Storbritannien ligger i topp när det gäller antalet cyberbrott med 4 783 offer per miljon invånare, och därför måste företagen se till att de gör allt de kan för att skydda organisationen.
Ett av de mest kraftfulla sätten att bevisa att utbildning i säkerhetsmedvetenhet fungerar är när programmets resultat visar på positiva framsteg. Om resultaten av din utbildning i säkerhetsmedvetenhet kan förbättras måste du förstå varför.
Det är viktigt att optimera din utbildning i säkerhetsmedvetenhet eftersom cyberhoten fortsätter att bli alltmer komplexa och utmanande. Här är fem anledningar till varför din säkerhetsutbildning kanske inte fungerar:
#1 Brist på motiverande innehåll
Tristess är inlärningens fiende; planering är avgörande för att skapa motiverande och inspirerande kampanjer för utbildning i säkerhetsmedvetenhet. Att använda "sammankopplade aktiviteter" och engagerande innehåll är en bästa praxis inom vuxenutbildning och bör användas för att förbättra inlärningsupplevelser.
Ett program för säkerhetsmedvetenhet måste utformas så att det återspeglar verkliga erfarenheter för att engagera de anställda. Om utbildningen är oinspirerande och orelaterad kan den avskräcka deltagarna och uppfattas som tråkig. En uttråkad publik kommer inte att behålla informationen, och dåligt säkerhetsbeteende kommer att förbli ett problem.
Planera att utforma en säkerhetsutbildningskampanj som engagerar din publik på en känslomässig nivå och som till exempel tar upp specifika riskbeteenden:
Rollbaserad utbildning: Använd rollbaserade simulerade nätfiskekampanjer som testar de anställdas reaktioner på hot som en viss avdelning sannolikt kommer att uppleva.
Interaktivt innehåll: Använd utbildningsmaterial som erbjuder interaktiva upplevelser och inkluderar inlärning vid behov. Detta ger råd till eleverna under en session och pekar på var de har gjort fel, vad som kan hända och hur de kan förhindra detta i framtiden.
#2 En mentalitet som bygger på en kryssningslåda
Reglerna kan ge en ruta att kryssa för när det gäller efterlevnad, men att kryssa för denna ruta ger inte effektiva utbildningsresultat. Om du genomför en utbildningskampanj för säkerhetsmedvetenhet med tanken att kryssa i rutan för efterlevnad är det osannolikt att du får bra resultat. Utbildning i säkerhetsmedvetenhet handlar i slutändan om mänskliga erfarenheter och sociala interaktioner.
Istället för att genomföra utbildning i säkerhetsmedvetenhet enbart för att uppfylla kraven bör du skapa ett väl genomtänkt interaktivt och engagerande evenemangsprogram. Skapa utbildningstillfällen som återspeglar din personalbas, som är rollbaserad, bygger på kunskap och presenterar inlärningsmöjligheter som fastnar.
För att skapa ett omfattande och regelbundet utbildningsprogram kan du automatisera din kampanj för utbildning om säkerhetsmedvetenhet för att se till att inlärningen sker under hela kalenderperioden. Automatiserad utbildning för säkerhetsmedvetenhet ger ett ramverk för engagerande och kontinuerligt innehåll som främjar ett positivt säkerhetsbeteende.
#3 Utbildningen fokuserar inte på beteende
Utbildning i säkerhetsmedvetenhet måste ta upp djupt rotade beteenden som utnyttjas av cyberkriminella för att manipulera dina anställda. Tyvärr är den teknik som vi dagligen använder på vår arbetsplats en del av denna manipulation, och enligt IBM:s Threat Intelligence Index 2022 är phishing e-post fortfarande cyberkriminellas favoritverktyg.
Men det är svårt att ändra beteende; förvänta dig inte att utbildning i säkerhetsmedvetenhet ska få effekt över en natt. Utbildning om hur bedragare manipulerar människor kräver en samlad insats, med hjälp av kampanjinnehåll som är utformat för att fokusera på att ändra dåligt säkerhetsbeteende. Använd beteendebaserat innehåll för säkerhetsutbildning, t.ex. interaktiva videor, för att uppnå bättre resultat med dina utbildningsprogram. Dessa beteendestyrda program känner igen riskfyllda beteenden och använder dessa för att utveckla individens utbildningsbehov, och bygger på kunskap med tiden.
