Cyberattacker är så vanliga att de regelbundet hamnar i de nationella nyheterna. Det finns många anledningar till att bedrägerier och cyberbrottslighet har tagit fart. Ändå är manipulation och social ingenjörskonst av våra anställda och den programvara de använder en typisk utgångspunkt för dessa attacker.
Organisationer världen över arbetar med att bygga upp en säkerhetskultur för att motverka den mänskliga faktorn i cyberattacker. Men om din organisation fortfarande behöver skapa ett sådant säkerhetstänkande och om hot och sårbarheter i allt högre grad utsätter ditt företag för risker, måste du fråga dig om en bra cybersäkerhetsutbildning kan förändra en dålig cybersäkerhetskultur.
Tecken på en dålig cybersäkerhetskultur och sätt att åtgärda den
En dålig cybersäkerhetskultur har tydliga varningssignaler som du måste se upp för. Nedan följer några av de mest uppenbara, tillsammans med några åtgärder som kan förändra en dålig cybersäkerhetskultur med hjälp av bra cybersäkerhetsutbildning:
Bara prat och ingen handling
En säkerhetskultur genomsyrar både toppen och botten. Alla måste uppmuntras att vara en del av en större helhet som arbetar mot ett gemensamt mål där säkerheten tas på allvar. Alla, från styrelserummet till den tillfälliga personalen, bör förstå vad det innebär att sätta säkerheten i första rummet och exakt hur man gör det.
Ingenting kommer att förändras om din organisation talar om säkerhet men inte tillhandahåller praktiska sätt att hantera hoten. Genom att förklara hur man kan vara säker kan personalen reagera korrekt om försök till cyberattacker inträffar, t.ex. genom phishingmejl eller social ingenjörskonst.
Hur man omvandlar prat till handling: För att omvandla prat till handling måste ledningen följa upp det med praktiska sätt att stödja säkerhetsarbetet. Detta kräver en positiv, kontinuerlig säkerhetsutbildning i hela organisationen, som ger personalen verktyg för att hjälpa företaget med säkerhetsarbetet.
En kultur som bygger på skuld, inte på säkerhet
Skyllandet är en giftig och skadlig kultur som snabbt kan uppstå när cyberattacker inträffar, särskilt om de fortsätter att inträffa. Det är lätt att peka finger och skylla på personalen för missöden, till exempel att öppna ett potentiellt skadligt e-postmeddelande. Men ju mer man pekar finger, desto mer kommer den allmänna stämningen kring säkerhetsbeteende att gro.
Dessutom är detta beteende att skylla på andra lika skadligt som att klicka på en phishing-länk, eftersom det skapar en miljö av misstro och vidmakthåller ett dåligt säkerhetsbeteende.
Stoppa skuldbeläggandet genom öppen kommunikation: syndabockar och skuldbeläggande är motsatsen till en bra cybersäkerhetskultur. Arbeta i stället med att bygga upp ett förtroende så att en anställd som gör ett misstag känner sig bekväm med att avslöja det. En god säkerhetskultur kräver god kommunikation. Om en anställd informerar IT-avdelningen om ett säkerhetsmisstag, t.ex. ett oavsiktligt utlämnande av känsliga uppgifter, kan teamet snabbare agera för att minska dataexponeringen.
Ignorera vad mätvärdena berättar för dig
När en säkerhetskultur går i stöpet visar sig problemet i organisationens sårbarhetsmått: den mänskliga faktorn i cybersäkerhet är välkänd, med chockerande statistik som att 82 % av alla cyberattacker involverar en mänsklig faktor. Mänskliga fel uppstår när människor är omedvetna om hur deras handlingar kan leda till läckta uppgifter eller utsätta ett företag för risker. Så om du märker en ökning av potentiella eller faktiska intrång kan detta spåras till anställda och andra icke-anställda.
