Gartner, Inc. forudser, at udgifterne til sikkerhed og risikostyring sandsynligvis vil nå op på 150,4 milliarder dollars ved udgangen af 2021. CISO'ens (Chief Information Security Officer) job har aldrig været mere afgørende, og det er et vigtigt aspekt af cybersikkerhedsstyring og risikostyring at sikre, at budgettet bruges godt, og det er et vigtigt aspekt af cybersikkerhedsstyring og risikostyring. Uddannelse i sikkerhedsbevidsthed er et område, der bidrager til at afbøde angreb, der har til formål at manipulere medarbejderne. Dette understøttes af en rapport fra McKinsey, der skitserer syv indsatsområder, hvoraf det andet er at inddrage frontpersonalet og gennemføre Security Awareness Training. Dette fokus på det menneskelige element i afbødning af cybertrusler betyder, at en CISO ofte bruger et budget på Security Awareness Training.
Men for at sikre, at et træningsprogram er effektivt, er det nødvendigt med en god strategi. Her er seks trin til succes med sikkerhedsbevidsthed, der sikrer, at dit budget er givet godt ud.
Seks trin til at maksimere succesen med sikkerhedsoplysning
Det menneskelige element i et cyberangreb er nu velkendt, idet undersøgelser viser, at ca. 85 % af alle angreb involverer et menneske, der bliver narret (eller på anden måde) til at "trykke på angrebsknappen". Træning i sikkerhedsbevidsthed er en af de anerkendte metoder, der anvendes til at forhindre vellykkede cyberangreb med menneskeligt element i centrum. Derfor forventes det forventede forbrug på programmer for sikkerhedsbevidsthed at nå op på 10 mia. dollars i 2027. De seks trin nedenfor kan hjælpe dig med at formulere en succesplan for at sikre, at dit budget er givet godt ud.
Trin 1: Få opbakning fra alle ledelsesmedlemmer og bestyrelsen
Det siger sig selv, at hvis du ønsker at skabe forandringer, skal du have de rette personer med på ideen for at gøre det. Sikkerhed er alles problem, også på bestyrelsesniveau. En positiv tone fra toppen er med til at ændre holdningen til sikkerhed, som derefter filtreres ud i hele organisationen. Med opbakning fra topniveauet og bestyrelsen har en CISO magt til at sætte værktøjer og processer i gang, der kan gøre virksomheden mere sikker. Opbakning på C-niveau giver den nødvendige rygrad til at opbygge en sikkerhedskultur ved hjælp af en pakke med uddannelse i sikkerhedsbevidsthed.
MetaCompliance-tip: Mange databeskyttelsesregler og -standarder kræver nu et program for sikkerhedsbevidsthed. Brug disse krav til at udnytte behovet for at etablere et program for sikkerhedsbevidsthed.
Trin 2: Begynd helt fra begyndelsen
Kend dine sikkerhedsbehov ved at evaluere trusselslandskabet, især når det er relevant for din sektor. Denne forståelse er grundlaget for et effektivt sikkerhedsbevidsthedsprogram. Ved at kende de typer trusler, som din sektor eller virksomhed sandsynligvis vil støde på, kan du mere effektivt skræddersy et program for uddannelse i sikkerhedsbevidsthed. Hvilke cloud-apps bruger din organisation f.eks.? Hvilken type trussel er de mest udsat for? Tilbyder du fleksibelt arbejde og har du fjernarbejdere? Er der et problem med deling af adgangskoder blandt dine medarbejdere?
Desuden kan kravene til overholdelse af lovgivningen være specifikke for din sektor: f.eks. kan dit personale arbejde med store mængder af meget følsomme data, der skal overholde kravene i DPA2018. Når du udvikler et skræddersyet bevidsthedsprogram, skal du huske at medtage specifikke oplysninger om databeskyttelsesregler.
MetaCompliance-tip: Dine politikker og procedurer bør være i overensstemmelse med bevidsthedsuddannelsen. På den måde kan Security Awareness Training bruges til at hjælpe med at håndhæve sikkerhedsprocesser.
Trin 3: Gør det virkeligt (og underholdende)
Træning i sikkerhedsbevidsthed bør være praktisk og menneskeligt orienteret. For at uddannelsen kan blive en succes, skal programmet være i overensstemmelse med målgruppen. Der er mange måder at få dette til at ske på, og ikke alle programmer for sikkerhedsbevidsthed er lige gode. De bedste vil tilbyde interaktivt og engagerende indhold, som medarbejderne finder interessant. Hvis du kan fastholde den enkeltes interesse, er der større sandsynlighed for, at du tilskynder til aktiv læring, som bliver hængende.
