів, які увірвалися в будівлю, вони починають помічати інформацію, яку можуть використати в підлих цілях.
Наприклад, у смітнику лежить пароль. І відеоконференція залишилася незакритою. Навколо учасників є підказки, які можуть допомогти їм використовувати бізнес. Сподіваюся, цей досвід допоможе їм побачити очима злочинця — і дає змогу зрозуміти важливість фізичної безпеки. Коли вони закінчать, мета полягає в тому, щоб вони пам’ятали про необхідність тримати такі речі, як дошки в чистоті, ноутбуки замкненими, а документи приховані або подрібнені, щоб захистити компанію.
Це такий вид навчання обізнаності щодо безпеки що Кім Бертон, голова відділу довіри та відповідності Tessian, використовував для того, щоб навчання залишило свій відбиток на співробітниках.
Навчання з підвищення обізнаності все ще вкрай необхідне, оскільки людські помилки спричиняють багато порушень і втрату даних. Власне, найновіший Звіт Verizon про розслідування витоку даних було виявлено, що 74% порушень пов’язані з людським фактором, що включає атаки соціальної інженерії, помилки або неправильне використання.
Цифри також свідчать про те, що багато компаній все ще не впораються з навчанням підвищення обізнаності. новий дані Hornetsecurity виявили, що 33% компаній не проводять навчання з питань кібербезпеки для користувачів, які працюють віддалено, що є звичайним у світі після COVID. А ті організації, які надають інформаційні тренінги — як для співробітників на місці, так і для віддалених працівників — часто проводять його лише раз на рік. За словами Лізи Плаггемір, виконавчого директора Національного альянсу кібербезпеки, яка має довгу історію розробки та проведення програм підвищення обізнаності про безпеку, це далеко не ефективно.
За її словами, настав час для організацій об’єднатися, коли справа доходить до ефективної обізнаності.
«Коротко, але часто; більше жодної дурниці, яка повторюється раз на рік», — каже вона.
Вийдіть за рамки відповідності
Але більша частота — це лише один із багатьох способів покращення сучасного навчання з питань безпеки. У середовищі загроз, що постійно змінюється, як виглядає ефективний тренінг з підвищення рівня безпеки?
«У Національному альянсі кібербезпеки багато поведінки, на яку ми намагаємося вплинути, однакові, тому поради однакові — використання MFA, повідомлення про фішинг тощо, — але ми доставляємо їх за допомогою унікальних повідомлень з часом», — говорить Плаггемір. «У цих повідомленнях використовуються різні підходи: оповідання з точки зору жертви, оповідання з точки зору захисника, використання поточних подій у заголовках».
Переконливий, своєчасний, привабливий і незабутній. Звучить просто, чи не так? Але це не так. Ключовою проблемою, яка стримує багато компаній, є ставлення до них, каже д-р Джейсон Нерс, науково-дослідницький директор CybSafe та доцент кафедри кібербезпеки в Університеті Кента.
«Багато програм підвищення обізнаності про безпеку все ще не вдасться, оскільки організація розглядає навчання як коробку, яку потрібно поставити галочкою», — каже він. «Організації часто зосереджуються на дотриманні та дотриманні основних вимог, що може призвести до недостатньої глибини навчання та залученості».
Створіть «липку» обізнаність
Як керівники безпеки можуть створити програму, яка виходить далеко за межі комплаєнс-мандатів, і сформувати навчання в те, що люди не тільки запам’ятають, але й фактично використають, коли стикаються з рішеннями, заснованими на ризику?
Один із способів — це передати контент через комунікаційний канал, який їм підходить, каже Нерс. Дослідження CybSafe на початку цього року виявив, що 79% офісних працівників, ймовірно, будуть діяти згідно з порадами щодо безпеки, наданими на платформах, якими вони користуються щодня, наприклад Slack і Teams. І 90% респондентів вважають, що підвищення безпеки на платформах обміну миттєвими повідомленнями буде цінним. Подібним чином люди, які отримували кіберінформацію щодня та щотижня, мали вдвічі більше шансів запам’ятати все своє навчання, ніж ті, хто отримував її щомісяця, щокварталу чи щороку.
