Cyberkriminalitet er blevet en stor forretning, og det ser ud til, at intet område i verden er blevet skånet for denne voksende trussel. Du behøver blot at kaste et blik på nyhedsoverskrifterne for at læse om de seneste cyberangreb, databrud og den globale ødelæggelse, som denne digitale kriminalitetsbølge har forårsaget.
Ifølge den niende årlige undersøgelse af omkostningerne ved cyberkriminalitet, som Accenture og Ponemon Institute har offentliggjort, er de gennemsnitlige omkostninger ved cyberkriminalitet for en organisation steget med 1,4 millioner dollars i løbet af det seneste år til 13,0 millioner dollars, og det gennemsnitlige antal sikkerhedsbrud i det seneste år er steget med 11 %.
Der dukker hele tiden nye trusler op, og organisationer kan ikke længere kun stole på deres teknologiske forsvar til at beskytte dem. Cyberkriminelle bruger sofistikerede social-engineering-teknikker til at omgå disse forsvarssystemer, og det kræver blot, at en enkelt medarbejder klikker på et ondsindet link, og så kan det få alvorlige konsekvenser!
Dine medarbejdere er din første forsvarslinje mod cyberkriminalitet, så det er vigtigt, at de er udstyret med al den viden og de færdigheder, de har brug for til at beskytte din organisation. Et omfattende program for bevidsthed om cybersikkerhed er den bedste måde at uddanne personalet på og skabe en sikkerhedskultur, hvor sikkerheden er i højsædet.
Hvad bør et vellykket program for bevidsthed om cybersikkerhed omfatte?
1. Identificer risici
Det første skridt i oprettelsen af et effektivt program til bevidstgørelse om cybersikkerhed er at evaluere trusselslandskabet og identificere dine største risici. Hvis medarbejderne får den forkerte uddannelse, kan det resultere i informationsoverbelastning, eller mere bekymrende er det, at organisationer kan gøre sig selv sårbare over for angreb.
Hver organisation har en anden trusselsprofil, men nogle af de største trusler på tværs omfatter phishing, malware og dårlig sikkerhedspraksis. Phishing står bag 71 % af alle cyberangreb på verdensplan, og desværre er den fællesnævner bag alle disse angreb menneskelige fejl.
Uanset hvilke trusler din organisation står over for, kan du tage dig tid til at identificere risiciene korrekt, hvilket vil hjælpe med at forme budskaberne, leveringen og den effektive målretning af dit program til bevidstgørelse om cybersikkerhed.
2. Ændre adfærd
I løbet af det sidste årti har træningsmetoderne ændret sig dramatisk. Organisationer er ikke længere begrænset til klasseværelsesbaseret uddannelse eller et kursus af en dags varighed for at demonstrere overholdelse af cybersikkerhedsreglerne. Og disse metoder er ganske enkelt ikke længere tilstrækkelige. Medarbejderne skal engagere sig i uddannelsen for fuldt ud at forstå, hvad der kræves af dem, og hvor vigtig deres rolle er for organisationens overordnede sikkerhed.
For at træningen kan give genklang, skal den være rollespecifik, skræddersyet, sjov og tage fat på de udfordringer, som personalet står over for i hverdagen. At give dine medarbejdere indhold, der er let at bruge, og som er relevant for deres rolle, er et afgørende skridt i retning af at ændre deres adfærd.
Den bedste måde at opnå dette på er gennem et omfattende program for bevidsthed om cybersikkerhed, der udnytter en række forskellige værktøjer og teknikker. Med engagerende videoer, realistiske scenarier, quizzer, politikker og reelle phishing-simuleringstests sikrer, at personalet er fuldt uddannet til at genkende og identificere de mest aktuelle trusler.
Organisationer kan også bruge kommunikations- og markedsføringsværktøjer som f.eks. blogs, plakater og casestudier fra det virkelige liv til at styrke de vigtigste budskaber.