For at udvikle et program, der fungerer godt til at afbøde menneskeskabte cybertrusler, skal de emner, der dækkes, afspejle de typer trusler, som din organisation oplever eller vil opleve. Typiske emner, der skal dækkes, er bl.a:
- Hygiejne af adgangskoder
- Svindel med e-mails
- Malware og flytbare medier
- At være sikker på internettet
- Sociale medier: privatliv og sikkerhed
- Overholdelse og regler, og hvordan de påvirker medarbejderne
Phishing-simuleringsøvelser er en fremragende måde at tilbyde en kreativ og engagerende måde at lære medarbejderne farerne ved phishing-e-mails på. Mere om dem i trin 4...
MetaCompliance-tip: Uanset hvad dit program for sikkerhedsoplysning indeholder, skal det generelt set indeholde indhold, der er interaktivt og engagerende.
Trin 4: Sådan opdager du en Phish
Phish er det, der sker i hackernes verden. Phishing er blevet den mest populære angrebsmetode i årenes løb, og der er tale om en sofistikeret metode. Phishing-kampagner er en stor forretning, og modeller som f.eks. "phishing-as-a-service" giver hackere verden over værktøjer til at stjæle legitimationsoplysninger og data og inficere netværk med malware, herunder ransomware. Så det er et vigtigt redskab for at opnå succes med sikkerhedsbevidsthed at lære personalet at opdage phishing-e-mails.
Phishing-simuleringsløsninger er et vigtigt værktøj i CISO's træningspakke til bevidsthedsuddannelse. Phishing-simuleringer gør det muligt for en organisation at automatisere phishing-træning for at træne brugerne i at opdage de afslørende tegn på phishing-kampagner.
MetaCompliance-tip: Brug phishing-simuleringsøvelser som en del af et bredere program for sikkerhedsbevidsthed, og design dem så de afspejler de typer phishing-trusler, der er rettet mod din sektor.
Trin 5: Mål, mål, mål, mål
Det er vigtigt at forstå virkningen og effektiviteten af et program for sikkerhedsbevidsthed. Træningsarrangementer for sikkerhedsoplysning giver ofte målinger, der viser, hvor effektive de har været. Nogle eksempler på uddannelsesmetrikker, der kan give et indblik i programmets effektivitet, er følgende:
Undersøgelser (kvalitative): Spørgeskemaer, der anvendes til at undersøge kursisternes forståelse af programmet og dets gennemførelse.
Simuleringsresultater af phishing (kvantitative): F.eks. hvor mange brugere der klikkede på phishing-links i modsætning til hvor mange der advarede virksomheden, når de modtog en phishing-e-mail.
Rapportering af målinger (kvantitative og kvalitative): Hvor mange brugere rapporterer om sikkerhedsproblemer som identificeret under uddannelsen?
Metrikker kan visualiseres for at give deltagerne og ledelsen et overblik over feedback.
MetaCompliance-tip: Ud over at bruge målinger til at tilpasse træningsprogrammer skal du også bruge målinger til at kortlægge sikkerhedspolitikker og justere dem for at indfange problemområder, der identificeres under træningen.
Trin 6: Tilpasning og opdatering
Brug målingerne fra sikkerhedsoplysningsopgaver og -begivenheder til at tilpasse din levering af fremtidige iterationer af oplysningskampagnen. De målinger, der indsamles i trin 5, vil hjælpe dig med at levere mere effektiv uddannelse. Programansvarlige skal dog afholde regelmæssige møder for at sikre, at uddannelsesprogrammerne afspejler realiteterne i virksomhedens cybersikkerhedsudfordringer, da cybersikkerhedstrusler ikke er statiske begivenheder. Efterhånden som sikkerhedslandskabet ændrer sig, efterhånden som nye medarbejdere kommer til, og efterhånden som ny teknologi implementeres i din organisation, skal uddannelsen i sikkerhedsbevidsthed tilpasses for at afspejle disse ændringer.
MetaCompliance-tip: Bland og match forskellige måder at uddanne personalet på. Brug en række forskellige muligheder, herunder spil, phishing-simulationer, plakater og nyhedsbreve, og tilpas dem til afdelingen og behovene for sikkerhedsbevidsthed med tiden. Inddrag afdelinger i hele organisationen i udformningen og udviklingen af programmerne.
