Seuraavassa on muutamia tapoja, joilla voit kuvata tietoturvatietoisuuden koulutusohjelmasi toimenpidekohtaisesti.
Kun jostakin asiasta tehdään mittaus, se antaa meille tietoa. Olipa kyse sitten merkkijonon pituudesta tai siitä, että työntekijän käyttäytyminen on muuttunut, kun hän on kohdannut phishing-sähköpostin, nämä tiedot antavat meille tärkeää tietoa tehtävästä tai hankkeesta.
Turvallisuustietoisuuskoulutusohjelman (SAT) onnistumista tai epäonnistumista voidaan mitata useammalla kuin yhdellä tavalla, ja näin ollen se antaa tärkeää tietoa koulutuksen tehokkuudesta. Näiden mittausten optimointi edellyttää kuitenkin monialaista tiimiä, jolla on näkemystä.
Miksi mitata tietoturvatietoisuuden koulutusohjelman tehokkuutta?
Gartner Inc:n hiljattain julkaisemassa asiakirjassa "Take 3 Steps to Prove That Your Security Awareness Program Is Actually Working" (Ota 3 askelta todistaaksesi, että tietoturvatietoisuusohjelmasi todella toimii) esitetään miksi ja miten SAT-ohjelmaa mitattaessa. Turvallisuus- ja riskipäälliköille kirjoitetussa asiakirjassa yksilöidään kolme keskeistä syytä, miksi tietoturvatietoisuuskoulutuksen mittaaminen on tärkeää:
- Jos et pysty osoittamaan, että kyberriskit ovat vähentyneet ohjelman avulla, et saa C-tason suostumusta tietoturvatietoisuuskoulutuksen jatkamiseen.
- Turvallisuustietoisuuskoulutusta annetaan usein organisaatiossa ilman selkeää näkemystä siitä, mitä sillä pyritään saavuttamaan. Tämä johtaa siihen, että ohjelmalla ei saada aikaan sellaisia käyttäytymismuutoksia, joita tarvitaan tietoverkkoriskien vähentämiseksi.
- Turvallisuustietoisuuskoulutuksen onnistumisen mittaaminen ei voi perustua yksittäisiin muuttujiin. Näihin ohjelmiin sisältyy monia tekijöitä, ja ne on otettava huomioon, jotta SAT-ohjelman todellinen vaikutus voidaan osoittaa.
Yksi asiakirjan pääkohdista on, että turvallisuustietoisuusohjelman perustana on oltava selkeä visio. Ilman selkeää visiota siitä, mitä halutaan saavuttaa, mittaukset ovat merkityksettömiä. Toisin sanoen mittaukset ovat tehokkaampia, jos niillä on lähtökohta, johon niitä voidaan verrata. Tämän vision on kuitenkin oltava suoraan yhteydessä liiketoiminnan tuloksiin. Yksi tapa luoda tämä lähtötaso on käyttää monialaista lähestymistapaa eli tuoda yhteen organisaatiorajat ylittäviä tiimejä, jotta ne voivat pohtia, mikä on tärkeää kyberriskien vähentämisessä.
Tämä lähestymistapa on jatkuva harjoitus ja paras käytäntö, sillä verkkohyökkäykset aiheuttavat jatkuvaa tuhoa kaikilla teollisuudenaloilla. Liiketoimintaa ja toimintaa koskevat päätökset ovat nyt kiinteästi sidoksissa turvallisuuteen. Covid-19-pandemia ja kotoa käsin työskentelyä koskevat määräykset ovat osoittaneet tämän asian, sillä kotityöskentelyn turvallisuusriski on kasvanut; kotona työskentelevät työntekijät tarjoavat tietoverkkorikollisille enemmän mahdollisuuksia hyökätä yrityksen verkkoon sen työntekijöiden kautta.
Visio tarvitsee kuitenkin todistettavissa olevia toimenpiteitä, joilla osoitetaan, että se täyttää tehtävänsä. Ohjelman etenemisen osoittaminen C-tasolle tai johtokunnalle vaatii kovia faktoja. Tässä kohtaa mittaaminen tulee kuvaan mukaan.