Ifølge Gartner: "I 2020 vil organisationer, der anvender en flerstrenget tilgang til cybersikkerhedsbevidsthed, opleve en 40 % stigning i medarbejdernes samlede sikkerhedskompetence i forhold til deres position i 2017."
Det er klart, at et omfattende og varieret program til bevidstgørelse om cybersikkerhed er nøglen til at mindske risikoen og påvirke medarbejdernes adfærd positivt.
3. Planlægning af levering af uddannelse
Uddannelse i sikkerhedsbevidsthed bør være en løbende proces og gennemføres med jævne mellemrum i løbet af året. Det er ganske enkelt ikke nok at uddanne medarbejderne én gang om året i cybersikkerhed for at ruste dem til at håndtere de utallige trusler, der er i konstant udvikling. Sikkerhedspolitikker kan blive ubrugelige, hvis ikke organisationerne har en grundig og løbende måde at overvåge overholdelsen af cybersikkerhedsreglerne på.
Cyberkriminelle lancerer svindelnumre, der falder sammen med sæsonbestemte og månedlige begivenheder, så medmindre dine medarbejdere modtager regelmæssig undervisning i de mest aktuelle sikkerhedstrusler, vil de ikke være i stand til at genkende de snedige nye angrebsmetoder, der bruges til at ramme dem.
For effektivt at ændre medarbejdernes adfærd og skabe en kultur med øget bevidsthed om cybersikkerhed bør organisationer oprette en årlig kampagne for sikkerhedsbevidsthed, der omfatter engagerende videoer, politikker, quizzer, undersøgelser og simuleret phishing. Dette vil hjælpe med at holde medarbejderne engagerede og forhindre dem i at blive trætte af det samme gentagne indhold. Organisationer kan skræddersy forskellige materialer til forskellige brugergrupper afhængigt af de specifikke trusler, de står over for.
4. Test af uddannelsens effektivitet
Allerede ved starten af et program til bevidstgørelse om cybersikkerhed bør organisationer foretage en indledende baselinevurdering for at fastslå, hvor risiciene ligger.
Når dette er blevet fastlagt, kan der gennemføres regelmæssige phishing-simulationer for at finde ud af, hvor modtagelig virksomheden er for svigagtige phishing-e-mails, og hjælpe med at identificere medarbejdere, der har brug for yderligere uddannelse. Kontrollerede simuleringstests vil hjælpe medarbejderne med at genkende, undgå og rapportere potentielle trusler, der kan true organisationens sikkerhed.
Men for virkelig at forbedre medarbejdernes adfærd bør organisationer køre et komplet uddannelsesprogram sammen med simulerede phishing-kampagner. Quizzer og tests kan tilføjes i slutningen af uddannelsesvideoerne for at styrke de vigtigste budskaber og reducere risikoen.
5. Spor målinger
For at afgøre, om dit program til bevidstgørelse om cybersikkerhed er effektivt, skal din organisation spore målingerne og handle derefter. En detaljeret rapporteringsstruktur vil give oplysninger om deltagelse og engagement og hjælpe med at vurdere de individuelle fremskridt for medarbejdere eller specifikke afdelinger i hele organisationen.
På den måde kan du identificere de områder, som medarbejderne har svært ved, og afgøre, hvilke medarbejdere der kan klare en mere avanceret uddannelse. Disse data kan bruges til at forme fremtidig uddannelse ved at give feedback om, hvad der fungerer og ikke fungerer. Hvis din organisation f.eks. ikke oplever et fald i antallet af sikkerhedshændelser på trods af et sikkerhedsprogram, skal du måske revurdere din tilgang og prøve en anden metode.
MetaCompliance har specialiseret sig i at skabe den bedste cybersikkerheds-awareness-træning, der findes på markedet. Vores produkter tager direkte fat på de specifikke udfordringer, der opstår som følge af cybertrusler og corporate governance, ved at gøre det lettere for brugerne at engagere sig i cybersikkerhed og compliance. Kontakt os for yderligere oplysninger om, hvordan vi kan hjælpe med at transformere cybersikkerheds-træning i din organisation.
