Tietoturvasuunnitelmien ja -budjettien laatiminen vuodeksi 2023 on monilla meistä täydessä vauhdissa. Suunnitelmissamme on onnistuneen tietoturvatietoisuusohjelman kehittäminen tai jatkaminen. Kun Conti- ja Lockbit-ohjelmien kaltaiset lunnasohjelmat ovat aktiivisia Yhdistyneessä kuningaskunnassa vuonna 2022 ja Ukrainan sota lisää huijausten määrää, yritysten on entistä enemmän varmistettava, että niiden tietoturvatietoisuuskoulutus on onnistunut.
Nyt on aika suunnitella, miten varmistaa, että turvallisuustietoisuuskoulutus toimii. MetaCompliance esittelee viisi tekijää, jotka tekevät tietoturvatietoisuuskoulutuksesta onnistuneen.
Onnistuneen tietoturvatietoisuuskoulutuksen viisi osatekijää
Seuraavassa on viisi avaintekijää, jotka on syytä ottaa huomioon, kun suunnittelet tietoturvatietoisuuden koulutusohjelmaa vuodelle 2023:
Käynnistä ja jatka koulutusta automaation avulla
Jatkuvuus ja aikataulutus ovat onnistuneen turvallisuuskoulutusohjelman keskeisiä osatekijöitä. Ihmiset reagoivat hyvin johdonmukaisuuteen, ja säännöllinen ja kiinnostava koulutus muuttuu todennäköisemmin myönteisiksi toimiksi ja muistoiksi. Koulutuksen johdonmukaisuus auttaa myös rakentamaan myönteisiä suhteita ja luottamusta.
Erinomainen tapa yksinkertaistaa säännöllistä koulutusta on käyttää tietoturvatietoisuuskoulutuksen automaatioalustaa. Alustan avulla voit hallita ja aikatauluttaa vuotuista tietoturvatietoisuusohjelmaa, varmistaa jatkuvan koulutuksen ja noudattaa säännösten noudattamista. Toisin sanoen Security Awareness Training -automaatio on loistava paikka käynnistää ohjelmasi ja tehdä sen toimittamisesta tehokkaampaa ja johdonmukaisempaa.
Räätälöi koulutus yrityksellesi ja henkilöstöllesi sopivaksi
Henkilökohtaiset koulutusohjelmat ovat tehokkaampia, koska ne ovat helposti lähestyttäviä. Tietoverkkorikolliset käyttävät personointia kuitenkin myös kohdistaakseen koulutuksen tiettyihin rooleihin ja yksilöihin organisaatiossa. Esimerkiksi IT-ylläpitäjät ovat ihanteellinen kohde spear phishing -kampanjoille, joilla varastetaan kirjautumistietoja.
Jotta 2023-tietoturvakoulutusohjelmasi onnistuisi, varmista, että ohjelma on räätälöity organisaation rooleihin sopivaksi. Rooliin perustuvalla kyberturvallisuuskoulutuksella on monia etuja, kuten hyvin räätälöity koulutus, jossa keskitytään erityyppisiin huijauksiin, kuten yrityssähköpostin vaarantamiseen (Business Email Compromise, BEC).
Phish, työntekijäsi
Vuonna 2022 julkaistussa raportissa todettiin, että Yhdistynyt kuningaskunta on merkittävä phishing-kohde: tutkimuksessa todettiin, että 91 prosenttia yrityksistä oli joutunut phishing-kampanjan kohteeksi ja 84 prosenttia oli joutunut ainakin yhden sähköpostipohjaisen kiristysohjelmahyökkäyksen kohteeksi. Siksi rooleihin perustuvaan tietoturvatietoisuuskoulutukseen on sisällyttävä koulutusta, joka kohdistuu työntekijöihin käyttämällä huolellisesti laadittuja simuloituja phishing-kampanjoita.
