Gartner Inc. ennustaa, että vuoden 2021 loppuun mennessä tietoturvan ja riskienhallinnan menot nousevat todennäköisesti 150,4 miljardiin dollariin. CISO:n (Chief Information Security Officer) työ ei ole koskaan ollut tärkeämpää, ja sen varmistaminen, että budjetti käytetään hyvin, on tärkeä osa kyberturvallisuuden hallintaa ja riskien valvontaa. Tietoturvakoulutus on osa-alue, joka auttaa vähentämään hyökkäyksiä, joilla pyritään manipuloimaan työntekijöitä. Tätä tukee McKinseyn raportti, jossa hahmotellaan seitsemän toiminta-aluetta, joista toinen on etulinjan henkilöstön osallistuminen ja tietoturvatietoisuuskoulutuksen järjestäminen. Koska tietoverkkouhkien torjunnassa keskitytään inhimilliseen tekijään, CISO käyttää usein määrärahoja tietoturvatietoisuuskoulutukseen.
Koulutusohjelman tehokkuuden varmistaminen edellyttää kuitenkin järkevää strategiaa. Seuraavassa on kuusi askelta turvallisuustietoisuuden onnistumiseen, joilla varmistetaan, että budjetti on käytetty hyvin.
Kuusi vaihetta turvallisuustietoisuuden onnistumisen maksimoimiseksi
Verkkohyökkäyksen inhimillinen tekijä on nykyään vakiintunut, sillä tutkimusten mukaan noin 85 prosentissa kaikista hyökkäyksistä on mukana ihminen, joka on huijattu (tai muuten huijattu) painamaan hyökkäyspainiketta. Turvallisuustietoisuuskoulutus on yksi hyväksytyistä menetelmistä, joita käytetään ihmislähtöisten verkkohyökkäysten onnistumisen estämiseksi. Tietoturvatietoisuusohjelmiin odotetaankin käytettävän 10 miljardia dollaria vuoteen 2027 mennessä. Alla olevat kuusi vaihetta voivat auttaa sinua laatimaan onnistumissuunnitelman, jolla varmistat, että budjetti käytetään hyvin.
Vaihe 1: Hanki hyväksyntä koko C-suite- ja johtoryhmässä.
On sanomattakin selvää, että jos haluat saada aikaan muutoksia, sinun on saatava oikeiden ihmisten tuki. Turvallisuus on kaikkien ongelma, myös johtokunnan tasolla. Ylhäältä tuleva myönteinen sävy auttaa muuttamaan suhtautumista turvallisuuteen, mikä sitten heijastuu koko organisaatioon. CISO:lla on valta asettaa käyttöön työkaluja ja prosesseja, joilla liiketoiminnasta saadaan turvallisempaa, kun C-tason ja hallituksen jäsenet ovat antaneet hyväksyntänsä. C-tason tuki tarjoaa selkärangan, jota tarvitaan turvallisuuskulttuurin rakentamiseen tietoturvatietoisuuskoulutuspaketin avulla.
MetaCompliance-vinkki: Monet tietosuojasäännökset ja -standardit edellyttävät nykyään tietoturvatietoisuusohjelmaa. Hyödynnä näitä vaatimuksia tietoturvatietoisuusohjelman käyttöönoton tarpeellisuuden hyödyntämiseksi.
Vaihe 2: Aloita aivan alusta
Tunne turvallisuustarpeesi arvioimalla uhkakuva, erityisesti oman alasi osalta. Tämä ymmärrys on tehokkaan turvallisuustietoisuusohjelman perusta. Kun tiedät, minkä tyyppisiin uhkiin alasi tai yrityksesi todennäköisesti törmää, voit räätälöidä turvallisuustietoisuuskoulutusohjelman tehokkaammin. Esimerkiksi mitä pilvisovelluksia organisaatiosi käyttää? Minkä tyyppiset uhat ovat suurimmassa vaarassa? Tarjoatteko joustavaa työskentelyä ja onko teillä etätyöntekijöitä? Onko salasanojen jakaminen henkilöstönne keskuudessa ongelma?
Myös sääntelyn noudattamista koskevat tarpeet voivat olla alakohtaisia: esimerkiksi henkilökuntasi saattaa työskennellä suurten määrien erittäin arkaluonteisten tietojen kanssa, joiden on oltava DPA2018-vaatimusten mukaisia. Kun kehität räätälöityä tiedotusohjelmaa, muista sisällyttää siihen tietosuojasäännöksiä koskevia yksityiskohtia.
MetaCompliance-vinkki: Politiikkasi ja menettelytapojesi tulisi vastata tietoisuuskoulutusta. Näin tietoturvatietoisuuskoulutusta voidaan käyttää tietoturvaprosessien noudattamisen valvomisessa.
Vaihe 3: Tee siitä todellista (ja viihdyttävää).
Tietoturvakoulutuksen tulisi olla käytännönläheistä ja ihmiskeskeistä. Jotta koulutus onnistuisi, ohjelman on oltava sopusoinnussa yleisönsä kanssa. Tämä voidaan toteuttaa monin eri tavoin, eivätkä kaikki tietoturvatietoisuusohjelmat ole samanlaisia. Parhaat tarjoavat vuorovaikutteista ja mukaansatempaavaa sisältöä, jota työntekijät pitävät kiinnostavana. Jos pystyt pitämään yksilön mielenkiinnon yllä, rohkaiset todennäköisemmin aktiiviseen oppimiseen, joka tarttuu.