Metriker är din vän: Använd de mätvärden som tillhandahålls av program för utbildning i säkerhetsmedvetenhet och simulerade phishingprogram för att identifiera problemområden. Med hjälp av mätvärden kan du skräddarsy utbildningen så att den blir effektivare. Dessutom kan utbildningen anpassas utifrån roller för att fokusera uppmärksamheten på specifika sårbara områden.
In i ena örat och ut ur det andra
En ineffektiv säkerhetskultur kan leda till ineffektivt lärande om säkerhet. Tråkigt, repetitivt utbildningsmaterial av klassrumstyp kan avskräcka de anställda och försämra dina chanser att bygga upp en stabil säkerhetskultur.
Aktivt lärande sker när människor är engagerade och kan knyta an till materialet på en känslomässig nivå. Om du till exempel inte tillhandahåller beprövat och pålitligt innehåll för säkerhetsmedvetenhet. I så fall kan det hända att informationen går in i ena örat och ut ur det andra, att de anställda glömmer viktiga inlärningsupplevelser och att det dåliga säkerhetsbeteendet förblir oförändrat.
Stimulerande material gör underverk: tillhandahåll stimulerande läromedel som passar dina anställda. Använd behovsanpassad utbildning så att de anställda lär sig samtidigt som de tränar och hjälper till att ändra beteenden från dåligt till bra. Engagerande material stannar kvar hos de anställda och skapar det säkerhetstänkande som behövs för att befästa en säkerhetskultur.
Utbildningen är okonkurrerad
Alla typer av kulturer bygger på förtroende och kommunikation. En dålig säkerhetskultur kan uppstå om de anställda inte diskuterar oro eller problem med sina chefer. Problemet uppstår när samma linjechefer känner sig bortkopplade från säkerhetskulturen. Detta kan hända när utbildningsprogrammen missar ledningen eller när utbildningsmaterialet inte är anpassat till specifika avdelningar och roller.
Koppla ihop roller och avdelningar:
- Bygg relationer och bryt gränser när du utvecklar säkerhetsutbildningsprogram genom att utforma kampanjer kring specifika roller.
- Inkludera alla anställda i utbildningen, alla i en organisation spelar en roll i företaget och alla måste vara delaktiga i säkerhetskulturen.
- Använd utbildningsmaterial som utvecklar kontakterna mellan ledningen och de anställda genom gemensamma utbildningsevenemang, t.ex. genom spel i stil med escape room.
Bristande delaktighet
Kulturer blomstrar när alla är delaktiga. Människor är sociala och prosocialt beteende är en del av byggandet av stabila och samarbetsvilliga samhällen. Om du inte inkluderar alla i din utbildning i säkerhetsmedvetenhet kommer det att bildas fraktioner som har ett sämre säkerhetsbeteende än de som har genomgått utbildningen. Om vissa inte deltar kommer det att påverka utvecklingen av en sammanhållen säkerhetskultur och gemenskap.
Lyssna och lär dig: Att lyssna på din personal kan bidra till att utveckla en känsla av gemenskap och förtroende. Ha en politik med öppna dörrar för att skapa kontakter, vilket leder till bättre säkerhetsåtgärder. Lyssna och lär: involvera de anställda i utbildning i säkerhetsmedvetenhet med hjälp av initiativ som den årliga veckan för medvetenhet om cybersäkerhet. Goda lyssningsfärdigheter är en utmärkt strategi för engagemang. Det bidrar också till att utveckla en gemenskapsanda som är viktig för att utveckla en robust och effektiv säkerhetskultur.
Det finns ett ordspråk som du säkert har hört: "Vi står enade, men vi faller om vi är splittrade". Detta talesätt sammanfattar vikten av att arbeta tillsammans mot ett gemensamt mål, eftersom "helheten blir större än summan av delarna". Utbildning i säkerhetsmedvetenhet bör involvera hela organisationssamhället och bygga broar som bygger på gemensamma erfarenheter och bekymmer. Genom att tillhandahålla ett program med rolig, engagerande och informativ utbildning i säkerhetsmedvetenhet kan ditt företag skapa den svårfångade men viktiga säkerhetskulturen.