Verkkohyökkäykset ovat niin yleisiä, että ne pääsevät säännöllisesti valtakunnallisiin uutisiin. Huijaukset ja tietoverkkorikollisuus ovat lisääntyneet monista syistä. Silti työntekijöiden ja heidän käyttämiensä ohjelmistojen manipulointi ja sosiaalinen manipulointi on tyypillinen lähtökohta näille hyökkäyksille.
Maailmanlaajuisesti organisaatiot pyrkivät rakentamaan turvallisuuskulttuuria torjuakseen inhimillistä tekijää verkkohyökkäyksissä. Mutta jos organisaatiosi on vielä luotava tämä turvallisuusajattelu ja jos uhat ja haavoittuvuudet asettavat yrityksesi yhä useammin vaaraan, sinun on kysyttävä, voiko hyvä kyberturvallisuuskoulutus muuttaa huonoa kyberturvallisuuskulttuuria?
Huonon kyberturvallisuuskulttuurin merkit ja keinot sen korjaamiseksi
Huonossa kyberturvallisuuskulttuurissa on varoitusmerkkejä, joita kannattaa varoa. Alla on lueteltu muutamia ilmeisimpiä niistä sekä joitakin toimia, joilla huonoa kyberturvallisuuskulttuuria voidaan muuttaa käyttämällä hyviä kyberturvallisuuskoulutustekniikoita:
Pelkkää puhetta eikä mitään toimintaa
Turvallisuuskulttuuri leviää ylhäältä alaspäin ja alhaalta ylöspäin. Kaikkia on kannustettava olemaan osa suurempaa kokonaisuutta, joka pyrkii yhteiseen tavoitteeseen, jossa turvallisuus otetaan vakavasti. Kaikkien johtoryhmästä tilapäiseen henkilöstöön asti on ymmärrettävä, mitä tarkoittaa turvallisuuden asettaminen etusijalle ja miten se tarkalleen ottaen tehdään.
Mikään ei muutu, jos organisaatiosi puhuu turvallisuudesta mutta ei tarjoa käytännön keinoja uhkien torjumiseksi. Selittämällä, miten olla turvassa, henkilökunta pystyy reagoimaan oikein, jos tietoverkkohyökkäysyrityksiä, kuten phishing-sähköposteja tai sosiaalista manipulointia, tapahtuu.
Miten puheet muutetaan teoiksi: Jotta puheet muutetaan teoiksi, johdon on toteutettava käytännön toimia turvallisuuspyrkimysten tukemiseksi. Tämä edellyttää myönteistä, jatkuvaa turvallisuuskoulutusta koko organisaatiossa, jolloin henkilöstölle annetaan välineet, joilla se voi auttaa yrityksen turvallisuuspyrkimyksiä.
Syyttämisen, ei turvallisuuden kulttuuri
Syyttely on myrkyllinen ja vahingollinen kulttuuri, joka voi nopeasti syntyä, kun verkkohyökkäyksiä tapahtuu, varsinkin jos niitä tapahtuu jatkuvasti. On helppoa osoittaa sormella ja syyttää henkilöstöä vahingoista, kuten mahdollisesti haitallisen sähköpostin avaamisesta. Mitä enemmän sormella osoitellaan, sitä enemmän yleinen ilmapiiri tietoturvakäyttäytymisen ympärillä kuitenkin pahenee.
Lisäksi tällainen syyllistävä käyttäytyminen on yhtä vahingollista kuin phishing-linkin klikkaaminen, sillä se luo epäluottamuksen ilmapiirin ja ylläpitää huonoa turvallisuuskäyttäytymistä.
Lopeta syyllistäminen avoimella viestinnällä: syntipukki- ja syyllistämispolitiikka ovat hyvän tietoturvakulttuurin vastakohtia. Työskentele sen sijaan luottamuksen rakentamiseksi niin, että jos työntekijä tekee virheen, hän voi huoletta paljastaa sen. Hyvä turvallisuuskulttuuri edellyttää hyvää viestintää. Jos työntekijä ilmoittaa tietotekniikkaosastolle tietoturvavirheestä, kuten arkaluonteisten tietojen tahattomasta luovuttamisesta, tiimi voi toimia nopeammin tietojen paljastumisen vähentämiseksi.
Mittareiden kertoman huomiotta jättäminen
Kun turvallisuuskulttuuri menee pieleen, ongelma näkyy organisaation haavoittuvuusmittareissa: inhimillinen tekijä kyberturvallisuudessa on hyvin tunnustettu, ja järkyttävät tilastot osoittavat, että 82 prosentissa kaikista kyberhyökkäyksistä on mukana inhimillinen tekijä. Inhimillisiä virheitä tapahtuu, kun ihmiset eivät ole tietoisia siitä, miten heidän toimintansa voi johtaa tietovuotoon tai asettaa yrityksen vaaraan. Jos siis huomaat, että mahdolliset tai todelliset tietoturvaloukkaukset ovat lisääntyneet, se voi johtua työntekijöistä ja muista kuin työntekijöistä.
