Råd oplevede 800 cyberangreb i timen i de første seks måneder af 2019.
Kilde: Forsikringsmægler, Gallagher, UK
Da råd står over for en hidtil uset mængde daglige cybertrusler, indledte Cork County Council, den næststørste lokale myndighed i Irland, en rejse med MetaCompliance for at skabe en cyberførst-kultur og tage en proaktiv tilgang til cybersikkerhed.
"Den største udfordring var uddannelse af personalet i sikkerhedsbevidsthed. Der var ingen feedbackmekanisme til at afgøre, hvor effektiv træningen var, og vi havde ingen mulighed for at fastsætte en baseline for brugernes aktuelle bevidsthed om sikkerhedsspørgsmål."
Barry Philips, IS-analytiker/udvikler, Cork County Council
Da Cork County Council erkendte, at 90 % af alle cyberangreb skyldes menneskelige fejl, vidste de, at deres tilgang måtte ændres. Gennem MetaCompliance's prisbelønnede pakke af produkter og software udviklede Cork County Council skræddersyede uddannelsesløsninger, der resulterede i et bedre engagement hos personalet, forbedret revision og rapportering samt reduceret administrationstid.
De har nu med succes implementeret bevidsthedsuddannelse som en løbende proces, der udvikler sig i takt med udviklingen i cybertrusselslandskabet.
En 360°-løsning til forvaltning af politikker
Politikforvaltning, uddannelse af personalet og arbejdskrævende administrative processer var alle centrale emner for Rådet. Barry kommenterede den tidligere tilgang til politikforvaltning med følgende ord:
Brugerne blev henvist til dette websted, hvis der var opdateringer, eller hvis de ønskede yderligere oplysninger. Der var dog ingen mulighed for at vide, om nogen havde læst og accepteret en politik.
Med MetaCompliance's Policy Management-modul kan Rådet nu effektivt administrere vigtige politikker, demonstrere deltagelse i politikker og kvantificere medarbejdernes forståelse med nøjagtig rapportering til revisorer og tilsynsmyndigheder. Som følge heraf har HR-afdelingen drastisk reduceret den administrative tid og de manuelle processer, der er forbundet med forvaltning og vedligeholdelse af politikker.
Engagerende eLearning
Personalets engagement i uddannelse var et problem for Rådet. Siden samarbejdet med MetaCompliance har de skabt skræddersyet, branded eLearning om cybersikkerhed og privatlivets fred gennem interaktioner, quizzer og spil for at hjælpe med at udvikle cyberresiliente medarbejdere og tilskynde til deltagelse.
"eLearning-modulet har givet os mulighed for at skræddersy specifik uddannelse, og rapporteringsfunktionen bruges til at spore, hvor mange brugere der har gennemført uddannelsen, hvilket har givet organisationen større indsigt."
Barry Philips, IS-analytiker/udvikler, Cork County Council
Indførelsen af MetaCompliance's prisbelønnede phishing-modul har også øget engagementet yderligere.
"MetaPhish bruges til at gennemføre phishing-øvelser og fastslå, hvor effektiv uddannelsen i sikkerhedsbevidsthed har været. Det har givet os et overblik over vores brugerbase og det aktuelle niveau af bevidsthed i organisationen, hvilket tidligere var svært at vurdere."
Barry Philips, IS-analytiker/udvikler, Cork County Council
Succes med automatisering
I et forsøg på at komme væk fra en ad hoc-tilgang har Rådet automatiseret livscyklussen for sit årlige program for sikkerhedsbevidsthed.
Barry noterer sig fordelene ved dette for Rådet:
Modulet Campaigns bruges til at automatisere både uddannelse i sikkerhedsoplysning og til at planlægge phishing-kampagner i løbet af året. Dette har givet ledelsen kritisk indsigt i svage punkter, risici og vores fremskridt.
En "one-stop-shop"
Barry opsummerer de fordele, som MetaCompliance har givet Cork County Council:
"Den største ændring er, at MetaCompliance nu er vores one-stop-shop med hensyn til politikker, kombineret med muligheden for at kontrollere og spore overholdelse af disse politikker. Automatiseringen har betydet enden på en lang række manuelle processer og har forbedret vores auditering og rapportering enormt."
Barry Philips, IS-analytiker/udvikler, Cork County Council
Cork County Council kan nu effektivt planlægge og levere et omfattende program til bevidstgørelse om cybersikkerhed, der består af 12 måneders bevidstgørelsesaktiviteter på en centraliseret platform.
Rådet har udviklet en hybrid tilgang til uddannelse i cyberbevidsthed, der omfatter forskellige aktiviteter som f.eks. simuleret phishing, eLearning, blogs og politikker for at holde medarbejderne engagerede hele året.