Yksinkertaiset tietoturvatietoisuuden virheet ovat joidenkin maailman suurimpien verkkohyökkäysten takana. RiskIQ:n vuotuisen Evil Internet Minute -raportin mukaan vain yhdessä minuutissa Internetissä menetetään 2,9 miljoonaa dollaria verkkorikollisuuden vuoksi. Internetin laajuuden kasvaessa nopeasti myös uhkakuva kasvaa. Malvertisingin ja phishingin kaltaiset taktiikat sekä hyökkäykset, joissa käytetään yhä laajenevaa teknologia- ja strategiatarjontaa, ovat tulleet yhä suositummiksi. Organisaation sisältä tulevat uhat ovat kuitenkin usein suurin riski, mikä korostaa tarvetta parantaa tietoturvatietoisuutta.
Itse asiassa 52 prosenttia yrityksistä myöntää, että työntekijät ovat niiden suurin heikkous tietoturvan kannalta, sillä heidän huolimattomuutensa vaarantaa yritykset. Viime vuonna 60 prosenttia ICO:n raportoimista tietoturvaloukkauksista johtui inhimillisistä virheistä, ja näin ollen tietoturvatietoisuuden puute on edelleen keskeinen ongelma monissa organisaatioissa. Usein ihmiset joko eivät huomaa uhkia tai heistä tulee huolimattomia.
Kun olet tietoinen näistä yleisistä tietoturvatietoisuutta koskevista virheistä ja toteutat oikeat toimet tehokkaan tietoisuussuunnitelman toteuttamiseksi, voit valistaa työntekijöitä ja antaa heille mahdollisuuden muuttaa käyttäytymistään ja suojella organisaatiotasi mahdollisilta riskeiltä.
Turvallisuustietoisuuden virheet, joita kannattaa välttää
1. Keskittymisen puute
Tietoturvatietoisuusohjelman päätavoitteena on muuttaa käyttäytymistä, ja jos tietoisuusohjelman halutaan onnistuvan, sillä on oltava selkeät tavoitteet. Näiden tavoitteiden avulla voidaan tai pitäisi pystyä tukemaan ohjelman luomisen syytä. Tavoitteiden tulisi olla täsmällisiä, ja niissä tulisi tunnistaa ja käsitellä organisaatiosi heikkouksia, kuten tietojenkalastelua, fyysistä turvallisuutta ja salasanojen turvallisuutta.
2. Yhden ärsykkeen käyttö
Monet organisaatiot tekevät sen yksinkertaisen virheen, että ne keskittyvät vain yhteen tietoverkkotietoisuuden osatekijään, kuten tietojenkalasteluun tai verkko-opiskeluun. Vaikka nämä osa-alueet ovatkin kriittinen osa yrityksen suojaamista, menestyksekkäimmissä tietoverkkotietoisuuskampanjoissa käytetään erilaisia houkuttelevia menetelmiä, joiden avulla työntekijöille opetetaan heidän rooliaan organisaation turvallisuuden ja varmuuden ylläpitämisessä.
3. One and Done -koulutus
Vanson Bournen maailmanlaajuisen tutkimuksen mukaan vain 11 prosenttia organisaatioista kouluttaa työntekijöitä jatkuvasti siitä, miten kyberhyökkäykset havaitaan, ja 52 prosenttia kouluttaa työntekijöitä vain neljännesvuosittain tai kerran vuodessa. Jotta kyberuhkien kehityksessä pysyttäisiin mukana, on tärkeää, että tietoisuuskoulutusta pidetään jatkuvana prosessina, joka olisi aloitettava palvelukseenottoprosessin aikana ja jatkettava koko työsuhteen ajan.
4. Vanhentuneet politiikat
Tehokas tapa valistaa työntekijöitä tietoturvan tärkeydestä on tietoverkkoturvallisuuspolitiikka, jossa selitetään kunkin henkilön vastuu IT-järjestelmien ja tietojen suojaamisesta. Näissä käytännöissä asetetaan käyttäytymisnormit ja hahmotellaan odotukset työntekijöille. Jos esimerkiksi irrotettavien tietovälineiden ja henkilökohtaisesti omistettujen laitteiden käyttöä ei ole määritelty selkeästi, henkilöstö saattaa liittää laitteita yrityksen infrastruktuuriin, mikä voi johtaa haittaohjelmien tuomiseen tai arkaluonteisten tietojen vaarantamiseen. Tehokas käytäntöjen ja menettelyjen hallinta vaatii kuitenkin paljon enemmän kuin pelkän käsikirjan luomisen hyllyyn. Politiikat ja menettelyt ovat eläviä asiakirjoja, joiden pitäisi kasvaa ja mukautua yrityksen mukana. Näin ollen käytäntöjen ajantasaisuuden varmistaminen on olennainen osa tehokasta käytäntöjen hallintaa ja tietoisuutta. Politiikkojen säännöllinen tarkistaminen varmistaa, että ne ovat johdonmukaisia ja tehokkaita ja suojaavat organisaatiota riskeiltä.