Kampanjoissa opetetaan työntekijöille taktiikat, joiden avulla heitä huijataan klikkaamaan haitallista linkkiä tai lataamaan saastunut liitetiedosto. Siksi työntekijöiden opettaminen tietojenkalastelusta on elintärkeää onnistuneelle tietoturvatietoisuuskoulutusohjelmalle.
Turvallisuustietoisuuden sisällön käyttäminen
Kolme viimeistä tekijää tekevät turvallisuustietoisuusohjelmasta onnistuneen vain, jos sisältö on jännittävää ja hauskaa ja jos palautetta käytetään rakentavalla tavalla. Ihmiset oppivat, kun he ovat sitoutuneita, ja materiaali on ymmärrettävää ja ymmärrettävää; suunnittele, että koulutusohjelmassasi käytetään "tarpeen mukaan tapahtuvaa oppimista".
Tietoturvatietoisuusohjelmassa olisi käytettävä koulutusalustaa, jossa voidaan soveltaa tarpeen mukaan tapahtuvaa oppimista ymmärryksen lisäämiseksi ja oppimisen edistämiseksi. Point-of-need-oppiminen on eräänlainen vuorovaikutteinen koulutus, jota käytetään varmistamaan, että työntekijät oppivat virheistään; esimerkkinä voidaan mainita varoitusilmoitus, joka ilmestyy näytölle, jos työntekijä napsauttaa haitallista linkkiä.
Tämä vuorovaikutteinen koulutus sopii erinomaisesti huonon turvallisuuskäyttäytymisen vaarojen selittämiseen. Pistekohtaista oppimista voidaan käyttää myös opettamaan käyttäjälle, miten hän voi tulevaisuudessa välttää vaarallisen toiminnan suorittamista.
Käytä tuloksia menestyksesi optimoimiseen
Yksi tärkeimmistä tekijöistä jonkin asian onnistumisessa on tietää, missä ja milloin on tehtävä parannuksia. Tässä kohtaa turvallisuuskoulutuksen mittarit tulevat kuvaan mukaan. Turvallisuustietoisuuskoulutusohjelman on kyettävä keräämään ja analysoimaan koulutustilaisuuksista saatuja tietoja.
Näiden tietojen avulla voidaan sitten tuottaa käyttökelpoisia tietoja, jotka auttavat räätälöimään opetustapahtumia. Kehittyneessä koulutusohjelmassa olisi esimerkiksi hyödynnettävä raportointinäyttötauluja, jotka voivat näyttää simuloitujen phishing-istuntojen analyysin yhdellä silmäyksellä; tämä analyysi voi auttaa tunnistamaan työntekijät, joilla on vaikeuksia käsitteiden kanssa, ja auttaa räätälöimään koulutuskampanjan, joka tekee koulutuksesta tehokkaampaa.
Tehokkaamman ja siten menestyksekkäämmän turvallisuuskoulutuksen rakentamisessa auttavat muun muassa seuraavat mittarit:
- Hyökkäyksille alttiiden käyttäjien prosenttiosuus
- Phishing-sähköpostiin pääsemiseen käytetyt laitteet
- Mitkä osastot ja käyttäjäryhmät klikkaavat linkkejä
Näitä mittareita voidaan sitten analysoida, ja oivalluksia voidaan käyttää tietoisuusohjelmien mukauttamiseen, jotta voidaan varmistaa, että koulutus paranee ja ohjelma on optimoitu.
Tietoturvatietoisuusohjelman onnistumisesta kyberhyökkäyksen epäonnistumiseen
Vanha sananlasku sanoo, että "tavoite ilman suunnitelmaa on vain toive". Samoin turvallisuustietoisuusohjelman onnistuminen edellyttää tehokasta suunnittelua. Aloita niin kuin aiot jatkaa luomalla mukaansatempaava, ymmärrettävä ja jatkuva turvallisuuskoulutustapahtumien ohjelma. Näin onnistumisesi tietoturvatietoisuudessa johtaa kyberhyökkäysten epäonnistumiseen.