Cyberangreb er så almindelige, at de jævnligt kommer i de nationale nyheder. Der er mange grunde til, at svindel og cyberkriminalitet har taget fart. Alligevel er manipulation og social engineering af vores medarbejdere og den software, de bruger, et typisk udgangspunkt for disse angreb.
Organisationer verden over arbejder på at opbygge en sikkerhedskultur for at modvirke den menneskelige faktor i cyberangreb. Men hvis din organisation stadig har brug for at skabe denne sikkerhedstankegang, og trusler og sårbarheder i stigende grad udsætter din virksomhed for risiko, må du spørge, om god cybersikkerhedsuddannelse kan ændre en dårlig cybersikkerhedskultur.
Tegn på en dårlig cybersikkerhedskultur og måder at løse problemet på
En dårlig cybersikkerhedskultur har afslørende advarselstegn, som man skal være opmærksom på. Nedenfor er nogle af de mest indlysende samt nogle handlinger, der kan ændre en dårlig cybersikkerhedskultur ved hjælp af nogle gode cybersikkerhedstræningsteknikker:
Kun snak og ingen handling
En sikkerhedskultur gennemsyrer både toppen og bunden. Alle skal tilskyndes til at være en del af en større helhed, der arbejder hen imod et fælles mål, hvor sikkerhed tages alvorligt. Alle fra bestyrelseslokalet til midlertidigt ansatte skal forstå, hvad det betyder at sætte sikkerheden i første række, og præcis hvordan man gør det.
Intet vil ændre sig, hvis din organisation taler om sikkerhed, men ikke tilbyder praktiske metoder til at imødegå trusler. Ved at forklare, hvordan man sikrer sig, vil medarbejderne kunne reagere korrekt, hvis der sker forsøg på cyberangreb som f.eks. phishing-e-mails eller social engineering-handlinger.
Sådan omsættes ord til handling: For at omsætte ord til handling skal ledelsen følge op med praktiske metoder til at støtte sikkerhedsindsatsen. Dette kræver positiv, løbende sikkerhedsuddannelse i hele organisationen, så medarbejderne får redskaberne til at hjælpe virksomhedens sikkerhedsindsats.
En kultur med skyld, ikke sikkerhed
Skyldespillet er en giftig og skadelig kultur, der hurtigt kan opstå, når cyberangreb opstår, især hvis de bliver ved med at ske. Det er nemt at pege fingre og give medarbejderne skylden for uheld, f.eks. at åbne en potentielt skadelig e-mail. Men jo mere der peges fingre, jo mere vil den generelle atmosfære omkring sikkerhedsadfærd blive forværret.
Desuden er denne beskyldningsadfærd lige så skadelig som at klikke på et phishing-link, da den skaber et miljø af mistillid og viderefører dårlig sikkerhedsadfærd.
Stop skyldsspillet med åben kommunikation: Sågego- og skyldspørgsmål er modsætninger til en god cybersikkerhedskultur. Arbejd i stedet på at opbygge tillid, så en medarbejder, der begår en fejl, føler sig tryg ved at afsløre den fejltagelse. En god sikkerhedskultur kræver god kommunikation. Hvis en medarbejder informerer it-afdelingen om en sikkerhedsfejl, f.eks. en utilsigtet frigivelse af følsomme data, kan teamet hurtigere handle for at mindske dataeksponeringen.
Ignorer, hvad målingerne fortæller dig
Når en sikkerhedskultur går skævt, viser problemet sig i organisationens sårbarhedsdata: Den menneskelige faktor i cybersikkerhed er velkendt med chokerende statistikker som f.eks. at 82 % af alle cyberangreb involverer et menneskeligt element. Menneskelige fejl opstår, når folk ikke er klar over, hvordan deres handlinger kan føre til lækkede data eller bringe en virksomhed i fare. Så hvis du bemærker en stigning i potentielle eller faktiske brud, kan dette måske spores til medarbejdere og andre ikke-ansatte.
Målinger er din ven: Brug de målinger, der leveres af programmerne til træning i sikkerhedsoplysning og simulerede phishingprogrammer, til at identificere de punkter, der giver anledning til bekymring. Metrikker giver dig mulighed for at skræddersy træningen, så den bliver mere effektiv. Desuden kan træningen justeres på baggrund af roller for at fokusere opmærksomheden på specifikke sårbare områder.
