Sitoutuminen on ratkaisevan tärkeää, kun halutaan kehittää parempaa turvallisuuskäyttäytymistä, mutta miten saadaan työntekijät kiinnostumaan turvallisuudesta? Turvallisuustietoisuuskoulutus toimii parhaiten, jos organisaatio saa aikaan samanlaisen sitoutumisen kuin silloin, kun ihmiset puhuvat suosikkiohjelmastaan tai jalkapallojoukkueestaan.
Työntekijöiden sitoutuminen tietoturvaan on entistä tärkeämpää tietojen suojaamiseksi. Seuraavassa on lisätietoja tietoturvaan sitoutumisesta, sen suhteesta tietoturvatietoisuuskoulutukseen, siitä, miten henkilöstöä voidaan kannustaa käyttämään kiinnostavaa tietoturvasisältöä, ja siitä, miten myönteinen sitoutuminen rakentaa turvallisuuskulttuuria.
Turvallisuuteen sitoutuminen vs. turvallisuustietoisuus
Turvallisuustietoisuuskoulutuksen avulla koulutetaan työntekijöitä huijareiden ja verkkorikollisten erilaisista taktiikoista ja tekniikoista. Tietoisuuskoulutuksessa käytetään monia tekniikoita työntekijöiden kouluttamiseen koko työpaikalla. Tietoturvatietoisuuskoulutusohjelma koostuu useista osatekijöistä. Näitä moduuleja ovat mm:
- eLearning-paketit: verkkokoulutusta, jossa työntekijöille annetaan koulutusta tietyistä huijauksista ja hyökkäyksistä.
- Simuloidut phishing-harjoitukset: työntekijöille lähetetään väärennettyjä phishing-viestejä, jotka tyypillisesti toimitetaan pilvipohjaisen alustan kautta, jotta he oppisivat huomaamaan phishing-temput.
- Bitesize-tietokilpailut ja -videot: lyhyet, usein pelilliset tietokilpailut, joiden avulla voidaan arvioida työntekijän ymmärrystä.
- Koulutustapahtumat: koulutusta niinkin erilaisista aiheista kuin salasanojen turvallisuus ja tietosuojaan liittyvät odotukset.
Turvallisuustietoisuuskoulutus on kattava yritys varmistaa, että henkilöstö on perillä tietoturvasta ja huijauksista. Jos koulutus ei kuitenkaan koske yksilötasolla, se ei todennäköisesti ole tehokasta. Sitoutuminen tapahtuu, kun viestintä on sujuvaa ja ymmärrettävää. Toisin sanoen samat sosiaaliset vuorovaikutussuhteet, jotka edistävät vahvoja ihmissuhteita, edistävät myös oppimista. Erilaisia sitouttamistekniikoita käytetään tietoturvatietoisuuskoulutuksen ohella oppimisen vakiinnuttamiseksi; sitouttaminen on olennainen osa tehokasta tietoturvatietoisuuskoulutusta.
Askeleet kyberturvallisuuteen sitoutumisen edistämiseksi
Turvallisuuteen sitoutuminen tapahtuu, kun henkilö tuntee yhteyden koulutusohjelmaan. On olemassa muutamia keskeisiä periaatteita, jotka pitävät työntekijät sitoutuneina turvallisuustietoisuuskoulutuksen aikana:
Ylhäältä alaspäin suuntautuva sitoutuminen
Ihmiset tuntevat yhteenkuuluvuutta, kun kaikki ovat mukana. Johtavilla työntekijöillä on yleensä vaikutusvaltainen ääni organisaatiossa, mikä voi auttaa sitouttamaan muita. Varmista, että koko henkilöstö, myös johtotason työntekijät, osallistuvat turvallisuustietoisuuskoulutukseen ja ymmärtävät sen tarkoituksen. Kannusta ylempiä toimihenkilöitä sitouttamaan muuta henkilöstöä koulutustilaisuuksissa tai edistämään tietoverkkoturvallisuutta koskevan koulutuksen myönteisiä tuloksia.
Viestintä
Selkeällä viestinnällä lujitetaan suhteita ja rakennetaan sitoutumista. Kommunikoi hyvin vaikuttaaksesi henkilöstöösi. Keskustele henkilöstön kanssa heidän roolistaan yrityksessä ja siitä, mitä heidän tyypillinen työpäivänsä sisältää. Missä ovat painekohdat? Mitä turvallisuustietämystä he kokevat puuttuvan? Tällaisen palautteen kerääminen voi auttaa sinua räätälöimään koulutusta paremmin ja luomaan kiinnostavia ja ymmärrettäviä moduuleja.
Tee turvallisuuskoulutuksesta ymmärrettävää turvallisuuteen sitoutumisen avulla
Turhalta tuntuvan harjoittelun pakottaminen ei ole hyvä asia. Työntekijöillä on taipumus kapinoida, jos he luulevat, että heidän työaikansa menee hukkaan: merkityksellisyys lisää sitoutumista, joten tee turvallisuuskoulutuksestasi helposti lähestyttävää.
Tee turvallisuuskoulutuksesta hauskaa
Hauskanpitäjä pysyy mukana pidempään, ja ihmiset oppivat parhaiten, kun he ovat iloisia ja positiivisia. Tämän seurauksena monet turvallisuuskoulutuspalvelut tarjoavat nykyään pelillisiä turvallisuuskoulutusharjoituksia. Tämä luo iloisen ja hauskan ympäristön, jossa opitut asiat jäävät ihmisten mieleen.
