Enkla misstag i fråga om säkerhetsmedvetenhet ligger bakom några av världens största cyberattacker. På bara en minut på Internet förloras 2,9 miljoner dollar i cyberbrottslighet, enligt den årliga rapporten Evil Internet Minute från RiskIQ. I takt med att internet fortsätter att öka snabbt, ökar också hotbilden. Taktiker som malvertising, phishing och attacker med hjälp av ett ständigt växande utbud av teknik och strategier har blivit alltmer populära. Det är dock ofta hoten inifrån organisationen som utgör den största risken, vilket understryker behovet av ökad säkerhetsmedvetenhet.
Faktum är att 52 % av företagen erkänner att de anställda är deras största svaghet när det gäller IT-säkerhet, eftersom deras slarviga handlingar utsätter företagen för risker. Förra året orsakades 60 procent av de överträdelser som rapporterades av ICO av mänskliga misstag, och bristande säkerhetsmedvetenhet är fortfarande ett nyckelproblem för många organisationer. Ofta är människor antingen omedvetna om hoten eller så blir de slarviga.
Om du är medveten om dessa vanliga misstag i fråga om säkerhetsmedvetenhet och vidtar rätt åtgärder för att genomföra en effektiv medvetenhetsplan kan du utbilda och ge de anställda möjlighet att ändra sitt beteende och skydda din organisation från potentiella risker.
Misstag som bör undvikas när det gäller säkerhetsmedvetenhet
1. Brist på fokus
Huvudmålet med alla program för säkerhetsmedvetenhet är att ändra beteenden, och för att programmet ska bli framgångsrikt måste det ha tydliga mål. Dessa mål kommer eller bör tjäna till att upprätthålla skälet till att programmet skapades. De bör vara specifika och bör identifiera och åtgärda svagheterna i din organisation, t.ex. nätfiske, fysisk säkerhet och lösenordssäkerhet.
2. Användning av en enda stimulans
Många organisationer gör det enkla misstaget att fokusera på en enda del av cybermedvetenheten, till exempel phishing eller eLearning. Även om dessa områden är en viktig del av skyddet av ett företag, använder de mest framgångsrika kampanjerna för cybermedvetenhet en mängd olika engagerande metoder för att utbilda de anställda om deras roll i att hålla organisationen säker och trygg.
3. Utbildning med en gång
Bara 11 % av organisationerna utbildar kontinuerligt sina anställda i hur man upptäcker cyberattacker, enligt global forskning från Vanson Bourne, och 52 % utbildar endast kvartalsvis eller en gång om året. För att hålla jämna steg med utvecklingen av cyberhotmiljön är det viktigt att utbildning i medvetenhet ses som en kontinuerlig process som bör inledas under introduktionsprocessen och fortsätta under hela anställningen.
4. Föråldrade policyer
Ett effektivt sätt att utbilda de anställda om vikten av säkerhet är en cybersäkerhetspolicy som förklarar varje persons ansvar för att skydda IT-system och data. Dessa policyer fastställer normer för beteende och beskriver förväntningar på de anställda. Utan tydligt definierade policyer för användning av flyttbara medier och personligt ägda enheter kan personalen till exempel ansluta enheter till företagets infrastruktur, vilket kan leda till att skadlig kod importeras eller att känslig information äventyras. En effektiv hantering av policyer och förfaranden kräver dock mycket mer än att bara skapa en manual som ligger på en hylla. Policyer och förfaranden är levande dokument som bör växa och anpassas i takt med företaget. Att se till att policyer är uppdaterade är därför en viktig del av en effektiv policyhantering och medvetenhet. Genom att regelbundet se över dina policyer säkerställer du att de är konsekventa och effektiva och att de skyddar din organisation från risker.
5. Brist på stöd från C Suite
Att skydda ett företags säkerhet är inte bara en uppgift för IT-teamet utan även för den verkställande direktören. Den ton som sätts upp från toppen kommer i slutändan att vara den drivande kraften när det gäller att skapa en kultur av ökad medvetenhet om cybersäkerhet. För att få till stånd en förändring måste organisationens högsta ledning ta ansvar för cybersäkerheten och införa rätt förfaranden och utbildning för att hantera alla risker.
