Den bedste måde at stoppe sikkerhedsangreb, der er rettet mod mennesker, er at skabe en kultur, der er rettet mod mennesker, og som er bevidst om sikkerhed. Her er en beskrivelse af, hvordan du gør det.
En god virksomhed er bygget på gode medarbejdere: En organisation er afhængig af at have medarbejdere, som den kan stole på, som gør et godt stykke arbejde, og som man kan stole på. Mennesker får en virksomhed til at fungere, men de kan også få den til at gå ned. Cyberkriminelle er også fokuseret på mennesker.
I 85 % af cyberangreb er det nødvendigt, at et menneske udfører en handling til fordel for angriberen: Det kan være et klik på et link i en e-mail, download af en inficeret vedhæftet fil, indtastning af login- og adgangskodeoplysninger til et falsk websted eller noget lignende.
Hvad er en menneskecentreret sikkerhedsbevidsthedskultur helt nøjagtigt?
Statistikkerne taler for sig selv, menneskelig adfærd er åben for manipulation, og resultatet er ransomware, databrud og generelle it- og forretningsmæssige skader og forstyrrelser. I 91 % af tilfældene begynder et cyberangreb med en phishing-e-mail, ifølge en rapport fra Deloitte. Social engineering-baserede cyberangreb, som phishing er et eksempel på, steg med 270 % i 2021.
Et indlæg i MetaCompliance "Social Engineering: Hacking the Human" udforskede de dybt rodfæstede aspekter af menneskelig adfærd, som cyberkriminelle udnytter. Det er nedbrydningen af dårlig sikkerhedsadfærd for at omdanne den til positiv sikkerhedsadfærd, der driver en menneskecentreret sikkerhedsbevidsthedskultur: Mennesker er i fokus for cyberkriminelle, og til gengæld er de den bedste måde at tackle cyberangreb på.
Ved at give medarbejderne viden om cybersikkerhedsfiduser opbygges en sikkerhedstankegang hos de mennesker, der står i frontlinjen for angreb - vores medarbejdere. Ved at bruge den rigtige tilgang til at levere og opdyrke denne sikkerhedsbevidsthed er resultatet dannelsen af en kultur med fokus på sikkerhedsbevidsthed, hvor mennesket er i centrum.
Komponenterne i en kultur for sikkerhedsbevidsthed med fokus på mennesker
En kultur defineres af de normer og adfærdsmønstre, der udgør en gruppe eller et samfund. Med andre ord beskriver begrebet "kultur" den livsstil og det trossystem, som en gruppe mennesker bruger til at skabe et bæredygtigt samfund.
Typisk vil en kultur have systemer indvævet i sin matrix, som gør livet lettere og mere succesfuldt for individerne i det pågældende samfund. En organisation kan på samme måde som en gruppe, en landsby, en by eller et land skabe en kultur, da den også består af enkeltpersoner.
God sikkerhedspraksis kræver en adfærdsændring hos medarbejderne, som er en fordel ved at bage denne sikkerhedsadfærd ind i en kultur: Dette opnås bedst ved at sikre, at sikkerhed bliver en integreret del af den overordnede virksomhedskultur. Bevidsthed alene skaber imidlertid ikke denne kultur. Her er de komponenter, der er nødvendige for at skabe en bevidsthedskultur om sikkerhed, der er centreret omkring mennesker:
Sæt forventninger
Fastsæt en basislinje for den forventede sikkerhedsadfærd.
Denne baseline etableres på baggrund af en forståelse af din organisations nuværende sikkerhedstilstand, og hvad der skal gøres for at forbedre den. Der kan anvendes forskellige metoder til at indsamle de data, der er nødvendige for at etablere den nødvendige baseline for god sikkerhedsadfærd. Dette omfatter kvantitative målinger ved at udføre indledende test ved hjælp af phishing-simuleringsprogrammer og kvalitative input fra undersøgelser og diskussionsgrupper.
Denne øvelse til indsamling af efterretninger er derefter knyttet til et program til træning i sikkerhedsbevidsthed for at levere uddannelse med fokus på mennesker. Denne kortlægning af kendte svagheder i sikkerhedsadfærden i forhold til de ansatte hjælper med at etablere et effektivt og skræddersyet uddannelsesprogram, der kan bruges til at påvirke adfærden på tværs af enkeltpersoner, afdelinger og hele organisationen.
