Engagement er afgørende for at opbygge en bedre sikkerhedsadfærd, men hvordan holder du medarbejderne interesseret i sikkerhed? Træning i sikkerhedsbevidsthed fungerer bedst, hvis en organisation kan opnå samme grad af engagement, som når folk taler om deres yndlingsserie eller fodboldhold.
Det er mere end nogensinde før vigtigt at fremme medarbejdernes engagement i sikkerhed for at beskytte data. Her er nogle yderligere oplysninger om sikkerhedsengagement, hvordan det hænger sammen med Security Awareness Training, hvordan man kan tilskynde medarbejderne til at bruge engagerende sikkerhedsindhold, og hvordan positivt engagement skaber en sikkerhedskultur.
Sikkerhedsengagement vs. sikkerhedsbevidsthed
Træning i sikkerhedsbevidsthed bruges til at uddanne medarbejdere om svindlere og cyberkriminelles forskellige taktikker og teknikker. Ved bevidsthedsuddannelse anvendes mange teknikker til at uddanne medarbejdere på hele arbejdspladsen. Et program for sikkerhedsbevidsthedsuddannelse består af flere komponenter. Disse moduler omfatter bl.a:
- eLearning-pakker: online-uddannelse, der uddanner medarbejdere i specifikke svindelnumre og angreb.
- Simulerede phishing-øvelser: Forfalskede phishing-beskeder, der typisk leveres af en cloud-baseret platform, sendes ud til medarbejderne for at lære dem at opdage phishing-tricks.
- Bitesize quizzer og videoer: korte, ofte gamificerede quizzer, der kan hjælpe med at vurdere medarbejderens forståelse.
- Fokusuddannelsesarrangementer: uddannelse på så forskellige områder som passwordsikkerhed og forventninger til databeskyttelse.
Træning i sikkerhedsbevidsthed er et omfattende forsøg på at sikre, at personalet er indstillet på datasikkerhed og svindel. Men hvis ikke uddannelsen er rettet mod det enkelte individ, er det usandsynligt, at den vil være effektiv. Engagement sker, når kommunikationen er flydende og relaterbar. Med andre ord er de samme sociale interaktioner, som fremmer stærke relationer, også med til at fremme læring. Forskellige teknikker til at engagere folk anvendes sammen med sikkerhedsuddannelse for at cementere læring; engagement er en iboende del af effektiv sikkerhedsuddannelse.
Trin til at fremme engagement i cybersikkerhed
Sikkerhedsengagement opstår, når en person føler en forbindelse med uddannelsesprogrammet. Der er nogle få kerneprincipper, der holder medarbejderne engagerede under sikkerhedsbevidsthedsuddannelse:
Top-down engagement
Folk føler sig forbundet, når alle er involveret. Ledende medarbejdere har generelt en indflydelsesrig stemme i en organisation, hvilket kan være med til at engagere andre. Sørg for, at alle medarbejdere, også dem på bestyrelsesniveau, deltager i sikkerhedsbevidsthedsuddannelsen og forstår dens formål. Opmuntre ledende medarbejdere til at engagere sig i andre medarbejdere under træningssessioner eller fremme de positive resultater af uddannelse i cybersikkerhed.
Kommunikere
Klar kommunikation bruges til at styrke relationer og opbygge engagement. Kommuniker godt for at påvirke dine medarbejdere. Tal med medarbejderne om deres rolle i virksomheden, og hvad deres typiske dag indebærer. Hvor er de pressede punkter? Hvilken viden om sikkerhed føler de, at de mangler? Hvis du indsamler denne type feedback, kan du bedre skræddersy uddannelsen og skabe engagerende og relaterbare moduler.
Gør sikkerhedstræning troværdig med sikkerhedsengagement
Det vil ikke falde i god jord, hvis du tvinger en uddannelse, der virker meningsløs. Medarbejderne har en tendens til at gøre oprør, hvis de synes, at deres arbejdstid er spildt: Relevans skaber engagement, så gør dine kurser i sikkerhedstræning relaterbare.
Gør sikkerhedsuddannelse sjov
Hvis man har det sjovt, er man engageret i længere tid, og folk lærer bedst, når de er glade og positive. Derfor tilbyder mange sikkerhedstræningstjenester nu gamificerede sikkerhedsuddannelsesøvelser. Det skaber et glad og sjovt miljø, hvor det lærte bliver hængende i folks hukommelse.