I det ene øre og ud af det andet
En ineffektiv sikkerhedskultur kan føre til ineffektiv læring om sikkerhed. Kedeligt, gentagende undervisningsmateriale af klasseværelsestypen kan afskrække medarbejderne og ødelægge dine chancer for at opbygge en solid sikkerhedskultur.
Aktiv læring sker, når folk er engagerede og kan knytte sig til materialet på et følelsesmæssigt niveau. Hvis du f.eks. ikke leverer afprøvet og velkendt indhold om sikkerhedsbevidsthed. I så fald kan du opleve, at informationen går ind ad det ene øre og ud af det andet, med medarbejdere, der glemmer vigtige læringsoplevelser, og dårlig sikkerhedsadfærd forbliver uændret.
Stimulerende materiale gør underværker: Tilvejebring stimulerende læringsmateriale, som falder i god jord hos dine medarbejdere. Brug point-of-need training, så medarbejderne lærer, mens de træner, og hjælper med at ændre adfærd fra dårlig til god adfærd. Med engagerende materiale bliver hængende hos medarbejderne og skaber den sikkerhedstankegang, der er nødvendig for at cementere en sikkerhedskultur.
Uddannelsen er ikke koblet sammen
Kulturer af alle slags bygger på tillid og kommunikation. En dårlig sikkerhedskultur kan opstå, hvis medarbejderne ikke drøfter bekymringer eller problemer med deres overordnede. Problemet opstår, når de samme linjeledere ikke føler sig forbundet med sikkerhedskulturen. Dette kan ske, når uddannelsesprogrammer ikke omfatter ledelsen, eller når uddannelsesmateriale ikke er skræddersyet til specifikke afdelinger og roller.
Sammenkobling af roller og afdelinger:
- Opbyg relationer og nedbryd grænser, når du udvikler sikkerhedstræningsprogrammer, ved at designe kampagner omkring specifikke roller.
- Inddrag alle medarbejdere i uddannelsen - alle i en organisation spiller en rolle i virksomheden, og alle skal være en del af sikkerhedskulturen.
- Brug uddannelsesmateriale, der udvikler forbindelser mellem ledelse og medarbejdere gennem samarbejdsbaserede uddannelsesarrangementer som f.eks. escape room-lignende spil.
Mangel på inddragelse
Kulturer blomstrer, når de involverer alle. Mennesker er sociale, og prosocial adfærd er en del af opbygningen af solide og samarbejdsvillige fællesskaber. Hvis du ikke inddrager alle i din træning i sikkerhedsbevidsthed, vil der blive dannet fraktioner, som har en dårligere sikkerhedsadfærd end dem, der har været igennem træningen. Hvis nogle ikke er involveret, vil det påvirke udviklingen af en sammenhængende sikkerhedskultur og et sammenhængende fællesskab.
Lyt og lær: At lytte til dine medarbejdere kan være med til at udvikle en følelse af fællesskab og tillid. Hav en politik med åbne døre for at skabe forbindelser, hvilket fører til bedre sikkerhedsreaktioner. Lyt og lær: Inddrag medarbejderne i træning i sikkerhedsbevidsthed ved hjælp af initiativer som f.eks. den årlige uge for bevidsthed om cybersikkerhed. Gode lyttefærdigheder er en god strategi for engagement. Det er også med til at udvikle en fællesskabsånd, der er afgørende for at udvikle en robust og effektiv sikkerhedskultur.
Der findes et ordsprog, som du uden tvivl har hørt: "Vi står sammen, men vi falder, hvis vi er splittet". Dette ordsprog indkapsler vigtigheden af at arbejde sammen mod et fælles mål; når man gør det, "bliver helheden større end summen af delene". Træning i sikkerhedsbevidsthed bør involvere hele organisationens fællesskab og bygge broer baseret på fælles erfaringer og bekymringer. Ved at tilbyde et program med fornøjelig, engagerende og informativ træning i sikkerhedsbevidsthed kan din virksomhed skabe den flygtige, men vigtige sikkerhedskultur.