Under 2022 fortsatte affärsvärlden att hantera angrepp av utpressningstrojaner, bedrägerier och dataintrång. Det var dock inte bara högprofilerade företag som attackerades, utan även hälso- och sjukvård, utbildning, myndigheter och småföretag drabbades av cyberattacker.
I en rapport för 2022 visade Office of National Statistics (ONS) en ökning med 25 % (till 4,5 miljoner) av bedrägeribrott för det år som slutade i mars 2022 jämfört med det år som slutade i mars 2020. År 2022 var nätfiske fortfarande det vanligaste hotet mot brittiska företag, med 83 % nätfiskebaserade attacker.
Ett nytt år ger dock nya förhoppningar och idéer.
Utbildning i säkerhetsmedvetenhet är fortfarande en viktig prioritering för företag som vill ta itu med bedrägerier, bedrägerier och andra cyberhot. Men hur kan din organisation förbättra sin utbildning i säkerhetsmedvetenhet år 2023?
Här är fem idéer för att göra din organisation redo för säkerhet år 2023.
Var positiv, var trygg
Cyberbrottslingar, särskilt de som använder sig av social ingenjörskonst och nätfiske, förlitar sig på dåligt säkerhetsbeteende för att få sina bedrägerier att fungera. Bra utbildning i cybersäkerhet handlar om att ändra negativa säkerhetsbeteenden till en mer positiv hållning. Att ändra beteendemönster kräver dock arbete.
Beteenden, som att klicka, är inlärda mönster och för att ändra djupt rotade handlingar krävs en gemensam ansträngning med strategier som simulerade phishing-kampanjer. Förbättra innehållet i din utbildning i säkerhetsmedvetenhet genom kampanjer som bygger på beprövade strategier, t.ex. interaktiv inlärning som ändrar dåliga beteendevanor till positiva åtgärder. Interaktivt lärande och engagerande innehåll ökar de anställdas engagemang och hjälper din organisation att utveckla en positiv säkerhetskultur.
Håll det relevant och intressant
Säkerhetsbranschorganisationen ISACA undersökte hur man kan förbättra utbildningen i säkerhetsmedvetenhet. Forskningen omfattade över 5 000 organisationer från hela världen. Undersökningen visade tydligt att effektiv utbildning i säkerhetsmedvetenhet kräver rätt typ av förmedling av intressant och relevant innehåll.
ISACA:s resultat visade bland annat att informationen bör ges i små delar efter den första sessionen och med jämna mellanrum för att förstärka inlärningen. Typen av information har också betydelse. Fallstudier från det verkliga livet bidrog till att befästa kunskapen och förstärka vikten av goda säkerhetsbeteenden.
Forskarna konstaterade att innehållet måste vara "relevant, relaterat till teori och praktik och berätta en historia". Använd material för utbildning i säkerhetsmedvetenhet, t.ex. korta förklaringsvideor och simuleringsövningar för nätfiske, för att engagera de anställda och göra innehållet relaterbart och relevant.
Belöna framgång, och spela inte skuldfrågan
Ingen tycker om att skylla sig själv, och i utbildningen om säkerhetsmedvetenhet bör man undvika att skylla sig själv när man utbildar anställda. Problemet med att lägga skulden på andra är att det kan leda till att människor tappar förtroendet, vilket leder till ännu värre olyckor.
Det tar tid att utveckla en robust cybersäkerhet och den bygger på många aspekter av organisationens IT-system, personal och processer. Skyll inte säkerhetsmisstag på de anställda, tekniken förändras och cyberkriminella ändrar sina tekniker, utan använd istället dåligt säkerhetsbeteende som en ursäkt för att ändra beteende och lära av misstag.
Avancerad utbildning för säkerhetsmedvetenhet ger interaktiva utbildningssessioner under en övning för att visa de anställda var de gjorde fel och hur de ska se till att de inte upprepar samma beteende.
Belöna också framgång i stället för att använda skuldbeläggning för att skämma ut dem. Om de anställda gör bra ifrån sig under utbildningen kan du ge dem små belöningar och uppmuntra till gott beteende.
Generera data som kan användas för åtgärder
Metriker ger en viktig inblick i hur effektiv en modul för utbildning i säkerhetsmedvetenhet är; vissa avancerade system ger en mycket detaljerad bild av hur effektiv en viss modul är, både över tid och på individuell basis.
Simuleringsmoduler för nätfiske genererar till exempel data för varje anställd och visar hur de anställda lär sig allt eftersom de utvecklar färdigheter för att identifiera hot via e-post. Använd mätdata för säkerhetsmedvetenhet för att finjustera dina utbildningsmoduler och identifiera beteenden som är svåra att förändra och som kräver mer uppmärksamhet - rikta in dig på specifika roller och grupper genom att använda mätdata för att utforma skräddarsydda simulerade phishing-kampanjer. Med tiden kommer den feedback som ges av granulära utbildningsmätningar att göra det möjligt för dig att utveckla effektivare utbildningssessioner.
Integrera säkerhetsutbildning med din organisation
Säkerhetsnormerna bör fastställas på organisationsnivå och integrera individerna i en säkerhetskultur där säkerheten kommer i första hand. Framgångsrik utbildning i säkerhetsmedvetenhet handlar om mognad av metoder och tillvägagångssätt, inte bara om att uppfylla kraven i regelverket.
De lagstadgade kraven för utbildning i säkerhetsmedvetenhet bör dock användas som en baslinje för att fastställa mätvärden för hur effektiv utbildningen är. Genom att förena organisatoriska mål med säkerhetsutbildning flyttar detta tillvägagångssätt säkerhetsbördan från en individuell till en kollektiv insats: bygg upp ett program för utbildning i säkerhetsmedvetenhet som passar era organisatoriska säkerhetsbehov och som inkluderar alla från styrelsen och neråt i utbildningssessionerna. Se till att varje avdelning har skräddarsydda utbildningsprogram som återspeglar verkliga hot. Bedrägerier som Business Email Compromise (BEC) riktar sig till exempel till avdelningar som VD:s kontor och leverantörsreskontra.
Det är troligt att 2023 kommer att bli lika utmanande för företag som arbetar med säkerhetshot som tidigare år. Ingen organisation, oavsett storlek eller bransch, kan sitta på sina lagrar och hoppas att den inte blir ett mål.
Men vår personal är vår styrka. Genom att tillämpa dessa fem förbättringsstrategier i ditt utbildningsprogram för säkerhetsmedvetenhet för 2023 kan du bidra till att utveckla en robust cybersäkerhetsställning och stärka dina anställda mot cyberkriminella och bedragare.
