MetaBlog

Håll dig informerad om ämnen för utbildning i cybermedvetenhet och minska riskerna i din organisation.

Hur man mäter framgången för ditt utbildningsprogram för säkerhetsmedvetenhet

Utbildning i säkerhetsmedvetenhet

om författaren

Dela på linkedin
Dela på twitter
Dela på facebook

Här är några sätt att registrera hur du kan mäta ditt program för utbildning i säkerhetsmedvetenhet.

När något mäts ger det oss data. Oavsett om uppgifterna handlar om längden på ett snöre eller om en anställds ändrade beteende när han eller hon konfronterades med ett phishing-e-postmeddelande, ger dessa uppgifter oss viktiga insikter om en uppgift eller ett projekt.

Framgången eller inte för ett program för utbildning i säkerhetsmedvetenhet (SAT) kan mätas på flera olika sätt och ger viktiga insikter om utbildningens effektivitet. Men för att optimera dessa mätningar krävs ett tvärfunktionellt team med visioner.

Varför ska man bry sig om att mäta effektiviteten i ett utbildningsprogram för säkerhetsmedvetenhet?

I ett nyligen publicerat dokument från Gartner Inc. med titeln "Take 3 Steps to Prove That Your Security Awareness Program Is Actually Working" beskrivs varför och hur man mäter ett program försäkerhetsmedvetenhet. I dokumentet, som är skrivet för säkerhets- och riskansvariga, anges tre viktiga skäl till varför det är viktigt att mäta utbildning för säkerhetsmedvetenhet:

  1. Om du inte kan visa att cyberrisken har minskat genom programmet kommer du inte att få stöd från ledningen för att fortsätta utbildningen i säkerhetsmedvetenhet.
  2. Utbildning i säkerhetsmedvetenhet tas ofta in i en organisation utan att man har en tydlig vision av vad man försöker uppnå. Detta resulterar i ett program som inte leder till de beteendeförändringar som krävs för att minska cyberrisken. 
  3. Att mäta hur framgångsrik en utbildning i säkerhetsmedvetenhet är kan inte baseras på enskilda variabler. Dessa program innehåller många element och dessa måste fångas upp för att visa den verkliga effekten av ett program för säkerhetsskydd.

En av huvudpunkterna i dokumentet är att en tydlig vision måste utgöra grunden för ett program för säkerhetsmedvetenhet. Utan denna tydliga vision om vad man vill uppnå kommer mätningarna att vara meningslösa. Med andra ord är mätningar effektivare om de har en utgångspunkt som jämförelse. Denna vision måste dock vara direkt kopplad till affärsresultat. Ett sätt att fastställa denna utgångspunkt är att använda ett tvärfunktionellt tillvägagångssätt, det vill säga att föra samman grupper över organisationsgränserna för att ge input till vad som är viktigt för att minska cyberrisker.

Detta är en kontinuerlig övning och bästa praxis eftersom cyberattacker ständigt orsakar förödelse inom alla industrisektorer. Affärs- och verksamhetsbeslut är nu intimt förknippade med säkerhet. Covid-19-pandemin och mandatet att arbeta hemifrån visade detta, med den ökade säkerhetsrisken med hemarbete; hemarbetande ger fler möjligheter för cyberbrottslingar att angripa ett företags nätverk via sina anställda.

Men en vision behöver bevisbara åtgärder för att visa att den uppfyller sitt uppdrag. För att visa en chef eller styrelse hur väl ett program går framåt krävs hårda fakta. Det är här som mätningar kommer in i bilden.

Tre sätt att mäta hur framgångsrikt utbildningsprogrammet för säkerhetsmedvetenhet är

I Gartners dokument nämns tre viktiga saker som visar att ditt program för säkerhetsmedvetenhet fungerar. Dessa tre områden kan delas upp i följande:

Generera

Skapa en vision om en säkerhetskultur: Vad är det som din organisation behöver från programmet för säkerhetsmedvetenhet? Vilka säkerhetsbeteenden vill ni se som resultat av de anställdas utbildning i säkerhetsfrågor?

Fånga

Fånga upp mätvärden för säkerhetsbeteende: skapa mätvärden för säkerhetsmedvetenhet som visar på meningsfulla och positiva förändringar i säkerhetsbeteendet. Dessa mätvärden kan till exempel bestå av traditionella mätvärden för säkerhetsmedvetenhet från undersökningar och simuleringar av nätfiske.

Visa

Påvisa minskad riskexponering: visa Cx-teamet spårbara förändringar i säkerhetsbeteendet som är kopplade till materiella resultat i form av minskad exponering för cyberrisker.

Fånga upp mätvärden och beteendeförändringar

Säkerhetsvisionen är den viktigaste punkten när det gäller att samla in mätvärden och beteendemässiga bevis. Denna vision utgör sedan det bevis som behövs för att visa Cx-teamet att utbildningen i säkerhetsmedvetenhet fungerar. Det finns många sätt att mäta säkerhetsmått, och MetaCompliance har diskuterat mätningar av utbildning i säkerhetsmedvetenhet i ett tidigare blogginlägg.

Mätning ger kvantifierbara uppgifter som utgör grunden för en utvärdering av avkastningen på investeringen (ROI). Men en enkel avkastningsekvation fångar inte den positiva, pågående effekten av ett välutvecklat program för säkerhetsmedvetenhet. En organisations centrala säkerhetsvision måste kartläggas för att man ska kunna validera slutresultat som innebär att organisationens totala cyberrisk minskar. Visionen om en säker organisation måste leda till ett säkerhetstänkande och därmed sammanhängande beteendeförändringar.

För att underlätta mätningen talar Gartner i sitt dokument om "Signaturbeteenden", som beskrivs som "Signaturbeteenden är sådana som tydligt återspeglar positiv avsikt och stöd från slutanvändarna för att förverkliga visionen om säkerhetsmedvetenhet".

Gartner kartlägger några exempel på önskade säkerhetsrutiner mot signaturbeteenden för säkerhet:

Öva: Alla slutanvändare använder starka lösenord

Beteende: Vi använder alltid lösenfraser för att skapa våra lösenord som används för att komma åt våra arbetskonton.

Öva: Kontrollera länkar innan du klickar på dem

Beteende: Vi är uppmärksamma på och rapporterar misstänkta e-postmeddelanden till IT-servicedesk.

Som en del av din säkerhetsvision bör du samarbeta med ditt tvärfunktionella team för att utveckla en uppsättning signaturbeteenden som sedan kan användas för att bevisa att programmet för utbildning i säkerhetsmedvetenhet är framgångsrikt.

Beviset på puddingen genom bättre säkerhet

I slutändan vill ett företag se att dess investering i ett program för säkerhetsmedvetenhet återspeglas i minskade chanser att dess data bryts. Genom att utvärdera signaturbeteenden mot hottyper kan en organisation berika en enkel avkastningsekvation med mervärde.

Beviset för säkerhetsutbildning finns i puddingen. Med tiden kommer ett välplanerat och effektivt program för utbildning i säkerhetsmedvetenhet att leda till en minskning av cyberattacker. Men det är med en stark vision som allting börjar.

Ta 3 steg för att bevisa att din utbildning i säkerhetsmedvetenhet faktiskt fungerar

du kanske tycker om att läsa dessa