Vuonna 2022 yritysmaailma joutui edelleen käsittelemään lunnasohjelmien, huijausten ja tietomurtojen hyökkäyksiä. Hyökkäysten kohteeksi eivät joutuneet kuitenkaan vain korkean profiilin yritykset, vaan kyberhyökkäysten uhreiksi joutuivat myös terveydenhuolto, koulutus, julkishallinto ja pienyritykset.
Kansallisen tilastokeskuksen (ONS) vuoden 2022 raportissa todettiin, että petosrikosten määrä kasvaa 25 prosenttia (4,5 miljoonaan) maaliskuussa 2022 päättyvänä vuonna verrattuna maaliskuussa 2020 päättyvään vuoteen. Vuonna 2022 tietojenkalasteluhyökkäykset olivat edelleen yleisin brittiläisiin yrityksiin kohdistuva uhka, sillä 83 prosenttia hyökkäyksistä perustui tietojenkalasteluhyökkäyksiin.
Uusi vuosi tuo kuitenkin uutta toivoa ja uusia ideoita.
Turvallisuustietoisuuskoulutus on edelleen ensisijaisen tärkeää yrityksille, jotka haluavat torjua petoksia, huijauksia ja muita verkkouhkia. Mutta miten organisaatiosi voi parantaa tietoturvatietoisuuskoulutustaan vuonna 2023?
Seuraavassa on viisi ideaa, joiden avulla organisaatiosi voi valmistautua turvallisuuteen vuonna 2023.
Ole positiivinen, ole turvallinen
Verkkorikolliset, erityisesti ne, jotka käyttävät sosiaalista manipulointia ja phishingiä, luottavat huonoon turvallisuuskäyttäytymiseen saadakseen huijauksensa toimimaan. Hyvässä kyberturvallisuuskoulutuksessa on kyse kielteisen turvallisuuskäyttäytymisen muuttamisesta myönteisemmäksi. Käyttäytymismallien muuttaminen vaatii kuitenkin työtä.
Käyttäytyminen, kuten klikkaamisen halu, on opittu malli, ja syvään juurtuneiden toimintatapojen muuttaminen vaatii yhteisiä ponnisteluja, joihin sisältyy strategioita, kuten simuloituja phishing-kampanjoita. Paranna tietoturvatietoisuuskoulutuksen sisältöä todistettuihin strategioihin perustuvilla kampanjoilla, kuten vuorovaikutteisella oppimisella, joka muuttaa huonot käyttäytymistottumukset myönteisiksi toimiksi. Vuorovaikutteinen oppiminen ja mukaansatempaava sisältö lisäävät työntekijöiden sitoutumista ja auttavat organisaatiotasi kasvattamaan myönteistä turvallisuuskulttuuria.
Pidä se merkityksellisenä ja kiinnostavana
Tietoturva-alan elin ISACA tutki, miten tietoturvatietoisuuskoulutusta voitaisiin parantaa. Tutkimukseen osallistui yli 5000 organisaatiota eri puolilta maailmaa. Tutkimuksessa saatiin selviä todisteita siitä, että tehokas tietoturvatietoisuuskoulutus edellyttää oikeanlaista, kiinnostavaa ja merkityksellistä sisältöä.
ISACA:n havaintoihin sisältyi myös se, että tietoa olisi annettava pieninä paloina ensimmäisen istunnon jälkeen ja säännöllisin väliajoin oppimisen vahvistamiseksi. Myös tiedon tyypillä on merkitystä. Todellisista tapaustutkimuksista oli apua tiedon vakiinnuttamisessa ja hyvän turvallisuuskäyttäytymisen merkityksen vahvistamisessa.
Tutkijat totesivat, että sisällön on oltava "asiaankuuluvaa, liityttävä teoriaan ja käytäntöön ja kerrottava tarina". Käytä tietoturvatietoisuuskoulutusmateriaalia, kuten lyhyitä selittäviä videoita ja phishing-simulaatioharjoituksia, sitouttaaksesi työntekijät ja tehdessäsi sisällöstä ymmärrettävää ja merkityksellistä.
Palkitse menestyksestä, äläkä pelaa syyttelypeliä.
Kukaan ei pidä syyttelystä, ja tietoturvatietoisuuskoulutuksessa olisi vältettävä syyttelyä, kun työntekijöitä koulutetaan. Ongelmana syyllistämisessä on se, että se voi saada ihmiset menettämään luottamuksensa, mikä johtaa vielä pahempiin onnettomuuksiin.