6. Misslyckande att belöna framgång
Tyvärr kan organisationer förbise de anställda som vidtar försiktighetsåtgärder för att skydda sig på nätet och ofta avfärda det som ett ansvar som följer med jobbet. Att erkänna anställda som upptäcker hackningar och överträdelser med belöningar och priser är dock ett effektivt sätt att motivera anställda, ge ditt team incitament och öka medvetenheten inom en organisation. Detta är precis vad en effektiv kampanj för medvetenhet om cybersäkerhet bör bygga på - engagerade medarbetare som tar ansvar för att hålla företaget säkert.
7. Dålig kultur för rapportering av incidenter
Om de anställda är oklara om konsekvenserna av att rapportera kan det hända att de inte rapporterar en incident eller att de dröjer med att rapportera den till rätt person. En anställd som rapporterar en potentiell säkerhetsincident bör erkännas som en positiv händelse som gör det möjligt för organisationen att lösa problemet snabbt. Genom att fastställa tydliga förväntningar kan man hjälpa människor att förstå vilka åtgärder de ska vidta när de upptäcker eller reagerar på en potentiell incident.
8. Oregelbundna granskningar
Om du inte granskar dina insatser för att öka medvetenheten finns det inget sätt att veta om kampanjen verkligen har lyckats uppnå sina mål. Detta är viktigt för att avslöja misstag i fråga om säkerhetsmedvetenhet och områden där teknik och processer kan förbättras. Med hjälp av phishing-simuleringar kan organisationer till exempel se hur känsligt företaget är för bedrägliga phishing-e-postmeddelanden och identifiera personal som behöver ytterligare utbildning. Genom att fastställa vad som fungerar och vad som inte fungerar kan du skräddarsy framtida taktik utifrån de lärdomar du dragit.
9. Brist på engagerande innehåll
Enligt en rapport från Gartner misslyckas 70 % av alla företagsomvandlingar på grund av bristande engagemang. Det räcker helt enkelt inte att säga till användarna att de ska vara mer vaksamma när det gäller att inte öppna meddelanden från okända källor för att skydda användarna mot dagens sofistikerade hot. I stället bör medvetenheten om cybersäkerhet vara engagerande och informativ för att se till att personalen förstår vad som krävs av dem och hur viktig deras roll är för att skydda organisationens känsliga data. För att minska risken för misstag när det gäller säkerhetsmedvetenhet kan man använda kampanjaffischer, e-lärandekurser, spelifiering, simulerade nätfiskeattacker, frågesporter och pocketguider för att öka användarnas medvetenhet och efterlevnad på ett engagerande sätt.
10. Orimliga förväntningar
Cybermedvetenhet bör behandlas som en kontinuerlig process som kommer att utvecklas med tiden, och därför är det viktigt att ställa realistiska förväntningar på vad som kan uppnås. Det vore fantastiskt om säkerhetsmedvetenhet kunde förhindra alla incidenter, men det är helt enkelt inte realistiskt. Men genom att införa en hybridmetod för cybersäkerhetsmedvetenhet kan organisationer effektivt engagera anställda, uppmuntra beteendeförändringar och minska risken för kostsamma misstag i fråga om cybersäkerhetsmedvetenhet.
MetaCompliancespecialiserar sig på att skapa denbästa utbildningen i säkerhetsmedvetenhetsom finns på marknaden. Våra produkter tar direkt itu med de specifika utmaningar som uppstår genom cyberhot och företagsstyrning genom att göra det lättare för användarna att engagera sig i cybersäkerhet och efterlevnad.Takontaktmed våra specialister på säkerhetsmedvetenhet för mer information om hur vi kan hjälpa till att omvandla cybersäkerhetsutbildningen inom din organisation och minska risken för kostsamma misstag i fråga om medvetenhet om cybersäkerhet.