Jotta voit kehittää ohjelman, joka toimii hyvin ihmiskeskeisten kyberuhkien lieventämiseksi, käsiteltävien aiheiden on heijastettava niitä uhkatyyppejä, joita organisaatiosi kokee tai tulee kokemaan. Tyypillisiä käsiteltäviä aiheita ovat mm:
- Salasanahygienia
- Sähköpostihuijaukset
- Haittaohjelmat ja irrotettavat tietovälineet
- Turvallisuus internetissä
- Sosiaalinen media: yksityisyys ja turvallisuus
- vaatimustenmukaisuus ja säädökset sekä niiden vaikutus työntekijöihin
Phishing-simulaatioharjoitukset ovat erinomainen tapa opettaa työntekijöille phishing-sähköpostien vaaroja luovalla ja mukaansatempaavalla tavalla. Lisää niistä vaiheessa 4...
MetaCompliance-vinkki: Mitä tahansa turvallisuustietoisuusohjelma sisältääkin, sen sisällön on oltava vuorovaikutteista ja mukaansatempaavaa.
Vaihe 4: Kuinka havaita phish
Hakkerien maailmassa tapahtuu juuri phish. Phishingistä on tullut vuosien mittaan hyökkäysmenetelmä, ja sen kehittyneisyys on pelin nimi. Phishing-kampanjat ovat iso bisnes, ja phishing-as-a-service -palvelun kaltaiset mallit tarjoavat hakkereille kaikkialla maailmassa välineitä, joiden avulla he voivat varastaa tunnistetietoja ja tietoja sekä saastuttaa verkkoja haittaohjelmilla, kuten lunnasohjelmilla. Henkilöstön opettaminen tunnistamaan phishing-sähköpostit on siis olennainen keino turvallisuustietoisuuden lisäämiseksi.
Phishing-simulaatioratkaisut ovat tärkeä väline CISO:n tietoisuutta lisäävässä koulutuksessa. Phishing-simulaatioiden avulla organisaatio voi automatisoida phishing-koulutuksen ja kouluttaa käyttäjiä huomaamaan phishing-kampanjoiden paljastavat merkit.
MetaCompliance-vinkki: Käytä phishing-simulaatioharjoituksia osana laajempaa tietoturvatietoisuusohjelmaa ja suunnittele ne siten, että ne heijastavat alaanne kohdistuvia phishing-uhkia.
Vaihe 5: Mittaa, mittaa, mittaa
On tärkeää ymmärtää turvallisuustietoisuusohjelman vaikutus ja tehokkuus. Turvallisuustietoisuuskoulutustapahtumat tuottavat usein mittareita, jotka osoittavat, kuinka tehokkaita ne ovat olleet. Esimerkkejä koulutusmittareista, jotka voivat antaa käsityksen ohjelman tehokkuudesta, ovat:
Kyselyt (laadulliset): Kyselylomakkeet, joilla selvitetään, miten harjoittelijat ymmärtävät ohjelman ja sen toteuttamisen.
Phishing-simulaation tulokset (määrälliset): Esimerkiksi kuinka moni käyttäjä napsautti phishing-linkkejä ja kuinka moni ilmoitti yritykselle phishing-sähköpostin vastaanottamisesta.
Raportointimittarit (määrälliset ja laadulliset): Kuinka moni käyttäjä raportoi koulutuksessa havaituista turvallisuusongelmista?
Mittarit voidaan visualisoida, jotta osallistujat ja johto saavat palautteen yhdellä silmäyksellä.
MetaCompliance-vinkki: Sen lisäksi, että käytät mittareita koulutusohjelmien mukauttamiseen, käytä mittareita myös turvallisuuskäytäntöjen kartoittamiseen ja niiden mukauttamiseen koulutuksen aikana havaittujen ongelmakohtien huomioon ottamiseksi.
Vaihe 6: Mukauta ja päivitä
Käytä tietoturvatietoisuustehtävien ja -tapahtumien mittareita tietoisuuskampanjan tulevien toistojen toteuttamisen mukauttamiseen. Vaiheessa 5 kerätyt mittarit auttavat tarjoamaan tehokkaampaa koulutusta. Ohjelman vastuuhenkilöiden on kuitenkin pidettävä säännöllisiä kokouksia varmistaakseen, että koulutusohjelmat heijastavat yritysten kyberturvallisuushaasteiden todellisuutta, sillä kyberturvallisuusuhat eivät ole staattisia tapahtumia. Kun tietoturvamaisema muuttuu, kun uusia työntekijöitä tulee palvelukseen ja kun organisaatiossa otetaan käyttöön uutta teknologiaa, tietoturvatietoisuuskoulutuksen on sopeuduttava vastaamaan näitä muutoksia.
MetaCompliance-vinkki: Sekoita eri tapoja kouluttaa henkilöstöä. Käytä erilaisia vaihtoehtoja, kuten pelejä, phishing-simulaatioita, julisteita ja uutiskirjeitä, ja mukauta niitä osaston ja tietoturvatietoisuuden tarpeiden mukaan ajan myötä. Ota koko organisaation osastot mukaan ohjelmien suunnitteluun ja kehittämiseen.