Vankan kyberturvallisuuden kehittäminen vie aikaa, ja se perustuu moniin organisaation IT-järjestelmiin, ihmisiin ja prosesseihin liittyviin tekijöihin. Älä syytä työntekijöitä tietoturvavirheistä, teknologian muuttumisesta ja kyberrikollisten tekniikoiden muuttumisesta; käytä sen sijaan huonoa tietoturvakäyttäytymistä tekosyynä muuttaa käyttäytymistä ja oppia virheistä.
Kehittyneiden tietoturvatietoisuuskoulutusohjelmien avulla järjestetään harjoituksen aikana interaktiivisia koulutustilaisuuksia, joissa työntekijöille näytetään, missä he menivät pieleen ja miten varmistetaan, etteivät he toista samaa käytöstä.
Palkitse myös onnistumisesta sen sijaan, että käytät syyttelyä häpäisemiseen. Jos työntekijät suoriutuvat koulutustilaisuuksista hyvin, tarjoa heille pieniä palkkioita ja kannusta heitä hyvään käytökseen.
Toimintakelpoisten tietojen tuottaminen
Mittarit tarjoavat elintärkeän käsityksen tietoturvatietoisuuskoulutusmoduulin tehokkuudesta; jotkin kehittyneet järjestelmät tarjoavat erittäin yksityiskohtaisia näkymiä tietyn moduulin koulutuksen tehokkuudesta ajallisesti ja yksilöllisesti.
Phishing-simulointimoduulit tuottavat esimerkiksi työntekijäkohtaisia tietoja, jotka osoittavat työntekijöiden oppimiskäyrät, kun he kehittävät taitojaan tunnistaa sähköpostitse lähetettävät uhat. Käytä tietoturvatietoisuutta mittaavia tietoja koulutusmoduulien hienosäätöön ja tunnista vaikeasti muutettavat käyttäytymismallit, joihin on kiinnitettävä enemmän huomiota. Kohdenna tietyt roolit ja ryhmät käyttämällä mittareita räätälöityjen simuloitujen phishing-kampanjoiden suunnittelussa. Ajan myötä voit kehittää tehokkaampia koulutustilaisuuksia yksityiskohtaisten koulutusmittareiden antaman palautteen avulla.
Integroi turvallisuuskoulutus organisaatiosi kanssa
Turvallisuusnormit olisi asetettava organisaatiotasolla, ja yksilöt olisi integroitava turvallisuuskulttuuriin, jossa turvallisuus on etusijalla. Onnistuneessa turvallisuustietoisuuskoulutuksessa on kyse menetelmien ja lähestymistapojen kypsyttämisestä, ei vain sääntöjen noudattamiseen tähtäävistä ponnisteluista.
Turvallisuustietoisuuskoulutusta koskevia viranomaisvaatimuksia olisi kuitenkin käytettävä lähtökohtana, jotta koulutuksen tehokkuutta voidaan mitata. Kun organisaation tavoitteet nivotaan yhteen turvallisuuskoulutuksen kanssa, tämä lähestymistapa siirtää turvallisuudesta aiheutuvan taakan yksilön vastuulta kollektiiviseksi ponnistukseksi: rakenna tietoturvatietoisuuskoulutusohjelma, joka sopii organisaatiosi turvallisuustarpeisiin ja joka ottaa kaikki mukaan koulutustilaisuuksiin aina johtotasolta alaspäin. Varmista, että jokaisella osastolla on räätälöityjä koulutusohjelmia, jotka heijastavat todellisia uhkia. Esimerkiksi BEC-huijaukset (Business Email Compromise) kohdistuvat osastoihin, kuten toimitusjohtajan toimistoon ja kirjanpitoon.
Vuodesta 2023 tulee todennäköisesti yhtä haastava tietoturvauhkien kanssa kamppaileville yrityksille kuin aiemmista vuosista. Yksikään organisaatio, olipa se minkä kokoinen tai minkä toimialan yritys tahansa, ei voi istua laakereillaan ja toivoa, ettei se joutuisi kohteeksi.
Ihmiset ovat kuitenkin vahvuutemme. Soveltamalla näitä viittä parannusstrategiaa vuoden 2023 tietoturvatietoisuuskoulutusohjelmaasi voit auttaa kehittämään vankan kyberturvallisuusaseman ja antaa työntekijöillesi voimavaroja verkkorikollisia ja huijareita vastaan.
