Med Storbritannien i toppen af listen over cyberkriminalitet med 4.783 ofre pr. million indbyggere skal virksomhederne sikre, at de gør alt, hvad de kan, for at beskytte organisationen.
En af de mest effektive måder at bevise, at træning i sikkerhedsbevidsthed virker, er, når resultaterne af programmet viser positive fremskridt. Hvis resultaterne af din træning i sikkerhedsoplysning kan forbedres, skal du forstå hvorfor.
Det er vigtigt at optimere din træning i sikkerhedsbevidsthed, da cybertrusler bliver stadig mere komplekse og udfordrende. Her er fem grunde til, at din sikkerhedsuddannelse måske ikke leverer varen:
#1 Mangel på motiverende indhold
Kedsomhed er læringens fjende; planlægning er afgørende for at skabe motiverende og inspirerende kampagner for træning i sikkerhedsbevidsthed. Brug af "sammenhængende aktiviteter" og engagerende indhold er en bedste praksis inden for voksenuddannelse og bør bruges til at forbedre læringsoplevelser.
Et program for sikkerhedsbevidsthed skal være udformet, så det afspejler erfaringer fra den virkelige verden for at engagere medarbejderne. Hvis uddannelsen er uinspirerende og urelateret, kan den afskrække kursisterne og blive opfattet som kedelig. Et kedsommeligt publikum vil ikke fastholde oplysninger, og dårlig sikkerhedsadfærd vil fortsat være et problem.
Planlæg at designe en sikkerhedstræningskampagne, der engagerer dit publikum på et følelsesmæssigt niveau og f.eks. tager fat på specifik risikoadfærd:
Rollebaseret træning: Brug rollebaserede simulerede phishing-kampagner, der tester medarbejdernes reaktioner på trusler, som en bestemt afdeling sandsynligvis vil opleve.
Interaktivt indhold: Brug uddannelsesmaterialer, der tilbyder interaktive oplevelser og omfatter point-of-need learning; dette giver råd til eleverne under en session og påpeger, hvor de er gået galt, hvad der kan ske, og hvordan de kan forhindre handlingen i fremtiden.
#2 En mentalitet, der er baseret på en kryds og tværs af kasser
Reglerne kan give en boks at afkrydse med hensyn til overholdelse, men at afkrydse denne boks giver ikke effektive uddannelsesresultater. Hvis du gennemfører en kampagne for sikkerhedsbevidsthedstræning med det formål at afkrydse kassen for overholdelse, er det usandsynligt, at du opnår gode resultater. Uddannelse i sikkerhedsbevidsthed handler i sidste ende om menneskelige erfaringer og sociale interaktioner.
I stedet for at gennemføre træning i sikkerhedsbevidsthed udelukkende af hensyn til overholdelse af reglerne, skal du skabe et velgennemtænkt interaktivt og engagerende program af begivenheder. Opbyg træningssessioner, der afspejler din medarbejderbase, som er rollebaseret, bygger på viden og præsenterer læringsmuligheder, der bliver hængende.
Du kan hjælpe med at etablere et omfattende og regelmæssigt træningsprogram ved at automatisere din kampagne for Security Awareness Training for at sikre, at læring finder sted i hele kalenderen. Automatiseret Security Awareness Training giver en ramme for engagerende og løbende indhold, der fremmer positiv sikkerhedsadfærd.
#3 Uddannelsen fokuserer ikke på adfærd
Træning i sikkerhedsoplysning skal omhandle dybtliggende adfærd, som cyberkriminelle udnytter til at manipulere dine medarbejdere. Desværre er de teknologier, som vi bruger dagligt på vores arbejdsplads, en del af denne manipulation, idet phishing-e-mails stadig er cyberkriminelles foretrukne værktøj ifølge IBM's Threat Intelligence Index 2022.
Men det er svært at ændre adfærd; forvent ikke, at træning i sikkerhedsbevidsthed vil få effekt fra den ene dag til den anden. Uddannelse i, hvordan svindlere manipulerer folk, kræver en samordnet indsats med kampagneindhold, der er designet til at fokusere på at ændre dårlig sikkerhedsadfærd. Brug adfærdsbaseret indhold til sikkerhedsuddannelse, f.eks. interaktive videoer, for at opnå bedre resultater med dine uddannelsesprogrammer. Disse adfærdsbaserede programmer genkender risikabel adfærd og bruger disse til at udvikle den enkeltes uddannelsesbehov, idet de bygger på viden over tid.
