Elämässä ei kannata tehdä mitään, ellei tiedä, että se kannattaa ja että se, mitä tekee, toimii. Tämä ajattelutapa pätee moniin liiketoiminnan osa-alueisiin, myös tietoturvatietoisuusohjelmaan.
Kun yritys ottaa käyttöön tietoturvatietoisuusohjelman, sen on aina pidettävä mielessä, mitä se pyrkii saavuttamaan. Verizonin vuonna 2021 julkaisemassa raportissa korostetaan, että 85 prosenttia tietomurroista johtuu "inhimillisestä tekijästä", joten hyvän turvallisuuskäyttäytymisen luomisen pitäisi olla ensisijaisen tärkeää.
Mutta miten tarkalleen ottaen voidaan mitata käyttäytymisen kaltaista näennäisen epämääräistä tekijää?
Luoda perustaso suurelle tietoturvatietoisuusohjelmalle?
Jotta voit mitata jotakin, tarvitset lähtökohdan, perustason. Tietoturvatietoisuusohjelman tarkoituksena on muuttaa työntekijöiden käyttäytymistä ja asenteita yrityksen yleisen turvallisuuden parantamiseksi.
Selkeästi määritellyt tavoitteet ovat tärkeä lähtökohta, jonka pohjalta voit testata turvallisuustietoisuusohjelman onnistumista. Nämä tavoitteet muodostavat perustan tietoturvatietoisuusohjelman metriikoille, joissa käytetään "kouluta ja testaa" -menetelmää.
Turvallisuustietoisuusohjelmaa kehitettäessä on hyvä pitää mielessä, miten ohjelman kunkin osa-alueen onnistumista voidaan mitata. Näin ohjelmaan voidaan rakentaa testattavia elementtejä. Kokonaisvaltaisen tietoturvatietoisuusohjelman tyypillisiin osiin tulisi kuulua:
- Turvallisuushygienia: kattaa erilaisia tekijöitä, kuten salasanavalinnat ja verkkoselailutottumukset.
- Sosiaalinen manipulointi: mitä sosiaalinen manipulointi on ja millaisia huijauksia organisaatioon ja sen työntekijöihin kohdistuu.
- Phishing-tietoisuus: työntekijöiden kouluttaminen phishing-taktiikoiden havaitsemiseen.
- Tietoturvatottumukset: muun muassa se, miten havaitaan, jos tietokoneella saattaa olla tartunta, ja tietoturvaa parantavien toimenpiteiden, kuten VPN:n käyttö etätyöskentelyä varten.
Jokainen näistä turvallisuustietoisuusohjelman osa-alueista voidaan mitata, ja tuloksia voidaan käyttää palautteen antamiseen ohjelman onnistumisen optimoimiseksi.
Tietoturvatietoisuusohjelman onnistumisen mittari (tai ei)?
Tietoturvatietoisuusohjelman tulosten mittaaminen ei ole pelkkä hyväksytty/hylätty -tehtävä. Sen sijaan se tarjoaa tietoa turvallisuustietoisuuskoulutuksen eri osa-alueiden tehokkuudesta.
Tuloksia voidaan käyttää palautteen antamiseen turvallisuusohjelman eri osiin koulutuksen optimoimiseksi; jos jokin asia ei toimi, mittarit ja palaute antavat siitä viitteitä, ja joillakin mittareilla voidaan jopa tunnistaa tiettyjen koulutustapahtumien heikkoudet. Näitä tietoja voidaan sitten käyttää tietoisuuskoulutuksen tarkempaan räätälöintiin.
