Der er ikke meget mening med at gøre noget i livet, medmindre man ved, at det er noget værd, og at det, man gør, vil virke. Denne tankegang gælder for mange aspekter af en virksomhed, herunder et program for sikkerhedsbevidsthed.
Når en virksomhed iværksætter et program for sikkerhedsbevidsthed, bør de altid have i tankerne, hvad det er, de forsøger at opnå. I en Verizon-rapport fra 2021 understreges det, at det "menneskelige element" ligger bag 85 % af databrud, og derfor bør fokus på at skabe god sikkerhedsadfærd være altafgørende.
Men hvordan kan man egentlig måle et tilsyneladende ubestemmeligt element som adfærd?
Etablere en basislinje for et godt program for sikkerhedsbevidsthed?
For at måle noget skal du have et udgangspunkt, en baseline. Et program for sikkerhedsbevidsthed har til formål at ændre medarbejdernes adfærd og holdning for at forbedre den overordnede sikkerhed i en virksomhed.
Et sæt klart definerede mål er et vigtigt udgangspunkt, som du kan bygge videre på, når du tester, om dit program for sikkerhedsbevidsthed har været en succes. Disse mål vil danne grundlaget for dit sikkerhedsbevidsthedsprograms målinger ved hjælp af en "train and test"-metodologi.
Når du udvikler et program for sikkerhedsbevidsthed, er det en god praksis at huske på, hvordan succesen af hvert enkelt område af programmet kan måles. På denne måde kan du bygge testbare elementer ind i programmet. Typiske dele af et holistisk sikkerhedsbevidsthedsprogram bør omfatte:
- Sikkerhedshygiejne: dækker forskellige elementer som f.eks. valg af adgangskode og browsingvaner på nettet
- Social engineering: hvad er social engineering og hvilke typer svindel, der påvirker en organisation og dens medarbejdere
- Opmærksomhed om phishing: uddannelse af medarbejdere i, hvordan de kan opdage phishingtaktik
- Computersikkerhedsvaner: herunder hvordan du kan se, om en computer er inficeret, og hvordan du bruger sikkerhedsfremmende foranstaltninger som f.eks. en VPN til fjernarbejde
Hvert af disse aspekter af et program for sikkerhedsbevidsthed kan måles, og resultaterne kan derefter bruges til at give feedback for at optimere programmets succes.
Måling af succes (eller ej) af et program for sikkerhedsoplysning?
Måling af resultaterne af et program for sikkerhedsbevidsthed er ikke en øvelse, hvor man består eller ikke består. I stedet giver det et indblik i effektiviteten af de forskellige dele af uddannelsen i sikkerhedsbevidsthed.
Resultaterne kan bruges til at give feedback til de forskellige dele af sikkerhedsprogrammet for at optimere træningen; hvis noget ikke fungerer, vil målinger og feedback give en indikator for dette, og nogle målinger kan endda identificere svagheder i specifikke træningsbegivenheder. Disse oplysninger kan derefter bruges til at skræddersy bevidsthedsuddannelsen mere præcist.
Områder, der kan bruges til at indsamle data om sikkerhedsuddannelsesmetoderne, er bl.a:
Undersøgelser og feedback fra medarbejderne
Undersøgelser af bevidstheden er spørgeskemaer, som medarbejderne udfylder for at få et indblik i effektiviteten af bevidsthedsuddannelsen. Selv om denne metode er manuel, kan den være en nyttig del af en portefølje af måleøvelser til at fastslå, om dit program for sikkerhedsbevidsthed er en succes. Spørgeskemaer håndteres ofte af HR eller en sikkerhedskonsulent og omfatter typisk spørgsmål eller quizzer, der tester medarbejderens evne til at opdage en trussel.
Simuleringer og målinger af phishing
Phishing-simuleringer udføres ved hjælp af automatiserede platforme, der sender test-e-mails om phishing til medarbejdere. Simuleringsplatformen registrerer, om medarbejderen har opdaget, at testbeskeden er en phishing-besked, eller ej. Phishing-simuleringsplatforme og rådgivning om deres anvendelse samt de målinger, de giver, er tilgængelige gennem specialiserede tredjeparter som MetaCompliance.
Social Engineering og målinger
Hvordan medarbejderne reagerer på svindel er et vigtigt aspekt af sikkerhedsbevidsthed. Svindelnumre som f.eks. Business Email Compromise (BEC) er ofte sofistikerede og anvender social engineering som grundlag for svindlen.
En medarbejders reaktion på en simuleret social engineering-begivenhed kan måles både kvantitativt og kvalitativt, afhængigt af hvordan simuleringerne udføres. Tredjepartsvirksomheder kan rådgive om at skabe simulerede social engineering-tests, der kan måles.
Registrering og rapportering af hændelser
Beviset ligger i buddingen, og den budding har form af medarbejdernes rapportering af sikkerhedshændelser. Et system til rapportering af sikkerhedshændelser, der gør det muligt for medarbejderne nemt at indtaste sikkerhedshændelser, kan være en måde at måle effektiviteten af et program for sikkerhedsbevidsthed på.
Indberetning af hændelser har to fordele, idet den fungerer som et triage- og responssystem for sikkerhedsproblemer, når de opstår, og logger og reviderer personalets bevidsthed. Medarbejderne bør uddannes i at bruge hændelsesrapporteringssystemet til at registrere sikkerhedshændelser som f.eks:
- Modtagelse af en phishing-meddelelse
- Utilsigtet afsløring af en adgangskode
- Mistanke om malware-infektion
- Utilsigtet eksponering af oplysninger via fejllevering af e-mail
- Mistede eller stjålne enheder
- Forsøg på social engineering, f.eks. telefonfis
Mål, lyt og optimer
Programmer for sikkerhedsbevidsthed er kendt for at være vanskelige at måle. Måling af adfærd og forståelse er ofte kvalitativ snarere end kvantitativ. Men ved at bruge en kombination af faktorer, der indfanger indikatorer for adfærdsændringer og bevidsthed, kan en virksomhed sikre, at programmet er effektivt.
I sidste ende har en organisation brug for et effektivt program for sikkerhedsbevidsthed for at reducere antallet af cyberangreb og forbedre virksomhedens generelle cybersikkerhed. Efterhånden som medarbejderne forstår, hvordan cybersikkerhedstrusler fungerer, vil optimering af effektiviteten af et program for sikkerhedsbevidsthed resultere i en sikkerhedskultur, der betaler sig med bedre sikkerhed.