Kolme tapaa mitata tietoturvatietoisuuden koulutusohjelman onnistumista
Gartnerin julkaisussa mainitaan kolme keskeistä asiaa, jotka todistavat, että tietoturvatietoisuusohjelma toimii. Nämä kolme osa-aluetta voidaan jaotella seuraavasti:
Luo
Luo turvallisuuskulttuuriin perustuva visiolauselma: mitä organisaatiosi tarvitsee turvallisuustietoisuusohjelmalta? Millaisia turvallisuuskäyttäytymismalleja haluatte työntekijöiden turvallisuusasioita koskevan koulutuksen tuloksena?
Capture
Turvallisuuskäyttäytymisen mittarit: Luo tietoturvatietoisuuden mittareita, jotka osoittavat mielekkään ja myönteisen turvallisuuskäyttäytymisen muutoksen. Nämä mittarit voivat olla esimerkiksi kyselytutkimuksista ja phishing-simulaatioista saatavia perinteisiä tietoturvatietoisuuden mittareita.
Osoita
Riskin vähentämisen osoittaminen: osoitetaan Cx-tiimille, että tietoturvakäyttäytymisessä on tapahtunut seurattavissa olevia muutoksia, jotka liittyvät olennaisiin tuloksiin kyberriskille altistumisen vähentymisenä.
Mittareiden ja käyttäytymismuutosten tallentaminen
Turvallisuusnäkemys on keskeinen tekijä, jonka ympärille mittarit ja käyttäytymistä koskevat todisteet kootaan. Tämä visio muodostaa sitten todistusaineiston, jota tarvitaan osoittamaan Cx-tiimille, että turvallisuustietoisuuskoulutus toimii. Turvallisuusmittareita voidaan mitata monin eri tavoin, ja MetaCompliance on käsitellyt tietoturvatietoisuuskoulutuksen mittaamista aiemmassa blogikirjoituksessa.
Mittaaminen tuottaa mitattavissa olevaa tietoa, joka on perustana sijoitetun pääoman tuoton (ROI) arvioinnille. Pelkkä ROI-yhtälö ei kuitenkaan kuvaa hyvin kehitetyn tietoturvatietoisuusohjelman myönteistä, jatkuvaa vaikutusta. Organisaation keskeistä turvallisuusnäkemystä on kartoitettava, jotta voidaan validoida lopputulokset, joiden avulla organisaation yleinen kyberriski vähenee. Tämä visio turvallisesta organisaatiosta on kartoitettava turvallisuusajatteluun ja siihen liittyvään käyttäytymisen muutokseen.
Mittaamisen helpottamiseksi Gartnerin julkaisussa puhutaan "allekirjoituskäyttäytymisestä", jota se kuvaa seuraavasti: "allekirjoituskäyttäytyminen on sellaista, joka kuvastaa selvästi loppukäyttäjien myönteistä aikomusta ja tukea turvallisuustietoisuuden vision toteuttamiselle."
Gartner kartoittaa joitakin esimerkkejä toivotuista turvallisuuskäytännöistä ja turvallisuuteen liittyvistä käyttäytymismalleista:
Harjoittele: Kaikki loppukäyttäjät käyttävät vahvoja salasanoja
Käyttäytyminen: Käytämme aina salasanoja, joita käytämme työtileillemme pääsemiseen.
Harjoittele: Tarkista linkit ennen kuin napsautat niitä
Käyttäytyminen: Olemme valppaina ja ilmoitamme epäilyttävistä sähköpostiviesteistä IT-palvelutiskille.
Osana turvallisuusvisioasi kehitä yhdessä monialaisen tiimisi kanssa joukko tunnusomaisia käyttäytymistapoja, joita voidaan käyttää todisteena tietoturvatietoisuuskoulutusohjelman onnistumisesta.
Paremman turvallisuuden avulla todisteeksi pudingista
Viime kädessä yritys haluaa nähdä, että sen investoinnit tietoturvatietoisuusohjelmaan heijastuvat pienentyneinä mahdollisuuksina, että sen tietoihin kohdistuu tietoturvaloukkauksia. Arvioimalla allekirjoituskäyttäytymistä uhkatyyppien perusteella organisaatio voi rikastuttaa yksinkertaista ROI-yhtälöä lisäarvolla.
Turvallisuuskoulutuksen todisteena on vanukas. Hyvin suunniteltu ja tehokas tietoturvatietoisuuskoulutusohjelma vähentää ajan mittaan verkkohyökkäyksiä. Kaikki alkaa kuitenkin vahvasta visiosta.