Det är lika viktigt att utveckla en efterlevnadskultur som att skapa en arbetsplatskultur inom organisationer. Organisationer som Equifax och Capital One skapar stormar i media när uppgifter som de ansvarar för avslöjas, men dataläckor finns i många olika former och storlekar. En av de mest skadliga är en oavsiktlig dataläckage via en anställd. Resultatet av en sådan dataexponering kan få enorma konsekvenser för en organisation, eftersom förlusten av känsliga uppgifter inte bara är pinsam och skadar ryktet, utan också kan påverka efterlevnaden och leda till höga böter.
Genom att bygga upp en "kultur för efterlevnad av cybersäkerhet" kan du förhindra att ditt företag blir en statistik över efterlevnad.
När goda insiders blir oavsiktligt dåliga
Många sektorer plågas av det enkla problemet med olyckor och fel som orsakas av människor, t.ex. felkonfigurering av en databas eller felleverans av känsligt e-postmeddelande. Dessa cybersäkerhetshändelser är tyvärr alltför vanliga, och enligt Verizon 2021 Data breach Investigations Report konstateras att 22 % av säkerhetsincidenterna berodde på insiders.
Vissa hot från insiders kan mycket väl vara illasinnade, men de som är oavsiktliga kan ändå ha en enorm inverkan på ett företags efterlevnad - Australian National University är ett exempel på detta. En högt uppsatt medlem av universitetets personal avslöjade av misstag 700 MB data som innehöll namn, adresser, skatteregistreringsnummer, bankkontouppgifter osv. Incidenten inträffade när en framgångsrik spear-phishing-kampanj, som riktades mot dussintals e-postmeddelanden från ANU:s personal, resulterade i att hackare fick tillgång till nätverket via ett privilegierat användarnamn och lösenord.
Felriktad e-post är en annan vanlig orsak till dataläckor. Det är lätt att felleda eller felleverera e-postmeddelanden, och det är vanligt att man av misstag delar känslig information genom att använda "cc" i stället för "bcc". Detta hände 2020 med Sonos, när en anställd av misstag exponerade mer än 450 e-postadresser genom att lägga till kundadresser i cc-fältet i stället för bcc när han svarade på kunders klagomål. Incidenten rapporterades till ICO av en kränkt kund i cc-listan.
Ett effektivt sätt att utmana detta beteende är att göra de anställda medvetna om hur enkla olyckor eller nätfiskemejl påverkar organisationens efterlevnad. Om det görs på ett bra sätt kommer detta engagemang med de anställda i efterlevnadsfrågor att leda till en enhetlig efterlevnadskultur för cybersäkerhet.
Hur man bygger upp en kultur för efterlevnad av cybersäkerhet
Utbildning i efterlevnad kräver en förståelse för de lagar och förordningar som påverkar din organisation. Reglerna går hand i hand med cybersäkerhet när det gäller dataskyddslagar som Storbritanniens dataskyddsförordning (DPA2018) och EU:s allmänna dataskyddsförordning (GDPR). Att skapa medvetenhet om efterlevnad bland de anställda är vägen till en kultur för efterlevnad av cybersäkerhet.
Användningen av ordet "kultur" är viktig. En företagskultur omfattar idéer, seder och bruk och framför allt beteenden. Mänskligt beteende ligger bakom många oavsiktliga dataintrång, särskilt de som involverar nätfiske. Människor har ett starkt behov av att klicka eftersom vi har blivit konditionerade att använda datorer på ett visst sätt, både hemma och på jobbet. Att bryta ner detta och i stället ersätta det med en företagskultur som bygger på kunskap och förståelse för hur cybersäkerhet och efterlevnad samverkar börjar i toppen och sprids ut över hela organisationen.
5 steg för att skapa en efterlevnadskultur som omfattar cybersäkerhet:
- Investera i säkerhet och efterlevnad: Förespråka och uppmuntra den förändring som krävs för att öka medvetenheten om förväntningarna på efterlevnad. Detta kommer att kräva en investering i tid, resurser och ekonomi, och det krävs ett engagemang från styrelsen för att bygga upp en kultur av efterlevnad.
- Bygg ett engagerande efterlevnadsprogram för kulturförändring: en efterlevnadskultur för cybersäkerhet bryter mot gränser och inrotade beteenden. Att bryta dessa beteenden måste göras på ett roligt och engagerande sätt. Använd utbildningssessioner som aktivt engagerar anställda och högre chefer.
- Skapa förståelse och kunskap om efterlevnad: Människor kan inte ändra eller följa en policy om de inte förstår varför de ombeds att göra något. Lär dina anställda om varför och varför kraven på efterlevnad uppfylls. Skapa ett effektivt program för efterlevnad som definierar deras roll när det gäller att upprätthålla datasäkerhet och efterlevnad.
- Säkerhet och efterlevnad är något som gäller för alla: att bygga upp en ny efterlevnadskultur är en gemensam erfarenhet. Ditt program måste återspegla detta. Alla delar av din organisation är jämbördiga partner i uppbyggnaden av din efterlevnadskultur för cybersäkerhet. Alla delar av efterlevnadskulturen är dock inte lika, och programmen bör skräddarsys för specifika avdelningar. Till exempel kan HR behöva fokusera på felaktig leverans av e-post, medan IT kanske behöver mer fokus på felaktig konfiguration av databaser och servrar. Alla bör göras medvetna om kraven i de förordningar och efterlevnadspolicyer som passar er bransch och geografi.
- Återkoppling och kontinuerlig förbättring av kulturen: bestämmelser ändras, människor glömmer utbildning och system uppdateras. Att bygga upp en efterlevnadskultur som omfattar cybersäkerhet och efterlevnadsarbete är inte en engångsuppgift. Programmet måste uppdateras och levereras regelbundet. Ett sätt som din cybersäkerhets- och efterlevnadskultur kan revideras är genom att lyssna på dina anställda. Detta bidrar också till att befästa deras engagemang i att bygga upp denna kultur och säkerställa efterlevnad.
Våra anställda är de yttersta förvaltarna av de data som våra organisationer genererar, delar, lagrar och gör sig av med. Din personal måste vara medveten om konsekvenserna av sina handlingar för företagets efterlevnad och den roll de spelar för att upprätthålla denna efterlevnad. Det räcker dock inte att bara leverera budskapet!
För att ändra djupt rotade beteenden och uppfattningar måste en efterlevnadskultur vara ett kärnvärde som återspeglar behoven av moderna cybersäkerhetshot och krav på datasäkerhetsregler, och som alla kulturförändringar kan detta bara bli effektivt om de som berörs av förändringen ger sitt samtycke.