Træning i sikkerhedsbevidsthed kan være tørt og uinteressant, hvis det ikke gøres godt. En dårlig træningssession kan være afskrækkende, og medarbejderne kan kede sig og være ude af stand til at forstå de problemer, som cybersikkerhedsangreb medfører. Sikkerhedsbevidsthed for medarbejdere er imidlertid et must i en tid, hvor angribere bruger menneskelig adfærd til at udføre deres angreb. Når en virksomhed udvikler et program for sikkerhedsbevidsthed, tager de fat på et kritisk område af moderne forretning - nemlig håndteringen af cybersikkerhedstrusler. Men for at programmet skal blive en succes, skal medarbejderne engageres i den alvorlige karakter af cybersikkerhedstrusler mod en virksomhed.
Idéer til at sikre, at uddannelse i sikkerhedsbevidsthed tages seriøst
Cyberkriminelle forsøger at drage fuld fordel af menneskelig adfærd. Derfor skal programmer for sikkerhedsbevidsthed også bruge menneskelig adfærd som grundlag for at engagere personalet, så de tager deres uddannelse mere alvorligt. Her er et par tips til at sikre, at din sikkerhedsbevidsthedsuddannelse bliver en succes:
Giv medarbejderne mulighed for at få indflydelse på cybersikkerhedsspørgsmål med nem hændelsesrapportering
Forskerne Dupuis og Renaud har vist, at "frygt, usikkerhed og tvivl" (FUD) kan være afskrækkende og ineffektivt i forhold til at ændre medarbejdernes sikkerhedsadfærd. FUD kan endda være kontraproduktivt som en taktik i forbindelse med uddannelse i sikkerhedsbevidsthed, idet det skaber angst hos de ansatte. Frygt bør ikke være drivkraften i en organisation, uanset på hvilket niveau. I stedet for at skræmme medarbejderne bør man belønne positiv sikkerhedsadfærd og tilskynde til nem og problemfri rapportering af sikkerhedshændelser. Et system til rapportering af sikkerhedshændelser, der gør det muligt hurtigt og nemt at rapportere sikkerhedsproblemer, kan styrke medarbejderne og fjerne frygtfaktoren. "Click and Report"-systemer ændrer adfærd ved at gøre tingene enkle og positive. Et rapporteringssystem, der er integreret i en virksomhedsproces med rapportering, behandling, optrapning og reaktion, bliver en katalysator i en organisations udvidede sikkerhedskultur og gør medarbejderen til en central del af denne kultur.
Gør cybersikkerhed integreret, personlig og kulturel
Enkeltpersoner er mål for cyberkriminelle. Selv om svindleren måske søger at stjæle store mængder personlige data eller hacke en virksomheds it-system, begynder de på individniveau. Phishing, spear-phishing og social engineering er alle taktikker, der sætter medarbejderen i centrum for et cyberangreb. Uden input fra en målrettet person ville mange cyberangreb falde til jorden. På samme måde som de cyberkriminelle er målrettet mod enkeltpersoner, bør uddannelse i sikkerhedsoplysning være målrettet og personlig.
Træning i sikkerhedsbevidsthed er mere vellykket, hvis den er personlig: Folk reagerer mere positivt på noget, de kan relatere til. Adfærdsmodeller som f.eks. adfærdsøkologi giver indsigt i menneskelig adfærd, som kan anvendes til at gøre Security Awareness Training til en succes. Sørg for, at din uddannelse er baseret på en medarbejders typiske arbejdsprofil, opgaver og risikoniveau. Et personligt tilpasset program vil bidrage til at udvikle en mere integreret sikkerhedskultur, der bygger bro mellem forskellige roller i en organisation. Teorien om spilbaseret læring har identificeret "erfaringsbaserede" spil, f.eks. rollespil og erfaringsrelevante spil, som værende mere succesfulde i forbindelse med læring. Hvis en medarbejder er mere modtagelig over for læring, vil han/hun se alvoren af cybersikkerhedstrusler uden behov for at bruge negative, frygtbaserede lektioner.
Gør træning i sikkerhedsbevidsthed til en holdsport
Forskning inden for områder som f.eks. social kognitiv teori har fundet forbindelser mellem menneskelig læring og adfærd, der påvirkes af sociale miljøer, herunder andres reaktioner og godkendelse. Spil om sikkerhedsbevidsthed kan danne grundlag for en positiv læringsoplevelse. Prøv at oprette hold af medarbejdere, der handler sammen for at forpurre cyberangrebsmåder. Holdmiljøet kan være med til at fremme læring og vise medarbejderne, hvor alvorlige cybersikkerhedstrusler mod organisationen er.
Gør uddannelse i sikkerhedsbevidsthed til en del af en løbende virksomhedskultur
Forskning fra analytikeren Forrester viser, at vellykket Security Awareness Training skal være brugerorienteret og fokusere på at ændre adfærd. Gå videre end til at skabe en sikkerhedskultur og indarbejdelse af sikkerhed i din generelle virksomhedskultur ved at bruge automatisering af sikkerhedsbevidsthedskampagner. Automatiserede løsninger til bevidsthedskampagner kan anvendes til at skabe og administrere effektive, løbende cybersikkerhedsuddannelseskampagner. Ved at bruge automatisering til at levere sikkerhedsbevidsthedsuddannelse gør du den til en del af et integreret system, der leveres i hele din organisation. Automatisering gør levering og finjustering af sikkerhedsbevidsthed lettere og indlejrer sikkerhedskulturen i virksomhedskulturen, så den bliver en vigtig del af medarbejdernes opgaver og ikke blot en eftertanke. Ved at gøre sikkerhed til en integreret del af din organisations forventninger til medarbejdernes adfærd bekræftes god sikkerhedsadfærd som en vigtig og anerkendt del af din organisation.
Det er en alvorlig sag at ændre langvarige sikkerhedsvaner
Nøglen til en cybersikker virksomhed er, at medarbejderne er engagerede i at hjælpe med at mindske cybertrusler. At gøre medarbejderne sikkerhedsbevidste betyder, at man skal ændre ofte langvarige vaner. Det kræver, at personalet engagerer sig og forstår betydningen af sikkerhedsuddannelse for organisationens succes. Metrikker og feedback kan være en fordel ved at gentage sikkerhedstræningsprogrammernes succes og seriøsitet. Målinger er nyttige både for medarbejderne til at se fremskridt og for din organisation til at justere programmerne for at forbedre deres succesrate. Hvis din organisation implementerer en automatiseret løsning til bevidsthedskampagner, vil dette system også kunne vedligeholde en revision af din organisations brug af Security Awareness Training, hvilket er en vigtig ressource til at demonstrere overholdelse af lovgivningen.
Sikkerhedstrusler er alvorlige, det beviser statistikkerne. Men frygt motiverer ikke medarbejderne og får dem ikke til at indse konsekvenserne af deres handlinger. Et velgennemtænkt, styret og løbende uddannelsesprogram for sikkerhedsbevidsthed, der inddrager medarbejderne i virksomhedens etik, vil få medarbejderne til at tage sikkerhed alvorligt.