Kampagnedesignet bør være baseret på kendte og forventede risici på et granulært, rollebaseret og afdelingsniveau. Den adfærd, der fremmer disse risici, f.eks. at klikke på et phishing-link, kan behandles ved hjælp af specialiserede uddannelsesprogrammer, f.eks. simuleret phishing.
#4 Du ved ikke, om dine medarbejdere har forstået uddannelsen
Et af de vigtigste aspekter af læring er at bedømme den individuelle udvikling og forståelse. Hvis din organisation oplever manglende fremskridt i nogle eller alle medarbejderes sikkerhedsadfærd, skal du finde ud af, hvorfor disse medarbejdere ikke lærer af indholdet. Med den rigtige type måle data vil du kunne justere programmet for sikkerhedsbevidsthed for at gøre det mere effektivt.
Når du kører sikkerhedsoplysningskampagner, skal du bruge indbygget analyse og rapportering til at generere målinger, der kan gennemgås. Mange avancerede sikkerhedsbevidsthedssystemer, herunder simulerede phishing-platforme, indeholder mekanismer til indsamling af målinger på individ- eller afdelingsbasis. Brug disse målinger til at evaluere effektiviteten af forskellige aspekter af din uddannelse. Du kan f.eks. finde ud af, at bestemte emner eller den måde, de præsenteres på, er mindre effektive til at ændre adfærd.
Udform dine kampagner for sikkerhedsoplysning så de indsamler målinger baseret på de risici og den adfærd, du ønsker at adressere. Hvad angår de største risici, er klikraten på phishing-link et godt sted at starte, da målingerne indsamles under phishing-simuleringer. Efterhånden som du indsamler data om modtagelighed for at klikke på et phishing-link, skal du justere kampagnerne for at sikre, at point-of-learning bruges til at løse problempunkter. Bliv ved med at måle klikraten og juster den løbende, indtil du kan se en reduktion i antallet af klik på phishing-link. Denne iterative justeringsstrategi bør gentages for andre dårlige adfærdsmønstre, f.eks. genbrug af adgangskoder.
Målinger af sikkerhedsbevidsthedstræning hjælper også med at evaluere programmet som helhed og er en måde at vise ledelsen vigtigheden af sikkerhedsuddannelse på. Den strategiske analyse af målepunkterne bør tilpasses områder som f.eks. antallet af hændelser, omkostningerne ved et brud samt overtrædelser af politikker og regler. Avancerede platforme for sikkerhedsbevidsthed vil generere omfattende rapporter og visualiseringer, som du kan vise ledelsesgruppen.
#5 Der mangler en fællesskabsånd
Der tales meget om at udvikle en sikkerhedskultur i kredse inden for Security Awareness Training. Det er der en god grund til. En kultur, hvor sikkerhed tages alvorligt, resulterer i en bedre sikkerhedstilstand.
Manglende fællesskabsånd i forbindelse med sikkerhed har alvorlige konsekvenser: En nyere rapport viser, at 61 % af medarbejderne ikke ville rapportere en sikkerhedshændelse. Dette kan betyde, at det er mere kompliceret at håndtere brud på sikkerheden og forebygge fortsatte sikkerhedsproblemer.
Ved at fremme en fælles indsats for at sikre en organisation er det mere sandsynligt, at dine medarbejdere føler et generelt ansvar for at holde arbejdspladsen sikker. Der opstår en sikkerhedskultur, når programmerne for sikkerhedsbevidsthed er vellykkede. Et effektivt program for uddannelse i sikkerhedsspørgsmål giver medarbejderne viden og ændrer dårlig sikkerhedsadfærd til positive handlinger, der stopper cyberkriminalitet.
Når alle arbejder sammen, udvikles en kultur med positive sikkerhedsholdninger, og der opstår en sikkerhedskultur. Når de fire ovennævnte årsager tages op, er de med til at skabe grundlaget for denne sikkerhedsbevidste kultur. Resultatet vil være færre cyberangreb og overholdelse af reglerne.
Når du forbereder og udruller din træning i sikkerhedsbevidsthed i 2023, skal du kontrollere, at du følger de bedste metoder for at opnå de bedste resultater.