Poista pelko
Ciscon vuonna 2022 julkaisemassa uhkatrendien raportissa todettiin, että 86 prosentissa organisaatioista ainakin yksi henkilö klikkaa phishing-linkkiä. Tätä epävarmaa käyttäytymistä on vaikea muuttaa, eikä pelon lietsominen riitä muutoksen aikaansaamiseksi. Pelon sijaan ota työntekijät mukaan tietoturvaa koskeviin päätöksiin ottamalla heidät mukaan tietoturvakäytäntöjen kehittämiseen. Kysy työntekijöiltä heidän näkemyksensä tietoturvakontrolleista, ennen kuin vaadit niiden käyttöä. Turvallisuusongelmia syntyy usein silloin, kun ihmiset kiertävät huonosti mietittyjä sääntöjä tai kun heidän normaaleja työskentelytapojaan häiritseviä sääntöjä pannaan täytäntöön. Ymmärrä yhdessä henkilöstön kanssa, mikä on paras tapa päättää turvatarkastuksista ja panna ne täytäntöön.
Porkkana, ei keppi
Kannustetaan ja palkitaan henkilöstöä, kun heidän kanssaan työskennellään turvallisuuskoulutuksessa. Negatiivinen vahvistaminen onnistuu harvoin. Ihmiset työskentelevät parhaiten, kun heitä kannustetaan positiivisella palautteella ja palkitsemalla myönteisestä käyttäytymisestä. On monia tapoja tehdä turvallisuustietoisuuteen liittyvästä haasteesta palkitseva. Ideoita ovat esimerkiksi pienet palkinnot, kuten kahvi- ja kakkupalkinto parhaiten simuloidusta phishing-tuloksesta. Myös Cyber Security Awareness Month -tapahtuma järjestetään joka lokakuu, ja siinä annetaan usein vinkkejä siitä, miten työntekijät saadaan sitoutettua käyttämällä porkkanoita keppien sijaan.
Jatka sitoutumista
Tietoturvatietoisuus, kuten mikä tahansa muukin koulutus, voi ajan myötä kadota. Siksi tietoturvatietoisuuteen sitoutumisessa on käytettävä jatkuvan panostuksen periaatetta: henkilöstön kanssa on järjestettävä säännöllisiä koulutustilaisuuksia, jotta he pysyvät ajan tasalla uusimmista verkkouhista, ja heidän on pysyttävä sitoutuneina muiden luettelossa mainittujen tekniikoiden avulla.
Miten tietoturvaan sitoutuminen muuttaa työntekijöiden tietoturvatietoisuuskoulutusta?
Luokkahuonepohjaisen, innostamattoman turvallisuuskoulutuksen aikakausi on jo kauan sitten ohi. Sen sijaan uuden sukupolven turvallisuuskoulutuksessa on kyse turvallisuuteen sitoutumisesta. Työntekijöiden sitouttaminen ja innostaminen turvallisuustietoisuutta käsittelevissä koulutustilaisuuksissa johtaa keskittyneeseen huomioon ja parempiin tuloksiin. Tämä huomio helpottaa parempia oppimisolosuhteita ja edistää henkilöstön myönteistä turvallisuuskäyttäytymistä.
Yksi tapa, jolla tätä myönteistä käyttäytymistä voidaan edistää, on uhkatietoisuuskoulutus. Esimerkiksi simuloidut phishing-alustat auttavat pitämään tietoisuuden ihmisten mielissä. Simuloitu phishing on vuorovaikutteista, ja kehittyneet simuloidut phishing-alustat mahdollistavat pitkälle menevän personoinnin. Väärennettyjen phishing-viestien räätälöinti tekee koulutuksesta helpommin lähestyttävää ja mieleenpainuvampaa. Edistyneet alustat mahdollistavat räätälöinnin vastaamaan työntekijöiden rooleja, osastokohtaisia erityispiirteitä ja äidinkieltä. Phishing-simulaatiosähköpostit mukautuvat myös yksilön tietoturvatason mukaan, kun hän oppii huomaamaan phishing-hyökkäyksen entistä paremmin.
Toinen tärkeä osa sitouttamista on se, että työntekijät otetaan mukaan yrityksen ja sen tietojen suojaamiseen tähtäävään kokonaisvaltaiseen lähestymistapaan. Kun työntekijät otetaan mukaan turvastrategian kaikkiin osa-alueisiin aina toimintatapojen luomisesta turvallisuuskoulutukseen ja vaaratilanteiden raportointiin, on todennäköisempää, että saat kehitettyä tärkeän turvallisuuskulttuurin.
Turvallisuuteen sitoutuminen johtaa myös parempiin tuloksiin, jotka voidaan mitata ja todistaa turvallisuustietoisuuden mittareiden avulla.
Kyberturvallisuuskulttuurin vaaliminen
Sitoutunut yleisö on aktiivinen yleisö. Työntekijät, jotka ovat osa organisaation laajempaa kyberturvallisuuskulttuuria, käyttävät todennäköisemmin myönteistä turvallisuuskäyttäytymistä. Tämä johtuu siitä, että kulttuuriset odotukset kannustavat ja synnyttävät konformismia ja käyttäytymisnormeja. Tehokkaan tietoturvasitoumuksen avulla organisaatiosi rakentaa vankan kulttuurin, jossa turvallisuus on etusijalla. Tuloksena on pienemmät kyberriskit ja parempi työmoraali.