Fjern frygten
I en rapport om trusselsudviklingen fra 2022 fra Cisco blev det konstateret, at mindst én person i 86 % af organisationerne vil klikke på et phishing-link. Denne usikre adfærd er svær at ændre, og det er ikke nok at indgyde frygt for at ændre den. I stedet for frygt skal du inddrage medarbejderne i beslutninger om sikkerhed ved at inddrage dem i udarbejdelsen af sikkerhedspolitikker. Spørg medarbejderne om deres syn på sikkerhedskontroller, før du gennemtvinger brugen af dem. Sikkerhedsproblemer opstår ofte, når folk omgår dårligt gennemtænkte regler eller får regler håndhævet, som griber ind i deres normale arbejdsmønstre. Arbejd sammen med medarbejderne for at forstå, hvordan man bedst beslutter og gennemfører sikkerhedskontroller.
Gulerod, ikke pisk
Giv personalet incitamenter og belønninger, når du samarbejder med dem i forbindelse med sikkerhedsøvelser. Negativ forstærkning er sjældent en succes. Folk arbejder bedst, når de opmuntres gennem positiv feedback og ved at belønne positiv adfærd. Der er mange måder at gøre en udfordring i forbindelse med sikkerhedsbevidsthed givende på. Ideerne omfatter små præmier som f.eks. en kaffe- og kagepræmie for de bedste simulerede phishing-resultater. Cyber Security Awareness Month finder også sted hvert år i oktober og indeholder ofte tips om at bruge gulerødder i stedet for pinde til at holde medarbejderne engagerede.
Bliv ved med at engagere dig
Viden om sikkerhedsbevidsthed kan ligesom enhver anden uddannelse gå tabt med tiden. Derfor skal sikkerhedsengagementet bruge et princip om løbende input: Gennemfør regelmæssige træningssessioner med personalet for at holde dem ajour med de nyeste cybertrusler og hold dem engageret ved hjælp af de andre teknikker på vores liste.
Hvordan sikkerhedsengagement ændrer uddannelse af medarbejdernes sikkerhedsbevidsthed
Tiden med klasseværelsesbaseret, uinspirerende sikkerhedsuddannelse er for længst forbi. Den nye generation af sikkerhedsuddannelse handler i stedet om sikkerhedsengagement. Hvis man engagerer og stimulerer medarbejderne under træningssessioner om sikkerhedsbevidsthed, resulterer det i fokuseret opmærksomhed og bedre resultater. Denne opmærksomhed fremmer bedre indlæringsbetingelser og fremmer positiv sikkerhedsadfærd hos medarbejderne.
En af de måder, hvorpå denne positive adfærd kan fremmes, er gennem træning i trusselsbevidsthed. Simulerede phishing-platforme er f.eks. med til at holde opmærksomheden på forkant med folks bevidsthed. Simuleret phishing er interaktivt, og avancerede simulerede phishing-platforme giver mulighed for en høj grad af personalisering. Denne skræddersyning af falske phishing-meddelelser gør uddannelsen mere relaterbar og mindeværdig. Avancerede platforme gør det muligt at skræddersy den til at afspejle medarbejdernes roller, afdelingsspecifikke forhold og modersmål. Phishing-simuleringsmails vil også tilpasse sig den enkeltes sikkerhedsniveau, efterhånden som de bliver bedre til at opdage et phishing-angreb.
Et andet vigtigt aspekt af engagement er at gøre medarbejderne til en del af den samlede tilgang til sikring af din virksomhed og dens data. Ved at inddrage medarbejderne i alle aspekter af en sikkerhedsstrategi, lige fra udarbejdelse af politikker til sikkerhedsuddannelse og rapportering af hændelser, er der større sandsynlighed for at udvikle den vigtige sikkerhedskultur.
Sikkerhedsengagement vil også resultere i bedre resultater, som kan måles og dokumenteres ved hjælp af målinger af sikkerhedsbevidsthed.
Udvikling af en cybersikkerhedskultur
Et engageret publikum er et aktivt publikum. Medarbejdere, der er en del af en organisations bredere cybersikkerhedskultur, er mere tilbøjelige til at udvise positiv sikkerhedsadfærd. Det skyldes, at kulturelle forventninger tilskynder til og skaber konformisme og adfærdsnormer. Gennem et effektivt sikkerhedsengagement vil din organisation opbygge en robust kultur, hvor sikkerhed er i fokus. Resultatet vil være en reduceret cyberrisiko og en bedre medarbejdermoral.