Turvallisuuskoulutuksen mittareita koskevia tietoja voidaan kerätä muun muassa seuraavilta alueilta:
Tietoisuuskyselyt ja työntekijäpalaute
Tiedotuskyselyt ovat kyselylomakkeita, jotka työntekijät täyttävät ja joiden avulla saadaan käsitys tiedotuskoulutuksen tehokkuudesta. Vaikka tämä menetelmä on manuaalinen, se voi olla hyödyllinen osa mittausharjoitusten valikoimaa, jonka avulla voidaan määrittää turvallisuustietoisuusohjelman onnistuminen. Kyselylomakkeet hoitaa usein henkilöstöosasto tai turvallisuuskonsultti, ja niihin sisältyy yleensä kysymyksiä tai tietokilpailuja, joissa testataan työntekijän kykyä havaita uhka.
Phishing-simulaatiot ja mittarit
Phishing-simulaatioita tehdään automaattisilla alustoilla, jotka lähettävät työntekijöille testimuotoisia phishing-sähköpostiviestejä. Simulaatioalusta kirjaa ylös, havaitseeko työntekijä onnistuneesti, että testiviesti on phishing-viesti vai ei. Phishing-simulaatioalustoja ja neuvoja niiden käytöstä sekä niiden tarjoamia mittareita on saatavissa erikoistuneilta kolmansilta osapuolilta, kuten MetaCompliance.
Sosiaalinen manipulointi ja mittarit
Se, miten työntekijät reagoivat huijauksiin, on tärkeä osa turvallisuustietoisuutta. Huijaukset, kuten Business Email Compromise (BEC), ovat usein kehittyneitä ja käyttävät huijauksen perustana sosiaalista suunnittelua.
Työntekijän reaktiota simuloituun sosiaalisen manipuloinnin tapahtumaan voidaan mitata sekä määrällisesti että laadullisesti riippuen siitä, miten simulaatiot toteutetaan. Kolmannen osapuolen yritykset voivat antaa neuvoja mitattavissa olevien simuloitujen sosiaalista manipulointia koskevien testien luomisessa.
Tapahtumien tallentaminen ja raportointi
Todisteena on vanukas, ja tämä vanukas on työntekijöiden tekemä tietoturvatapahtumien raportointi. Tietoturvatapahtumien raportointijärjestelmä, jonka avulla työntekijät voivat helposti syöttää tietoturvatapahtumia, voi tarjota keinon mitata tietoturvatietoisuusohjelman tehokkuutta.
Tapahtumaraportoinnilla on kaksi etua: se toimii triage- ja reagointijärjestelmänä turvallisuusongelmiin niiden ilmaantuessa sekä kirjaa ja tarkastaa henkilöstön tietoisuuden. Työntekijät olisi koulutettava käyttämään vaaratilanteiden raportointijärjestelmää turvallisuustapahtumien tallentamiseen, esimerkiksi
- Phishing-viestin vastaanottaminen
- Salasanan tahaton paljastuminen
- Epäilty haittaohjelmatartunta
- Tietojen vahingossa tapahtuva paljastuminen sähköpostin virheellisen toimittamisen vuoksi
- Kadonneet tai varastetut laitteet
- Sosiaalisen manipuloinnin yritykset, esim. puhelinhuijaus.
Mittaa, kuuntele, optimoi
Tietoturvatietoisuusohjelmat ovat tunnetusti vaikeasti mitattavia. Käyttäytymisen ja ymmärryksen mittaaminen on usein pikemminkin laadullista kuin määrällistä. Käyttämällä yhdistelmää tekijöistä, jotka kuvaavat käyttäytymisen muutosta ja tietoisuutta koskevia indikaattoreita, yritys voi kuitenkin varmistaa, että sen ohjelma on tehokas.
Viime kädessä organisaatio tarvitsee tehokkaan tietoturvatietoisuusohjelman, jotta verkkohyökkäykset vähenevät ja yrityksen yleinen verkkoturvallisuus paranee. Kun työntekijät ymmärtävät yhä paremmin, miten kyberturvallisuusuhat toimivat, tietoturvatietoisuusohjelman tehokkuuden optimointi johtaa turvallisuuskulttuuriin, joka tuottaa tulosta paremman turvallisuuden muodossa.
