Mange af os er i fuld gang med at udarbejde cybersikkerhedsplaner og budgetter for 2023. En del af vores planer vil være udvikling eller fortsættelse af et vellykket program for sikkerhedsbevidsthed. Med ransomware som Conti og Lockbit, der er aktive i Storbritannien i 2022, og krigen i Ukraine, der øger antallet af svindelnumre, skal virksomheder mere end nogensinde før sikre, at deres sikkerhedsbevidsthedsuddannelse er vellykket.
Nu er det tid til at lægge en strategi for, hvordan du sikrer, at din træning i sikkerhedsbevidsthed virker. MetaCompliance diskuterer fem elementer, der vil gøre din træning i sikkerhedsbevidsthed til en succes, for at hjælpe dig.
Fem elementer i en vellykket uddannelse i sikkerhedsbevidsthed
Her er fem nøgleelementer, som du skal medtage, når du planlægger et program for træning i sikkerhedsbevidsthed for 2023:
Kick-Start og fortsæt træning med automatisering
Kontinuitet og planlægning er afgørende elementer i et vellykket sikkerhedsuddannelsesprogram. Folk reagerer godt på konsekvens, og regelmæssig og engagerende uddannelse er mere tilbøjelig til at blive til positive handlinger og minder. Konsekvens i uddannelsen er også med til at opbygge positive relationer og tillid.
En god måde at forenkle regelmæssig træning på er at bruge en platform til automatisering af sikkerhedsbevidsthedstræning. Platformen giver dig mulighed for at administrere og planlægge dit årlige program for sikkerhedsbevidsthed, sikre løbende uddannelse og overholde lovgivningen. Med andre ord er automatisering af Security Awareness Training et godt sted at kickstarte dit program og gøre leveringen mere effektiv og konsekvent.
Skræddersy uddannelse til din virksomhed og dine medarbejdere
Personlige træningsprogrammer er mere effektive, da de er relaterbare. Personalisering bruges dog også af cyberkriminelle til at målrette mod specifikke roller og personer i en organisation. F.eks. er it-administratorer et ideelt mål for spear phishing-kampagner, der bruges til at stjæle loginoplysninger.
For at gøre dit 2023 Security Awareness Training-program vellykket skal du sikre, at programmet er skræddersyet til organisationens roller. Rollebaseret cybersikkerhedsuddannelse har mange fordele, herunder meget skræddersyet uddannelse, der fokuserer på specifikke typer svindel, såsom Business Email Compromise (BEC).
Phish, dine medarbejdere
En rapport fra 2022 identificerede Storbritannien som et vigtigt mål for phishing: undersøgelsen viste, at 91 % af virksomhederne var mål for en phishing-kampagne, og 84 % havde mindst ét e-mail-baseret ransomware-angreb. Derfor skal den rollebaserede sikkerhedsbevidsthedsuddannelse omfatte uddannelse, der er målrettet medarbejdere ved hjælp af omhyggeligt udformede simulerede phishing-kampagner.
Kampagnerne lærer medarbejderne taktikken for at narre dem til at klikke på et skadeligt link eller downloade en inficeret vedhæftet fil. Derfor er det vigtigt at undervise medarbejderne i phishing for at få et vellykket program for sikkerhedsbevidsthedstræning.
Få indholdet af sikkerhedsbevidsthed til at fungere
De sidste tre elementer vil kun gøre et program til sikkerhedsoplysning vellykket, hvis indholdet er spændende og sjovt og bruger feedback på en konstruktiv måde. Folk lærer, når de er engagerede, og materialet er forståeligt og relaterbart; planlæg at bruge "point-of-need learning" i dit uddannelsesprogram.
Et program for sikkerhedsbevidsthed bør bruge en træningsplatform, der kan anvende point-of-need learning for at øge forståelsen og fremme læring. Point-of-need learning er en type interaktiv undervisning, der bruges til at sikre, at medarbejderne lærer af deres fejltagelser; et eksempel er en advarsel, der vises på skærmen, hvis en medarbejder klikker på et skadeligt link.
Denne interaktive undervisning er ideel til at forklare farerne ved dårlig sikkerhedsadfærd. Point-of-need learning kan også bruges til at lære en bruger at undgå at udføre en farlig aktivitet i fremtiden.
Brug resultaterne til at optimere din succes
En af de vigtigste faktorer for at gøre noget til en succes er at vide, hvor og hvornår man skal foretage forbedringer. Det er her, at målinger af sikkerhedsuddannelse kommer ind i billedet. Et program til træning i sikkerhedsbevidsthed skal kunne indsamle og analysere data fra træningssessioner.
Disse data kan derefter bruges til at generere indsigt, der kan bruges til at skræddersy undervisningsforløb. Et avanceret træningsprogram bør f.eks. drage fordel af rapporteringsdashboards, der kan vise en overbliksanalyse af simulerede phishing-sessioner; denne analyse kan hjælpe med at identificere medarbejdere, der har svært ved at forstå begreberne, og hjælpe med at skræddersy en undervisningskampagne, der gør træningen mere effektiv.
De typer af målinger, der hjælper med at opbygge en mere effektiv og dermed mere vellykket sikkerhedsuddannelse, er bl.a:
- Procentdelen af brugere, der er sårbare over for angreb
- De enheder, der er brugt til at få adgang til phishing-e-mailen
- Hvilke afdelinger og brugergrupper klikker på links
Disse målinger kan derefter analyseres, og indsigten kan bruges til at justere bevidsthedsprogrammer for at sikre, at træningen forbedres, og at dit program er optimeret.
Fra succes med et program for sikkerhedsoplysning til fiasko ved cyberangreb
Et gammelt ordsprog siger: "Et mål uden en plan er kun et ønske". På samme måde kræver det en effektiv planlægning at gøre dit program for sikkerhedsbevidsthed vellykket. Start som du har tænkt dig at fortsætte ved at skabe et engagerende, relaterbart og kontinuerligt program af sikkerhedsuddannelsesbegivenheder. På denne måde vil din succes med sikkerhedsbevidsthed resultere i, at cyberangreb mislykkes.