Her er de vigtigste områder for "forberedelse og praksis" for at sikre, at dit program for sikkerhedsbevidsthed bliver en succes.
Der findes et ordsprog af en ukendt forfatter: "Selvtillid og mod kommer gennem forberedelse og øvelse". Dette kloge udsagn gælder for mange ting i livet. Det gælder også for udformningen og udviklingen af et vellykket program for sikkerhedsbevidsthed. Phishing og malware er steget voldsomt på grund af COVID, og da der er mange social engineering-svindelnumre, er det afgørende at sikre, at slutbrugerne er klar til cybertrusler.
Syv områder, der skal forberedes for at få succes med træning i sikkerhedsbevidsthed
En systematisk og omhyggelig tilgang til udviklingen af et program for sikkerhedsbevidsthed er nøglen til succes. Denne succes skaber en modstandsdygtig organisation, hvor alle arbejder i fællesskab for at beskytte mod cybertrusler, herunder phishing og malware.
Her er syv dele af puslespillet om sikkerhedsbevidsthedsprogrammet, som passer sammen for at opbygge en cybersikkerhedskultur:
Vid, hvad du er oppe imod
Viden er magt: databrud koster f.eks. mange penge; i Storbritannien er den gennemsnitlige pris for et databrud i en mindre organisation (SMV) 16.100 £ pr. brud. Et enkelt brud ville være nok til at bekymre sig om, men en rapport fra Cornell University og FreedomPay viste, at 89 % af de adspurgte virksomheder oplevede mere end ét brud om året.
Succesen af dit program for sikkerhedsbevidsthed afhænger af, at du forstår typerne og omfanget af trusler, og hvordan de forskellige faser af svindel og cyberangreb fungerer. Trusselslandskabet ændrer sig hurtigt, så det er vigtigt at holde sig ajour med de cyberkriminelle aktiviteter.
Brug kilder som OWASP's Top Ten Web Application Threats og MITRE ATT&CK; medtag utilsigtede og ondsindede insiderrisici, og søg ekspertrådgivning fra tredjepart for at opbygge din vidensbase.
Gør dit program for sikkerhedsbevidsthedsuddannelse vellykket ved at have en proaktiv tilgang til at forstå informationssikkerhedslandskabet.
Få alle med på sikkerhedsbevidsthed (inklusive bestyrelsen)
Sikkerhed er alles ansvar: Få alle til at deltage i træning i sikkerhedsoplysning for at sikre, at organisationen har en sikkerhedstankegang, hvor sikkerheden kommer i første række. Dette er med til at udvikle en bevidsthedskultur, der er fokuseret på mennesker. Denne kultur danner det miljø, hvor læring om sikkerhedstrusler og om, hvordan man håndterer dem, kan blomstre.
Gør dit træningsprogram for sikkerhedsbevidsthed til en succes ved at inddrage alle medarbejdere for at opbygge en menneskelig firewall og indarbejde en kulturel tankegang, der cementerer sikkerheden og forhindrer, at trusler bliver til en fuldblæst sikkerhedshændelse.
Hold medarbejderne engagerede, og gør sikkerhedsuddannelsen relevant
Engager og opmuntrer personalet: Design dit træningsprogram for sikkerhedsbevidsthed omkring engagerende og interessante moduler. Humor er et vigtigt element i læring. Sørg for, at din Security Awareness Training tilbyder sjove, gamificerede kurser, der fastholder medarbejdernes opmærksomhed og fokuserer på de vigtigste læringsmål.
Gør din træning i sikkerhedsbevidsthed vellykket ved at bruge sjov, spil og relaterbart indhold i dit program.
Skræddersy sikkerhedsoplysning til medarbejdernes roller
Skræddersy uddannelse i sikkerhedsbevidsthed: Cyberkriminelle er dygtige til at ramme enkeltpersoner og specifikke roller i en organisation. På den måde opnår svindlere større succes, fordi deres svindelkampagner er mere skræddersyede og sofistikerede.