«Хоча базове розуміння кібергігієни необхідне завдяки регулярним захоплюючим тренінгам, не менш важливо допомагати працівникам, коли вони цього потребують, у корисному форматі», — каже Медсестра. «Навчання має виходити за рамки простої передачі інформації; вона повинна давати людям рекомендації щодо безпечної поведінки в повсякденній діяльності. Крім того, це має гарантувати, що люди знатимуть, куди шукати допомоги в разі потреби».
Ще один спосіб зробити так, щоб це означало більше зробити навчання рольовим. Універсал «до певної міри необхідний для відповідності», — каже Плаггемір, «але після того, як ви виконаєте свої зобов’язання щодо відповідності, люди повинні пройти навчання, яке відповідає їхній ролі та конкретним ризикам, які на них впливають. »
Бертон із Tessian каже, що багато організацій не враховують культуру та загальну картину, окрім того, що роблять це надто загальним, розробляючи навчання.
«Програми не враховують цілісний досвід співробітників, наприклад, поточну культуру організації, поточні сигнали керівництва про важливість безпечних практик, а також те, де звичайного співробітника просять використовувати більшу частину свого часу та енергії", - каже вона. «Програми підвищення обізнаності з безпеки можуть нехтувати неінженерними працівниками, а інженерам може бракувати наставництва, щоб інтегрувати матеріал у свою практику».
«Немає єдиного правильного способу навчити людей бути кібербезпекою. Є лише правильний шлях для вашої організації, відділу чи команди», – додає Медсестра.
Грайте в кімнату
Ще один важливий фактор для стійкої обізнаності — це знання своєї аудиторії, каже Бертон. Як хороший стендап-комік, ви повинні розуміти, перед ким ви граєте, якщо хочете, щоб вони запам’ятали, що ви їм говорите.
«Перший крок — це співпереживання», — каже вона. «Викладач безпеки потребує глибокого розуміння людей, яких вони навчають. Повторення протягом тривалого періоду часу під час представлення вмісту різними способами також забезпечить запам’ятовування. І, нарешті, не забудьте повеселитися. Організації часто втрачають інтерес і зацікавленість через страх бути надто дивними. Однак люди, швидше за все, збережуть унікальний вміст. Дивне - це добре! Будь веселим, будь творчим, знаходь радість!»
Бертон, окрім квест-кімнати, також запропонував співробітникам взяти участь у конкурсі історій, у якому співробітників просили написати «моторошну казку на Хелловін» про те, як вони нападуть на компанію. Вона також створила наративи, які ставлять людей у позицію аналітиків безпеки в компанії, у яких вони повинні оцінювати безпеку зовнішніх постачальників.
Найефективніший тренінг із безпеки, каже вона, охоплює основні ризики, які стурбовані бізнесом; він пристосований до аудиторії; концепції представлені в часі та різними способами; а матеріал запам’ятовується завдяки унікальній подачі, гумору чи творчому досвіду.
«Ключовим компонентом була і завжди буде зосередженість на самих людях».
ЯК ПЕРЕМІСТИТИСЯ ВІД ОБІЗНАННЯ БЕЗПЕКИ, ЩО ЗАБУВАЄТЬСЯ, ДО ПАМ’ЯТНОГО
Навчання з підвищення обізнаності щодо безпеки може бути невловимим для багатьох організацій. Оскільки 74% подій безпеки безпосередньо пов’язані з людською помилкою, важливо знайти способи охопити співробітників і допомогти їм зрозуміти кіберризики. Кім Бертон, голова відділу довіри та комплаєнсу Tessian, використовує різноманітні методи підвищення обізнаності у своїх програмах. Ось важливі принципи, які, за її словами, слід пам’ятати, створюючи програму у власній компанії.
- Працюйте з тим, як працюють люди: Використовуйте інформацію про те, як працює людська пам’ять, як люди навчаються, які стимули забезпечують найкращі довгострокові результати.