Mittarit ovat ystäväsi: käytä tietoturvatietoisuuskoulutusohjelmien ja simuloitujen phishing-ohjelmien tarjoamia mittareita huolenaiheiden tunnistamiseen. Mittareiden avulla voit räätälöidä koulutusta niin, että se on tehokkaampaa. Lisäksi koulutusta voidaan mukauttaa roolien perusteella, jotta huomio voidaan keskittää tiettyihin haavoittuviin alueisiin.
Toisesta korvasta sisään ja toisesta ulos
Tehoton turvallisuuskulttuuri voi johtaa tehottomaan turvallisuuteen liittyvään oppimiseen. Tylsä, toistuva luokkahuonetyyppinen koulutusmateriaali voi lannistaa työntekijöitä ja vahingoittaa mahdollisuuksia rakentaa vankka turvallisuuskulttuuri.
Aktiivista oppimista tapahtuu, kun ihmiset ovat sitoutuneita ja voivat liittyä materiaaliin tunnetasolla. Jos et esimerkiksi tarjoa kokeiltua ja luotettavaa tietoturvatietoisuuden sisältöä. Tällöin saatat huomata, että tieto menee toisesta korvasta sisään ja toisesta ulos, jolloin työntekijät unohtavat tärkeät oppimiskokemukset ja huono turvallisuuskäyttäytyminen pysyy ennallaan.
Virikkeellinen materiaali tekee ihmeitä: tarjoa virikkeellistä oppimateriaalia, joka sopii työntekijöillesi. Käytä tarvepistekoulutusta, jotta työntekijät oppivat koulutuksessa ja auttavat muuttamaan käyttäytymistä huonosta hyvästä. Mukaansatempaava materiaali jää työntekijöiden mieleen ja rakentaa turvallisuusajattelua, jota tarvitaan turvallisuuskulttuurin vakiinnuttamiseen.
Koulutus ei ole yhteydessä toisiinsa
Kaikenlaiset kulttuurit perustuvat luottamukseen ja viestintään. Huono turvallisuuskulttuuri voi syntyä, jos työntekijät eivät keskustele huolenaiheista tai ongelmista esimiesten kanssa. Ongelma syntyy, kun samat esimiehet tuntevat, etteivät he ole yhteydessä turvallisuuskulttuuriin. Näin voi tapahtua, kun koulutusohjelmissa ei oteta huomioon johtoa tai kun koulutusmateriaalia ei ole räätälöity tiettyjä osastoja ja rooleja varten.
Yhdistä roolit ja osastot:
- Rakenna suhteita ja murra rajoja, kun kehität turvallisuuskoulutusohjelmia suunnittelemalla kampanjoita tiettyjen roolien ympärille.
- Ota kaikki työntekijät mukaan koulutukseen, sillä jokaisella organisaatiossa on oma roolinsa yrityksessä, ja kaikkien on oltava osa turvallisuuskulttuuria.
- Käytä koulutusmateriaalia, joka kehittää johdon ja työntekijöiden välisiä yhteyksiä yhteistoiminnallisten koulutustapahtumien, kuten pakohuonetyyppisten pelien, avulla.
Osallistumisen puute
Kulttuurit kukoistavat, kun kaikki osallistuvat niihin. Ihmiset ovat sosiaalisia, ja prososiaalinen käyttäytyminen on osa vakaiden ja yhteistyökykyisten yhteisöjen rakentamista. Jos et ota kaikkia mukaan turvallisuustietoisuuskoulutukseen, muodostuu ryhmittymiä, joiden turvallisuuskäyttäytyminen on huonompaa kuin koulutuksen läpikäyneiden. Joidenkin osallistumattomuus vaikuttaa yhtenäisen turvallisuuskulttuurin ja -yhteisön kehittymiseen.
Kuuntele ja opi: henkilöstön kuunteleminen voi auttaa kehittämään yhteisöllisyyttä ja luottamusta. Pidä avoimia ovia, jotta voit luoda yhteyksiä, jotka johtavat parempiin turvallisuusreaktioihin. Kuuntele ja opi: ota työntekijät mukaan tietoturvatietoisuuskoulutukseen käyttämällä aloitteita, kuten vuosittaista tietoverkkoturvallisuustietoisuusviikkoa. Hyvät kuuntelutaidot ovat erinomainen sitouttamisstrategia. Se auttaa myös kehittämään yhteisöllisyyttä, joka on elintärkeää vankan ja tehokkaan turvallisuuskulttuurin kehittämiseksi.
Olet varmasti kuullut sananlaskun: "Yhdessä seisomme, jaettuna kaadumme." On olemassa sananlasku, jonka olet epäilemättä kuullut. Tämä sanonta kiteyttää sen, miten tärkeää on työskennellä yhdessä yhteisen tavoitteen saavuttamiseksi; näin tehdessä "kokonaisuudesta tulee suurempi kuin osiensa summa". Turvallisuustietoisuuskoulutukseen olisi otettava mukaan koko organisaatioyhteisö ja rakennettava siltoja yhteisten kokemusten ja huolenaiheiden pohjalta. Tarjoamalla miellyttävän, mukaansatempaavan ja informatiivisen tietoturvatietoisuuskoulutusohjelman yrityksesi voi luoda vaikeasti saavutettavan mutta elintärkeän turvallisuuskulttuurin.