Человеческая ошибка остается одним из самых серьезных препятствий для безопасности предприятия. В результате многие компании внедряют учебные программы по повышению безопасности. Но они делают тренировку осведомленности правильно?
Согласно исследованию, проведенному руководителем кибербезопасности Кэлвином Ноблсом под названием « Изменение парадигмы человеческого фактора в кибербезопасности », 90 процентов инцидентов безопасности связаны с человеческой ошибкой. Эта невероятно высокая статистика заставляет задуматься: окупаются ли все инвестиции в обучение?
Когда дело доходит до обучения сотрудников, качество контента является наиболее важным фактором. Одноразовое обязательное видео не помогает снизить риск. Однако информирование конечных пользователей о киберугрозах имеет большой потенциал для управления рисками. Вот почему программы информирования о безопасности должны быть частью многоуровневой стратегии защиты.
Дай власть народу
В своем исследовании Ноблс обнаружил, что, хотя организации вкладывают значительные средства в технологии безопасности, они все еще отстают, когда дело доходит до инициатив по обучению сотрудников. Лиза Плаггемье, евангелист безопасности в Институте InfoSec, поддержала это мнение.
«Бывают времена, когда люди спасают день , и бывают времена, когда технологии спасают день, но люди могут что-то знать, не меняя своего поведения», — заявила она.
В каждой организации сотрудники открыто нарушают политики безопасности, входят в систему с использованием незащищенных общедоступных сетей, используют рабочие устройства для личных транзакций, загружают несанкционированное программное обеспечение, обмениваются паролями и неосознанно открывают вредоносные вложения от фишинговых атак. Вопрос не в том, нужно ли организациям внедрять информационные программы; скорее, организации должны думать о том, как они могут дать своим сотрудникам возможность ощутить ответственность за безопасность предприятия, что требует немного более творческого и личного подхода к обучению кибербезопасности.
Будьте изобретательны с обучением безопасности
Ноблс также обнаружил, что организационная культура повлияла на успешность снижения рисков для человека. Культура, которая ориентирована на сотрудников и на команду с открытым общением с целью создания позитивной рабочей среды, с большей вероятностью породит сотрудников, которые чувствуют себя уполномоченными и ценными. В свою очередь, они ценят организацию.
Чтобы изменить культуру организации , ее члены должны принять участие, и этот взнос должен исходить сверху вниз. Одна из важнейших задач эффективной программы повышения осведомленности — заставить всех принять реальность, заключающуюся в том, что речь идет не о преподавании безопасности, а об изменении культуры организации. Вот почему Плаггемье сказал, что информационные кампании должны больше походить на маркетинговые кампании.
«Вам нужно вызвать интерес, а контент должен быть веселым и интересным», — сказала она. «Существует множество способов настроить и передать нужное сообщение нужному человеку в нужное время, но большинство предлагаемых тренингов универсальны».
Настройте обучение для вашей компании
Проблема с универсальным обучением заключается в том, что независимо от вашей роли или создаваемых вами конечных точек каждый сотрудник проходит одинаковое обучение. Помимо того, что в этих упражнениях нет возможности отключиться, в них отсутствуют какие-либо возможности отслеживания, позволяющие проверить, действительно ли люди учатся. Неудивительно, что информационные программы не очень-то успешны.
Будь то видео, новостные рассылки, печатные издания или события, существует так много каналов, которые могут привлечь внимание людей к контенту по безопасности. Одномерный подход, в котором применяется только один из этих методов, не достигнет его полной потенциальной эффективности. Слишком часто люди, участвующие в создании программ обучения осведомленности, не думают достаточно стратегически о кампаниях, для которых они создают контент.
Распространите информацию о безопасности
Реальность такова, что многие люди не заботятся о безопасности, поэтому Плаггмьеер заявил, что крайне важно инвестировать в четкие сообщения, демонстрирующие, почему безопасность важна.
«По сравнению с другими средствами массовой информации, которые люди потребляют в своей повседневной жизни, большинство программ обучения не очень хороши», — сказала она. «Люди, которые будут заниматься чем-то юмористическим, — это те же люди, которые не воспринимают назначенные учебные модули всерьез».
Вместо того, чтобы вешать наполненный контентом плакат в комнате отдыха и ожидать, что люди его прочтут, поместите ваши сообщения о безопасности в один ряд со всем другим контентом, который люди используют в течение дня. Например, по сравнению с рекламой пива во время футбольного матча, плакат в комнате отдыха — это очевидный провал: неинтересный, не предназначенный для конкретной аудитории, и слишком серьезный.
Ваш контент должен быть креативным, но он также должен привлекать пользователей. Забавный контент становится гораздо менее забавным, если он обязателен.
«Когда вы делаете что-то обязательное, а показатель, который вы используете, — это сколько людей его выполнили, вы упускаете из виду то, как заниматься культурой, но неотъемлемая проблема заключается в том, что сотрудники службы безопасности оценивают, заинтересованы ли люди», — объяснил Плаггемье.
Геймификация быстро становится популярным способом заинтересовать сотрудников, и многие компании решают задачи, действующие в масштабах всей компании, когда департаменты играют друг против друга, чтобы выяснить, кто набрал лучшие результаты во внутренних фальсификационных кампаниях.
Инициировать культурный сдвиг
Недавний отчет (ISC2) показал, что 43 процента специалистов по безопасности используют свои навыки, полученные в ходе обучения осведомленности пользователей, два-три раза в неделю.
Соискатели, ищущие работу в сфере безопасности, хотят, чтобы работодатели продолжали вкладывать средства в обучение безопасности. Уэс Симпсон, главный операционный директор (ISC) 2, сказал, что эффективное обучение осведомленности начинается с людей, которых вы нанимаете. Все чаще компании стремятся нанимать кандидатов с навыками, необходимыми для стратегического информирования о ценности безопасности во всей организации.
Эффективная программа информирования использует навыки различных людей, которые могут содействовать кибер-программе. К счастью, по словам Симпсона, кибер отходит от таинственного, пугающего, негативного аспекта организации.
Компании должны быть активными в создании гибкой программы, которая не только учитывает риски для организации, но и адаптирует обучение пользователей в этой организации для снижения этих рисков. Когда осведомленность о безопасности — это корпоративная программа, распространяемая на каждого сотрудника, где ежедневные разговоры происходят внутри компании — независимо от отдела или команды — сотрудники с большей вероятностью оценят свою ответственность перед программой.
