Cyberbrottslighet har blivit en stor affärsverksamhet och det verkar som om ingen del av världen har förblivit oskadd från detta växande hot. Det räcker med att kasta en blick på rubrikerna för att läsa om de senaste cyberattackerna, dataintrång och den globala förödelse som denna digitala brottsvåg orsakar.
Enligt den nionde årliga studien om kostnaderna för cyberbrottslighet som släppts av Accenture och Ponemon Institute har den genomsnittliga kostnaden för cyberbrottslighet för en organisation ökat med 1,4 miljoner dollar under det senaste året till 13,0 miljoner dollar, och det genomsnittliga antalet säkerhetsöverträdelser under det senaste året har ökat med 11 %.
Nya hot dyker upp hela tiden och organisationer kan inte längre bara förlita sig på att deras tekniska försvar ska hålla dem säkra. Cyberbrottslingar använder sofistikerade sociala tekniker för att kringgå dessa försvarssystem och allt som krävs är att en anställd klickar på en skadlig länk och spelet är över!
Dina anställda är din första försvarslinje mot cyberbrottslighet, så det är viktigt att de har all den kunskap och kompetens de behöver för att skydda din organisation. Ett omfattande program för medvetenhet om cybersäkerhet är det bästa sättet att utbilda personalen och skapa en kultur där säkerheten är viktigast.
Vad bör ett framgångsrikt program för medvetenhet om cybersäkerhet innehålla?
1. Identifiera risker
Det första steget i att skapa ett effektivt program för medvetenhet om cybersäkerhet är att utvärdera hotbilden och identifiera de största riskerna. Om de anställda får fel utbildning kan det leda till överbelastning av information eller, vilket är ännu mer oroande, till att organisationer blir sårbara för attacker.
Varje organisation har en annan hotbild, men några av de största hoten är nätfiske, skadlig kod och dåliga säkerhetsrutiner. Phishing ligger bakom 71 procent av alla cyberattacker i världen, och tyvärr är den gemensamma nämnaren bakom alla dessa attacker mänskliga misstag.
Oavsett vilka hot som din organisation står inför, kan du ta dig tid att identifiera riskerna på ett korrekt sätt för att utforma budskapet, leveransen och den effektiva inriktningen på ditt program för medvetenhet om cybersäkerhet.
2. Ändra beteende
Under det senaste decenniet har träningsmetoderna förändrats dramatiskt. Organisationer är inte längre begränsade till klassrumsbaserad utbildning eller en en-dagskurs för att visa att de uppfyller kraven på cybersäkerhet. Dessa metoder är helt enkelt inte längre tillräckliga. De anställda måste engagera sig i utbildningen för att fullt ut förstå vad som krävs av dem och hur viktig deras roll är för organisationens övergripande säkerhet.
För att utbildningen ska få genomslag måste den vara rollspecifik, skräddarsydd, rolig och ta itu med de utmaningar som personalen möter dagligen. Att ge dina anställda ett innehåll som är lätt att ta till sig och som är relevant för deras roll är ett viktigt steg för att ändra deras beteende.
Det bästa sättet att uppnå detta är genom ett omfattande program för medvetenhet om cybersäkerhet som utnyttjar en rad olika verktyg och tekniker. Engagerande videor, realistiska scenarier, frågesporter, policyer och simuleringstester för nätfiske i den verkliga världen kommer att säkerställa att personalen är fullt utbildad för att känna igen och identifiera de mest aktuella hoten.
Organisationer kan också använda kommunikations- och marknadsföringsverktyg som bloggar, affischer och fallstudier för att förstärka de viktigaste budskapen.
Enligt Gartner: "Fram till 2020 kommer organisationer som använder en flerstämmig strategi för medvetenhet om cybersäkerhet att uppleva en 40-procentig ökning av de anställdas totala säkerhetskompetens jämfört med 2017."
Det är uppenbart att ett omfattande och varierat program för medvetenhet om cybersäkerhet är nyckeln till att minska riskerna och påverka de anställdas beteende positivt.
3. Planera genomförandet av utbildningen
Utbildning i säkerhetsmedvetenhet bör vara en fortlöpande process och genomföras med jämna mellanrum under året. Att utbilda anställda en gång om året i cybersäkerhet är helt enkelt inte tillräckligt för att utrusta dem för att hantera de otaliga hoten som ständigt utvecklas. Säkerhetspolicyer kan bli värdelösa om inte organisationerna har ett grundligt och kontinuerligt sätt att övervaka efterlevnaden av cybersäkerheten.
Cyberbrottslingar lanserar bedrägerier som sammanfaller med säsongs- och månadshändelser, så om dina anställda inte får regelbunden utbildning om de senaste säkerhetshoten kommer de inte att kunna känna igen de nya, försåtliga angreppsmetoder som används för att angripa dem.
För att effektivt ändra de anställdas beteende och skapa en kultur med ökad medvetenhet om cybersäkerhet bör organisationer skapa en årlig kampanj för säkerhetsmedvetenhet som omfattar engagerande videor, policyer, frågesporter, undersökningar och simulerad nätfiske. Detta hjälper till att hålla personalen engagerad och förhindrar att de tröttnar på samma repetitiva innehåll. Organisationer kan skräddarsy olika material för olika användargrupper beroende på vilka specifika hot de står inför.
4. Testa utbildningens effektivitet
I början av ett program för medvetenhet om cybersäkerhet bör organisationer göra en första grundläggande bedömning för att fastställa var riskerna finns.
När detta har fastställts kan man genomföra regelbundna phishing-simuleringar för att ta reda på hur mottagligt företaget är för bedrägliga phishing-e-postmeddelanden och identifiera personal som behöver ytterligare utbildning. Kontrollerade simuleringstester hjälper de anställda att känna igen, undvika och rapportera potentiella hot som kan hota organisationens säkerhet.
Men för att verkligen förbättra de anställdas beteende bör organisationer genomföra ett fullständigt utbildningsprogram tillsammans med simulerade phishingkampanjer. Frågesporter och tester kan läggas till i slutet av utbildningsfilmerna för att förstärka de viktigaste budskapen och minska riskerna.
5. Spåra mätvärden
För att avgöra om ditt program för medvetenhet om cybersäkerhet är effektivt måste din organisation spåra mätvärdena och agera därefter. En detaljerad rapporteringsstruktur ger information om deltagande, engagemang och hjälper till att bedöma de individuella framstegen för anställda eller specifika avdelningar i hela organisationen.
På så sätt kan du identifiera vilka områden som de anställda kämpar med och avgöra vilka medarbetare som skulle kunna ta emot mer avancerad utbildning. Dessa data kan användas för att utforma framtida utbildning genom att ge feedback om vad som fungerar och vad som inte fungerar. Om din organisation till exempel inte ser någon minskning av säkerhetsincidenter, trots att ett säkerhetsprogram finns på plats, kan du behöva omvärdera ditt tillvägagångssätt och prova en annan metod.
MetaCompliance specialiserar sig på att skapa den bästa utbildningen för medvetenhet om cybersäkerhet som finns på marknaden. Våra produkter tar direkt itu med de specifika utmaningar som uppstår i samband med cyberhot och företagsstyrning genom att göra det lättare för användarna att engagera sig i cybersäkerhet och efterlevnad. Kontakta oss för mer information om hur vi kan hjälpa till att omvandla Cyber Security-utbildningen inom din organisation.
