Gartner, Inc. förutspår att utgifterna för säkerhets- och riskhantering kommer att uppgå till 150,4 miljarder dollar i slutet av 2021. CISO:s (Chief Information Security Officer) arbete har aldrig varit viktigare och att se till att budgeten används väl är en viktig aspekt av förvaltning av cybersäkerhet och riskkontroll. Utbildning i säkerhetsmedvetenhet är ett område som bidrar till att mildra attacker som syftar till att manipulera anställda. Detta stöds av en rapport från McKinsey som beskriver sju åtgärdsområden, varav det andra är att engagera frontpersonal och genomföra utbildning i säkerhetsmedvetenhet. Detta fokus på den mänskliga faktorn i begränsningen av cyberhot innebär att en CISO ofta spenderar en budget på utbildning i säkerhetsmedvetenhet.
För att se till att ett utbildningsprogram är effektivt krävs dock en bra strategi. Här är sex steg för att lyckas med säkerhetsmedvetenhet som säkerställer att din budget är välanvänd.
Sex steg för att maximera framgången med säkerhetsmedvetenhet
Den mänskliga faktorn i en cyberattack är numera väl etablerad och forskning visar att cirka 85 % av alla attacker involverar en människa som luras (eller på annat sätt) att "trycka på attackknappen". Utbildning i säkerhetsmedvetenhet är en av de accepterade metoder som används för att förhindra framgångsrika cyberattacker med människan i centrum. Följaktligen kommer de förväntade utgifterna för program för säkerhetsmedvetenhet troligen att nå 10 miljarder dollar år 2027. De sex stegen nedan kan hjälpa dig att formulera en framgångsplan för att se till att din budget används väl.
Steg 1: Få stöd från hela ledningsgruppen och styrelsen
Det säger sig självt att om du vill åstadkomma förändringar måste du få stöd från rätt personer för att kunna göra det. Säkerheten är allas problem, även på styrelsenivå. En positiv ton från toppen bidrar till att förändra attityden till säkerhet som sedan sprids till hela organisationen. Med stöd från styrelsen och ledningen har en CISO makten att sätta in verktygen och processerna för att göra verksamheten säkrare. Stödet på C-nivå ger den ryggrad som behövs för att bygga upp en säkerhetskultur med hjälp av ett utbildningspaket för säkerhetsmedvetenhet.
MetaCompliance-tips: Många dataskyddsbestämmelser och standarder kräver nu ett program för säkerhetsmedvetenhet. Använd dessa krav för att utnyttja behovet av att inrätta ett program för säkerhetsmedvetenhet.
Steg 2: Börja från början
Känn till dina säkerhetsbehov genom att utvärdera hotbilden, särskilt när det gäller din sektor. Denna förståelse är grunden för ett effektivt program för säkerhetsmedvetenhet. Genom att veta vilka typer av hot som din sektor eller ditt företag sannolikt kommer att stöta på kan du på ett effektivare sätt skräddarsy ett program för utbildning i säkerhetsmedvetenhet. Vilka molnapprogram använder din organisation till exempel? Vilken typ av hot är de mest utsatta för? Erbjuder ni flexibelt arbete och har ni distansarbetare? Finns det problem med delning av lösenord bland personalen?
Dessutom kan kraven på efterlevnad av regelverk vara specifika för din sektor: din personal kan till exempel arbeta med stora volymer av mycket känsliga uppgifter som måste uppfylla kraven i DPA2018. När du utvecklar ett skräddarsytt medvetandeprogram, kom ihåg att inkludera specifika uppgifter om dataskyddsförordningar.
MetaCompliance-tips: Dina policyer och förfaranden bör kopplas till utbildningen om medvetenhet. På så sätt kan utbildning i säkerhetsmedvetenhet användas för att hjälpa till att upprätthålla säkerhetsprocesser.
Steg 3: Gör det verkligt (och underhållande)
Utbildning i säkerhetsmedvetenhet bör vara praktisk och människocentrerad. För att utbildningen ska bli framgångsrik måste programmet vara anpassat till målgruppen. Det finns många sätt att få detta att hända och alla program för säkerhetsmedvetenhet är inte lika bra. De bästa erbjuder interaktivt och engagerande innehåll som de anställda finner intressant. Om du kan behålla en individs intresse är det troligare att du uppmuntrar ett aktivt lärande som stannar kvar.