5. C-sarjan tuen puute
Yrityksen tietoturvan suojaaminen ei ole vain tietotekniikkatiimin vaan myös toimitusjohtajan tehtävä. Ylhäältä käsin annettu sävy on viime kädessä liikkeellepaneva voima, kun luodaan tietoverkkoturvallisuustietoisuutta lisäävää kulttuuria. Muutoksen aikaansaamiseksi organisaation ylimmän johtoryhmän on otettava tietoverkkoturvallisuus omakseen ja otettava käyttöön oikeat menettelyt ja koulutus, joilla puututaan kaikkiin riskeihin.
6. Menestyksen palkitsematta jättäminen
Valitettavasti organisaatiot voivat jättää huomiotta ne työntekijät, jotka ryhtyvät varotoimiin pysyäkseen turvassa verkossa, ja usein he pitävät sitä vain työhön liittyvänä velvollisuutena. Hakkerointeja ja tietoturvaloukkauksia havaitsevien työntekijöiden palkitseminen palkinnoilla on kuitenkin tehokas tapa motivoida työntekijöitä, kannustaa tiimiäsi ja lisätä tietoisuutta organisaatiossa. Juuri tähän tehokkaan tietoverkkoturvatietoisuuskampanjan pitäisi perustua - sitoutuneisiin työntekijöihin, jotka ottavat vastuun yrityksen turvallisuudesta.
7. Huono tapaturmien raportointikulttuuri
Jos työntekijät ovat epätietoisia raportoinnin seurauksista, he saattavat jättää raportoimatta tai viivyttää tapahtuman ilmoittamista asianmukaiselle henkilölle. Mahdollisesta turvallisuuspoikkeamasta raportoiva työntekijä olisi tunnustettava myönteiseksi tapahtumaksi, jonka ansiosta organisaatio voi ratkaista tapauksen nopeasti. Selkeiden odotusten asettaminen auttaa työntekijöitä ymmärtämään, mihin toimiin on ryhdyttävä mahdollisen vaaratilanteen havaitsemiseksi tai siihen reagoimiseksi.
8. Harvinaiset arvostelut
Jos et arvioi tiedotustoimia, et voi mitenkään tietää, onko tiedotuskampanja todella onnistunut saavuttamaan tavoitteensa. Tämä on olennaisen tärkeää, jotta voidaan paljastaa tietoturvatietoisuutta koskevat virheet ja alueet, joilla teknologiaa ja prosesseja voidaan parantaa. Esimerkiksi tietojenkalastelusimulaatioiden avulla organisaatiot voivat tarkastella, kuinka alttiina niiden yritys on petollisille tietojenkalastelusähköposteille, ja ne auttavat tunnistamaan lisäkoulutusta tarvitsevan henkilöstön. Määrittämällä, mikä toimii ja mikä ei, voit räätälöidä tulevia taktiikoita saatujen kokemusten perusteella.
9. Kiinnostavan sisällön puute
Gartnerin raportin mukaan 70 prosenttia liiketoiminnan muutostöistä epäonnistuu sitoutumisen puutteen vuoksi. Käyttäjien kehottaminen olemaan varovaisempia ja avaamaan viestejä tuntemattomista lähteistä ei yksinkertaisesti riitä suojaamaan käyttäjiä nykypäivän kehittyneiltä uhkilta. Sen sijaan tietoverkkoturvallisuustietoisuuden pitäisi olla sitouttavaa ja informatiivista, jotta henkilöstö ymmärtää, mitä heiltä vaaditaan ja miten tärkeää heidän roolinsa on organisaation arkaluonteisten tietojen suojaamisessa. Tietoturvatietoisuuteen liittyvien virheiden mahdollisuutta voidaan vähentää kampanjajulisteilla, verkko-opetuskursseilla, pelillistämisellä, simuloiduilla phishing-hyökkäyksillä, tietokilpailuilla ja taskuoppailla, joilla voidaan lisätä käyttäjien tietoisuutta ja vaatimustenmukaisuutta houkuttelevalla tavalla.
10. Kohtuuttomat odotukset
Tietoverkkotietoisuutta olisi pidettävä jatkuvana prosessina, joka kehittyy ajan myötä, minkä vuoksi on tärkeää asettaa realistiset odotukset siitä, mitä voidaan saavuttaa. Olisi hienoa, jos tietoturvatietoisuudella voitaisiin estää kaikki vaaratilanteet, mutta se ei yksinkertaisesti ole realistista. Ottamalla käyttöön hybridilähestymistavan tietoverkkotietoisuuteen organisaatiot voivat kuitenkin sitouttaa työntekijät tehokkaasti, kannustaa käyttäytymisen muutokseen ja vähentää kalliiden tietoverkkotietoisuusvirheiden mahdollisuutta.
MetaComplianceon erikoistunut markkinoidenparhaanmahdollisentietoturvatietoisuuskoulutuksenluomiseen. Tuotteemme vastaavat suoraan kyberuhkien ja yritysjohtamisen aiheuttamiin erityishaasteisiin helpottamalla käyttäjien osallistumista kyberturvallisuuteen ja vaatimustenmukaisuuteen.Otayhteyttä tietoturvatietoisuuden asiantuntijoihimme ja kysy lisätietoja siitä, miten voimme auttaa muuttamaan kyberturvallisuuskoulutusta organisaatiossasi ja vähentämään kalliiden kyberturvallisuustietoisuusvirheiden mahdollisuutta.