- Підходьте комплексно: Зрозумійте працівників. З яким тиском вони стикаються? Яка місцева культура? Яка внутрішня культура? Яку професійну освіту мають ці люди? Як команда безпеки чи ІТ-команда зараз сприймається внутрішньо? Чи керівники борються за безпеку?
- Розповідайте історії: Діліться реальними анекдотами, розповідайте історії з галузі чи свого досвіду та використовуйте приклади. Це допомагає людям побачити себе в розповіді. В ідеалі кожна особа могла б побачити, який унікальний внесок вона в історію безпеки організації.
- Гаміфікація: Вийдіть за межі таблиці лідерів. Зробіть роботу з вмістом безпеки цікавою, використовуючи свої знання про те, як працюють люди, і цілісний досвід роботи у вашій компанії. Складайте головоломки, заохочуйте допитливість і таємницю, відтворюйте задоволення від відкриття в навчанні, відзначайте прогрес і використовуйте позитивне підкріплення для безпечної поведінки.
- Побудувати довіру: Будуйте внутрішні відносини. Станьте надійним джерелом інформації, а також безпечною людиною, щоб бути вразливою щодо складних концепцій, помилок безпеки та загальних проблем. Педагог з безпеки повинен бути одним із найвідоміших людей у бізнесі.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- : має
- :є
- : ні
- :де
- 7
- a
- Здатний
- МЕНЮ
- За
- рахунки
- Діяти
- діяльності
- фактичний
- насправді
- доповнення
- Додає
- управляти
- рада
- впливати
- ВСІ
- Альянс
- Також
- завжди
- an
- аналітик
- та
- Щорічно
- будь-який
- підходи
- відповідний
- ЕСТЬ
- навколо
- розташування
- AS
- Юрист
- At
- атака
- нападки
- відношення
- аудиторія
- обізнаність
- назад
- фони
- основний
- BE
- оскільки
- ставати
- було
- поведінки
- буття
- істоти
- КРАЩЕ
- За
- Великий
- Велика картина
- Box
- порушення
- порушення
- Зламав
- будувати
- Створюємо
- бізнес
- але
- by
- CAN
- чемпіон
- Канал
- ближче
- приходить
- загальний
- Комунікація
- Компанії
- компанія
- дотримання
- компонент
- поняття
- стурбований
- Турбота
- конференція
- Вважати
- постійно
- зміст
- сприяти
- Core
- може
- Обкладинки
- створений
- створення
- Креатив
- Кримінальну
- вирішальне значення
- культура
- цікавість
- Поточний
- В даний час
- кібер-
- кібер-безпеки
- Кібербезпека
- щодня
- дані
- Дані порушення
- втрати даних
- з дня на день
- рішення
- глибокий
- Ступінь
- захват
- доставляти
- доставка
- відділ
- глибина
- відчайдушно
- розвивається
- різний
- важкий
- безпосередньо
- Директор
- відкриття
- do
- документація
- робить
- Дон
- зроблений
- dr
- два
- кожен
- Раніше
- Ефективний
- елемент
- співпереживання
- Співробітник
- співробітників
- заохочувати
- енергія
- зачеплення
- залучення
- Машинобудування
- Інженери
- забезпечувати
- Що натомість? Створіть віртуальну версію себе у
- однаково
- помилка
- помилки
- бігти
- істотний
- і т.д.