Leveret fra dette udgangspunkt med et sæt klare forventninger giver det arbejdsstyrken en vej at gå, som hjælper med at skabe en kultur, hvor sikkerhed er i højsædet.
- Fastlæg din basislinje for forventet adfærd, og brug den til at skræddersy dit program for sikkerhedsbevidsthed med fokus på mennesker.
Lær socialt
Folk ønsker at være en del af noget, der er større end dem selv.
Kulturer er bygget på rygraden af menneskelig social interaktion. Teorier om kulturel evolution giver forklaringer på, hvordan kulturer udvikler sig. En af disse teorier vedrører social læring: mennesker lærer bedst gennem observation af deres jævnaldrende og modellering af scenarier, f.eks. gennem historier. Kultur opstår ved, at mennesker videregiver oplysninger, viden og færdigheder til hinanden.
Folkeeventyr er et godt eksempel på social læring, der ofte er designet til at ændre adfærd, f.eks. gå ikke alene i skoven, ellers vil den store stygge ulv æde dig; mange fortællinger kan spores tilbage på tværs af flere kulturer i årtusinder. Læring om sikkerhedsbevidsthed bør være et samarbejde med medarbejdere, der arbejder sammen og lærer socialt, interaktivt og engagerende.
Læring af sikkerhedsbevidsthed ved hjælp af scenarier af social læringstypen indebærer typisk brug af spil, interaktive moduler og input fra eksperter. Brugen af eksperter er forbundet med begrebet "prestigebaseret social læring" hos mennesker, som er kendt for at hjælpe voksne med at lære vanskelige begreber.
- Vælg et program til bevidstgørelse om cybersikkerhed, der tilbyder engagerende indhold, som indeholder personligt tilpasset indhold og skaber positiv sikkerhedsadfærd, der kan deles.
Vedvarende positiv sikkerhedsadfærd
En del af at skabe en vellykket kultur for sikkerhedsbevidsthed med fokus på mennesker er gennem effektiv vedholdenhed.
For at opretholde en positiv sikkerhedsadfærd er det nødvendigt med fortsat træning i sikkerhedsoplysning. Der er to grunde til regelmæssig træning i sikkerhedsbevidsthed. For det første sikrer regelmæssige opdateringer af uddannelsen, at det skiftende trusselslandskab afspejles i uddannelsespakkerne. Dette er afgørende, da cyberkriminelle hele tiden ændrer deres adfærd og taktik for at narre medarbejderne lettere. For det andet holder regelmæssig uddannelse sikkerheden i fokus hos medarbejderne, hvilket bidrager til at opretholde virksomhedens sikkerhedskultur.
- Opretholde en sikkerhedskultur ved at gennemføre regelmæssige opdateringer af sikkerhedsoplysningsuddannelsen.
Værdi input fra medarbejderne
Sikkerhed er alles ansvar; fjern skylden fra din kultur.
En undersøgelse fra PwC viste, at næsten tre fjerdedele af de adspurgte var bange for repressalier, hvis de rapporterede om sikkerhedsproblemer. En sikkerhedskultur kan kun bestå, hvis frygten fjernes fra ligningen. Du skal ikke give medarbejderen skylden for, at han/hun ved et uheld åbner en phishing-besked og klikker på et ondsindet link. Brug det i stedet som en læringsøvelse.
Sørg for, at dine medarbejdere ved, at de er en del af løsningen og ikke en del af problemet. Gør rapportering af sikkerhedshændelser til en integreret del af din bredere, medarbejderorienterede sikkerhedsbevidsthedskultur. Giv medarbejderne redskaberne til at gøre indberetning let og en del af deres daglige arbejdsliv. Vis dem, hvordan sikkerhedsrapportering fører til bedre opdagelse og forebyggelse af cybersikkerhed.
- Giv dine medarbejdere mulighed for at rapportere sikkerhedshændelser.
En sikkerhedsbevidsthedskultur, der er fokuseret på mennesker, skabes ikke fra den ene dag til den anden. Men ved at indføre de rette strukturer vil din organisation hurtigt kunne se udviklingen af en vedvarende og positiv adfærd inden for informationssikkerhed.