Svindelnumre som Business Email Compromise (BEC) og spear-phishing oplever en kraftig stigning på grund af denne succesrate. I Det Forenede Kongerige viser det sig, at halvdelen af alle små virksomheder er i fare for at blive udsat for BEC. Slutbrugere som f.eks. administrerende direktører, personale, der arbejder med kreditorbogholderi, og systemadministratorer er alle i farezonen.
Gør din uddannelse i cybersikkerhedsbevidsthed vellykket ved at bruge en phishing-simuleringsplatform der tilbyder rollebaserede phishing-titler, så du kan skræddersy træningen til de specifikke behov hos højrisikoroller i din organisation.
Hav en politik om åbne døre til rapportering af sikkerhedshændelser
Opmuntre til rapportering af hændelser: Et vellykket program for sikkerhedsbevidsthed vil ikke kun lære medarbejderne, hvordan de kan opdage et sikkerhedsangreb, men også opfordre dem til at rapportere det. Medarbejderne skal føle sig trygge nok til at rapportere en hændelse uden at få nogen modreaktion. Tidlig og præcis rapportering af en sikkerhedshændelse gør det muligt at foretage en hurtig triage for at forhindre, at hændelsen forårsager skade. Husk, at medarbejderne er den første linje til forsvar og opdagelse.
Gør din uddannelse i cybersikkerhedsbevidsthed vellykket ved at skabe en sikkerhedskyndig medarbejder, der føler sig sikker nok til at rapportere en hændelse. Giv dem processerne og værktøjerne til nemt at rapportere sikkerhedshændelser.
Måling af succes
Succesmålinger: Et vigtigt aspekt af succes er at bevise din succes gennem måling. Et program til uddannelse i sikkerhedsbevidsthed bør kunne registrere forskellige målinger, efterhånden som medarbejderne gennemgår uddannelsesmodulerne.
Metoderne omfatter brugen af phishing-simuleringsprogrammer, der automatisk registrerer data, f.eks. når medarbejdere klikker på et ondsindet phishing-link. Andre mekanismer til registrering af målinger omfatter undersøgelser, quizzer og medarbejdernes reaktion på en simuleret social engineering-begivenhed.
Metrikker og andre former for feedback om træning kan bruges til at optimere dit program for at forbedre succesraten for træning. Målinger kan også give de oplysninger, der er nødvendige for at vise ledelsen og bestyrelsen et investeringsafkast (ROI).
Gør din uddannelse i cybersikkerhedsbevidsthed vellykket ved at at måle alle mulige variabler under et læringsmodul. Brug en træningsplatform, der kan registrere disse resultater og præsentere dem i et dashboard som grafer for at få et overblik over, hvordan træningsprogrammet skrider fremad.
Udfør regelmæssig træning i sikkerhedsbevidsthed
Træn regelmæssigt: Truslerne mod vores virksomhed ændrer sig hele tiden, da cyberkriminelle arbejder på at tilpasse deres taktik for at undgå at blive opdaget. Cybersvindel, som f.eks. BEC, bliver stadig mere sofistikeret, og der udvikles hele tiden nye metoder til phishing, som undgår programmerede detektionssystemer. For at holde medarbejderne på forkant med forebyggelsen af cyberangreb skal der regelmæssigt gennemføres træning i sikkerhedsoplysning.
Gør din uddannelse i cybersikkerhedsbevidsthed vellykket ved at holde dine uddannelsesmoduler og -indsatser ajour.
Vær forberedt, få succes!
Alle disse nøgleelementer for succes bruges til at opbygge en sikkerhedskultur på tværs af hele organisationen, herunder leverandører, entreprenører og andre menneskelige kontaktpunkter, der øger cyberrisikoen.
En tilgang til sikkerhed først, der fungerer som en del af den daglige drift af en organisation, vil sikre, at dine medarbejdere altid er forberedt på et cyberangreb. Dette beredskab giver medarbejderne selvtillid til at handle på mistænkelige hændelser og hændelser.
Resultatet er, at succesraten for din Security Awareness Training forbedres, hvilket reducerer risikoen for, at din organisation bliver offer for et cyberangreb eller et cybersvindelnummer.