- оцінювати
- Події
- еволюціонує
- приклад
- Приклади
- виконавчий
- Виконавчий директор
- керівництво
- Здійснювати
- досвід
- Досліди
- Експлуатувати
- зовнішній
- очі
- Face
- стикаються
- факт
- фактор
- FAIL
- Падати
- далеко
- страх
- в кінці кінців
- знайти
- Перший
- плоский
- Сфокусувати
- для
- формат
- знайдений
- частота
- частий
- часто
- від
- веселощі
- смішний
- Крім того
- Загальне
- отримати
- Go
- мета
- добре
- керівництво
- було
- Хеллоуїн
- Мати
- he
- голова
- Headlines
- допомога
- корисний
- допомагає
- її
- тут
- прихований
- історія
- проведення
- цілісний
- надія
- Як
- How To
- Однак
- HTTPS
- людина
- Людський елемент
- гумор
- в ідеалі
- if
- значення
- важливо
- удосконалювати
- in
- стимули
- includes
- індивідуальний
- осіб
- промисловість
- вплив
- інформація
- мить
- інтегрувати
- інтерес
- внутрішній
- внутрішньо
- в
- введення
- Дослідження
- залучений
- IT
- ЙОГО
- JPG
- просто
- тримати
- ключ
- Кім
- Дитина
- Знати
- Знання
- знання
- відсутність
- ландшафт
- ноутбуки
- Лідери
- Керівництво
- УЧИТЬСЯ
- вивчення
- залишити
- використання
- як
- Ймовірно
- місцевий
- замкнений
- Довго
- довгостроковий
- довше
- подивитися
- виглядає як
- ВИГЛЯДИ
- втрачати
- від
- серія
- зробити
- Робить
- мандатів
- багато
- позначити
- матеріал
- Може..
- значити
- засідання
- пам'ятний
- пам'ять
- Наставництво
- повідомлення
- обмін повідомленнями
- МЗС
- mind
- помилки
- зловживання
- сучасний
- щомісячно
- більше
- найбільш
- рухатися
- рухається
- повинен
- Таємниця
- NARRATIVE
- розповіді
- National
- необхідно
- Необхідність
- необхідний
- потреби
- Нові
- немає
- зобов'язання
- of
- Office
- часто
- on
- один раз
- ONE
- тільки
- оперативний
- or
- організація
- організації
- з
- Результати
- над
- власний
- частина
- Учасники
- Пароль
- Люди
- люди працюють
- сприймається
- period
- людина
- перспектива
- phishing
- фізичний
- картина
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- ігри
- точка
- положення
- позитивний
- практика
- практики
- представлений
- тиск
- Проблема
- професійний
- Професор
- програма
- програми
- прогрес
- захист
- забезпечувати
- за умови
- забезпечення
- цілей
- put
- Пазли
- RE
- досягати
- реальний
- отримано
- отримання
- останній
- регулярний
- Відносини
- запам'ятати
- віддалений
- Звітність
- Вимога
- дослідження
- респонденти
- відповідальний
- результат
- зберігати
- показувати
- право
- ризики
- Роль
- Кімната
- біг
- s
- сейф
- то ж
- говорить
- наука
- безпечний
- безпечно
- безпеку
- Питання охорони судна
- події безпеки
- побачити
- Шукати
- Форма
- Поділитись
- вона
- Короткий
- Повинен
- сигнали
- Аналогічно
- простий
- слабкий
- So
- соціальна
- Соціальна інженерія
- що в сім'ї щось
- Source
- конкретний
- Spot
- старт
- Крок
- липкий
- Як і раніше
- історії
- Історія
- розповідання
- такі
- Переконайтеся
- з урахуванням
- Приймати
- розповідь
- Навчання
- команда
- команди
- методи
- сказати
- говорять
- догмати
- Що
- Команда
- їх
- Їх
- самі
- Там.
- Ці
- вони
- речі
- це
- У цьому році
- ті
- думка
- загроза
- через
- Зв'язаний
- час
- своєчасно
- до
- разом
- занадто
- поїзд
- Навчання
- Довіряйте
- Довірений
- намагається
- Двічі
- розуміти
- розуміння
- створеного
- однозначно
- університет
- використання
- використовуваний
- користувачі
- використовує
- використання
- Цінний
- різноманітність
- Ve
- постачальники
- Verizon
- Жертва
- Відео
- відеоконференція
- думки
- Вразливий
- хотіти
- шлях..
- способи
- we
- тижні
- добре відомі
- були
- Що
- Що таке
- коли
- Чи
- який
- в той час як
- ВООЗ
- волі
- з
- в
- Work
- робочі
- робочий
- працює
- світ
- б
- запис
- рік
- Ти
- вашу
- зефірнет