Kampanjens utformning bör baseras på kända och förväntade risker på granulär, rollbaserad och avdelningsnivå. De beteenden som sprider dessa risker, t.ex. att klicka på en phishing-länk, kan behandlas med hjälp av specialiserade utbildningsprogram, t.ex. simulerad phishing.
#4 Du vet inte om dina anställda förstår utbildningen
En av de viktigaste aspekterna av lärandet är att bedöma den individuella utvecklingen och förståelsen. Om din organisation upplever att vissa eller alla anställdas säkerhetsbeteende inte utvecklas, måste du ta reda på varför de anställda inte lyckas lära sig av innehållet. Med rätt typ av mätdata kommer du att kunna justera programmet för säkerhetsmedvetenhet för att göra det mer effektivt.
När du genomför kampanjer för säkerhetsmedvetenhet kan du använda inbyggd analys och rapportering för att generera mätvärden för granskning. Många avancerade system för säkerhetsmedvetenhet, inklusive plattformar för simulerad nätfiske, tillhandahåller mekanismer för att samla in mätvärden per individ eller avdelning. Använd dessa mätvärden för att utvärdera effektiviteten av olika aspekter av din utbildning. Du kanske till exempel upptäcker att specifika ämnen, eller hur de presenteras, är mindre effektiva när det gäller att ändra beteende.
Utforma dina kampanjer för säkerhetsmedvetenhet så att du samlar in mätvärden baserat på de risker och beteenden som du vill ta itu med. När det gäller de största riskerna är klickfrekvensen för phishing-länkar en bra början, eftersom mätvärdena samlas in under phishing-simuleringar. När du samlar in data om känslighet för att klicka på en phishinglänk, justerar du kampanjerna för att se till att inlärningspunkter används för att åtgärda problemområden. Fortsätt att mäta klickfrekvensen och justera efter hand tills du ser en minskning av antalet klick på phishinglänkar. Denna iterativa anpassningsstrategi bör upprepas för andra dåliga beteenden, t.ex. återanvändning av lösenord.
Mätvärden för utbildning i säkerhetsmedvetenhet hjälper också till att utvärdera programmet som helhet och är ett sätt att visa ledningen hur viktigt det är med säkerhetsutbildning. Strategisk analys av mätvärden bör anpassas till områden som antalet incidenter, kostnaden för en överträdelse samt överträdelser av policyer och bestämmelser. Avancerade plattformar för säkerhetsmedvetenhet genererar omfattande rapporter och visualiseringar som du kan visa ledningsgruppen.
#5 Det saknas en gemenskapsanda
Det talas mycket om att utveckla en säkerhetskultur i utbildningskretsar för säkerhetsmedvetenhet. Det finns en bra anledning till detta. En kultur där säkerheten tas på allvar leder till en bättre säkerhetsställning.
Bristande gemenskap i fråga om säkerhet har allvarliga konsekvenser: en färsk rapport visar att 61 % av de anställda inte skulle rapportera en säkerhetsincident. Detta kan innebära att det är mer komplicerat att hantera överträdelser och förebygga fortsatta säkerhetsproblem.
Genom att främja en gemensam insats för att säkra organisationen är det troligare att dina anställda känner ett allmänt ansvar för att hålla arbetsplatsen säker. En säkerhetskultur uppstår när programmen för säkerhetsmedvetenhet är framgångsrika. Ett effektivt utbildningsprogram i säkerhetsfrågor ger de anställda kunskap och ändrar dåligt säkerhetsbeteende till positiva åtgärder som stoppar cyberbrottslighet.
När alla hjälps åt utvecklas en kultur av positiva säkerhetsattityder och en säkerhetskultur skapas. När de fyra skälen ovan tas upp hjälper de till att bygga grunden för denna säkerhetsmedvetna kultur. Resultatet blir minskade cyberattacker och efterlevnad av regelverk.
När du förbereder och genomför din utbildning i säkerhetsmedvetenhet år 2023 bör du kontrollera att du följer bästa praxis för att uppnå bästa möjliga resultat.