För att utveckla ett program som fungerar bra för att minska cyberhot med fokus på människan måste de ämnen som behandlas återspegla de typer av hot som din organisation upplever eller kommer att uppleva. Typiska ämnen som bör behandlas är bland annat:
- Hygien av lösenord
- Bedrägerier via e-post
- Skadlig programvara och flyttbara medier
- Att vara säker på internet
- Sociala medier: integritet och säkerhet
- Överensstämmelse och regler och hur de påverkar de anställda
Simuleringsövningar för nätfiske är ett utmärkt sätt att erbjuda ett kreativt och engagerande sätt att lära de anställda farorna med nätfiske. Mer om detta i steg 4...
MetaCompliance-tips: Oavsett vad ditt program för säkerhetsmedvetenhet innehåller måste det innehålla innehåll som är interaktivt och engagerande.
Steg 4: Hur du upptäcker en Phish
Phish är det som gäller i hackervärlden. Phishing har blivit den vanligaste angreppsmetoden genom åren och det är nu fråga om en sofistikerad metod. Phishing-kampanjer är en stor affärsverksamhet och modeller som "phishing-as-a-service" förser hackare världen över med verktyg för att stjäla inloggningsuppgifter och data och för att infektera nätverk med skadlig kod, inklusive utpressningstrojaner. Att lära personalen att upptäcka phishingmejl är därför ett viktigt verktyg för att lyckas med säkerhetsmedvetandet.
Simuleringslösningar för nätfiske är ett viktigt verktyg i CISO:s utbildningspaket för medvetenhet. Phishing-simuleringar gör det möjligt för en organisation att automatisera phishing-utbildningen för att utbilda användarna i att upptäcka de avslöjande tecknen på phishing-kampanjer.
MetaCompliance-tips: Använd simuleringsövningar för nätfiske som en del av ett bredare program för säkerhetsmedvetenhet och utforma dem så att de återspeglar de typer av nätfiskehot som riktas mot din sektor.
Steg 5: Mäta, mäta, mäta, mäta
Det är viktigt att förstå effekten och effektiviteten av ett program för säkerhetsmedvetenhet. Utbildningsevenemang för säkerhetsmedvetenhet ger ofta mätvärden som visar hur effektiva de har varit. Några exempel på utbildningsmått som kan ge en inblick i programmets effektivitet är följande:
Undersökningar (kvalitativa): Frågeformulär som används för att utforska deltagarnas förståelse av programmet och dess genomförande.
Simuleringsresultat för nätfiske (kvantitativt): Till exempel hur många användare som klickade på phishinglänkar jämfört med hur många som varnade företaget när de fick ett phishingmejl.
Rapportering av mätvärden (kvantitativa och kvalitativa): Hur många användare rapporterar säkerhetsproblem som identifierats under utbildningen?
Mätvärden kan visualiseras för att ge deltagarna och ledningen en översiktlig återkoppling.
MetaCompliance-tips: Förutom att använda mätvärden för att anpassa utbildningsprogrammen bör du också använda mätvärden för att kartlägga säkerhetspolicyer och justera dem för att fånga upp problemområden som identifierats under utbildningen.
Steg 6: Anpassa och uppdatera
Använd mätvärdena från uppgifter och händelser för säkerhetsmedvetenhet för att anpassa din leverans av framtida upprepningar av kampanjen för säkerhetsmedvetenhet. De mätvärden som samlas in i steg 5 kommer att hjälpa till att ge effektivare utbildning. Programförvaltarna måste dock hålla regelbundna möten för att se till att utbildningsprogrammen återspeglar verkligheten i företagens cybersäkerhetsutmaningar eftersom cybersäkerhetshot inte är statiska händelser. I takt med att säkerhetslandskapet förändras, när nya medarbetare kommer in och när ny teknik används i din organisation måste utbildningen i säkerhetsmedvetenhet anpassas för att återspegla dessa förändringar.
MetaCompliance-tips: Blanda och kombinera olika sätt att utbilda personalen. Använd en mängd olika alternativ, t.ex. spel, simuleringar av nätfiske, affischer och nyhetsbrev, och anpassa dem efter avdelningens behov och säkerhetsmedvetenhet med tiden. Involvera avdelningar i hela organisationen i utformningen och utvecklingen av programmen.
