For at kunne tilbyde et effektivt program for sikkerhedsoplysning skal uddannelsen være lokaliseret for at fange alle medarbejderes opmærksomhed.
Engelsk har traditionelt været teknologisprog, simpelthen på grund af den tidlige indflydelse fra Silicon Valley i USA. Men vi er kommet langt siden dengang, og nu er teknologien global.
Det er veletableret, at det er vigtigt at gøre træning i sikkerhedsbevidsthed sjovt. Effektiv træning i sikkerhedsbevidsthed er dog mere end sjov og ballade.
Folk har brug for sammenhæng og forbindelse på lokalt plan. Mennesker er født ind i og lever i kulturer. Disse kulturer påvirker i høj grad den måde, vi ser verden på og interagerer med den: kulturer og steder former os som individer. Kulturen informerer og påvirker og omfatter et helt samfunds træk, historie og sprog.
Det er en god idé at integrere en lokaliseret tilgang til dit træningsprogram for sikkerhedsbevidsthed; her er tre grunde til dette.
Tre grunde til at bruge lokaliseret træning i sikkerhedsoplysning
Træning i sikkerhedsbevidsthed er mest effektiv, når den engagerer dine medarbejdere. Men engagement er ikke et scenarie, der passer til alle. Engagement kræver en blanding af kontekstbestemte, personlige og sjove scenarier.
Hvis du er en organisation, der har en global arbejdsstyrke, skal du se på, hvordan du bedst muligt kan engagere denne arbejdsstyrke. For eksempel kan et program til uddannelse i sikkerhedsbevidsthed, der ikke tager hensyn til ikke-engelsktalende medarbejdere eller medarbejdere fra andre kulturer, være mindre end tilstrækkeligt; resultatet er huller i din cybersikkerhedsbevidsthed, som udsætter din virksomhed for risiko.
Her er tre fordele ved at lokalisere din træning i sikkerhedsoplysning:
Lokalisér indholdet for at engagere medarbejderne bedre
Din organisation er måske en stor, multinational virksomhed eller en del af en bredere, global forsyningskæde; i så fald har du sandsynligvis ansatte eller kontrahenter fra lande over hele verden. Mange af dem taler måske ikke engelsk eller bruger engelsk som andetsprog. Derfor er det bedst, hvis al uddannelse, herunder sikkerhedsbevidsthed, foregår på det sprog, som den lærende har som modersmål.
I de tidlige faser af udformningen af et uddannelsesprogram om cybersikkerhed skal du lave en opgørelse over din målgruppe:
- Hvilke lande er dine medarbejdere baseret i?
- Hvilke sprog tales der?
- Er der særlige kulturelle normer, der kan påvirke sproget og den måde, hvorpå medarbejderne interagerer med teknologi?
Svarene vil hjælpe dig med at opbygge et mere effektivt træningsprogram. MetaCompliance Security Awareness Training-platformen findes f.eks. på over 40 sprog, og der er planlagt flere sprog. Med denne store mængde af lokaliseringsstøtte er det lettere at levere lokaliseret sikkerhedsuddannelsesindhold. Det er også mere sandsynligt, at det vil engagere dine medarbejdere sammen med det sjov og de spil, der er indbygget i avancerede platforme for uddannelse i cybersikkerhedskendskab.
Lokaliseret indhold vil hjælpe med at forhindre målrettede cyberangreb
Phishing og andre former for social engineering-angreb fungerer bedst, når de indeholder et element af målrettet læring. F.eks. vil phishing-e-mails, der er rettet mod en bestemt medarbejderrolle, f.eks. HR eller kreditor, blive skrevet for at fange den pågældende persons opmærksomhed ved hjælp af et særligt sprog og indhold.
BEC-angreb (Business Email Compromise) er kendt for at bruge roller og målrette mod enkeltpersoner ved hjælp af den type almindeligt sprog, som de forventer i en e-mail. På samme måde vil en svindler, der er rettet mod folk i et land, skrive phishing-e-mailen på det pågældende lands sprog.
Phishing-e-mails er ikke kun skabt til engelsktalende personer. Der er sket en stigning i antallet af phishing-e-mails, der anvender andre sprog end engelsk. En undersøgelse fra Google og Stanford University beviser dette. I undersøgelsen blev der kigget på 1,2 milliarder e-mail-baserede phishing- og malware-angreb mod Gmail-brugere. Svindlere, der henvender sig til brugere fra ikke-engelsktalende lande, bruger ofte det pågældende lands modersmål. Et af de skarpeste eksempler i undersøgelsen var, at 78 % af de phishing-e-mails, der var rettet mod japanske brugere, var skrevet på japansk.
Hvis dine slutbrugere har med lokale phishing-e-mails at gøre, bør dine phishing-simuleringer og din træning afspejle dette. Lokaliseret træning på medarbejdernes sprog vil med større sandsynlighed uddanne dem i phishernes tricks med succes.
E-mails på modersmål kan omgå teknologiske foranstaltninger
E-mail- og webindholdsfiltre er konfigureret til at opdage skadelige links eller vedhæftede filer eller stoppe navigationen til falske websteder. Det gør de typisk ved at opstille bloklister eller ved at kigge efter kendte ord, der bruges i phishing-e-mails.
Disse foranstaltninger er normalt baseret på det engelske sprog. Phishing-e-mails på modersmålet har større sandsynlighed for at undgå denne teknologiske foranstaltning, fordi filtreringssystemet ikke er indrettet til at håndtere phishing-angreb på andre sprog end engelsk.
Ved at tilføje understøttelse af modersmål til et program til træning i sikkerhedsoplysning kan du sikre, at e-mails på modersmål, der undgår at blive opdaget af teknologi, ikke undgår at blive opdaget af et menneske.
Uddannelse i sikkerhedsbevidsthed på modersmål giver menneskeskabt sikkerhed
Brug af lokaliseret cybersikkerhedsuddannelse er en del af en bredere tilgang til informationssikkerhed, der er fokuseret på mennesker. Ved at implementere uddannelsesprogrammer, der er lokaliseret på slutbrugernes sprog, vil din organisation være mere effektiv i forhold til at engagere dine medarbejdere i uddannelse.
Din organisation vil høste frugterne af dette med en mere informeret arbejdsstyrke, der forstår, hvordan cyberkriminelle manipulerer deres adfærd. I sidste ende vil det mindske risikoen for din virksomhed og forhindre cyberangreb.
Sprog er vigtigt, og enhver taktik, der forbedrer medarbejdernes engagement i materialer til træning i sikkerhedsbevidsthed, er grundlæggende for at skabe en sikkerhedskultur og bekæmpe angrebene fra cyberangreb i hele industrien og verden.