Det är ingen större mening med att göra något i livet om man inte vet att det är värt det och att det man gör kommer att fungera. Detta tankesätt gäller för många aspekter av ett företag, inklusive ett program för säkerhetsmedvetenhet.
När ett företag inrättar ett program för säkerhetsmedvetenhet bör de alltid ha i åtanke vad de försöker uppnå. I en rapport från Verizon från 2021 betonas att den "mänskliga faktorn" ligger bakom 85 % av dataintrången, och därför bör fokus ligga på att skapa ett gott säkerhetsbeteende vara av största vikt.
Men hur exakt kan man mäta en till synes oklar faktor som beteende?
Upprätta en baslinje för ett bra program för säkerhetsmedvetenhet?
För att mäta något behöver du en utgångspunkt, en baslinje. Ett program för säkerhetsmedvetenhet syftar till att ändra de anställdas beteende och attityder för att förbättra den övergripande säkerheten i ett företag.
En uppsättning klart definierade mål är en viktig utgångspunkt som du kan bygga vidare på när du testar hur framgångsrikt ditt program för säkerhetsmedvetenhet är. Dessa mål kommer att utgöra grunden för de metoder som används för att mäta ditt program för säkerhetsmedvetenhet med hjälp av en metodik som bygger på "utbildning och testning".
När du utvecklar ett program för säkerhetsmedvetenhet är det bäst att tänka på hur framgången för varje område i programmet kan mätas. På så sätt kan du bygga in testbara element i programmet. Typiska delar av ett holistiskt program för säkerhetsmedvetenhet bör omfatta följande:
- Säkerhetshygien: omfattar olika aspekter som val av lösenord och surfvanor på webben.
- Social ingenjörskonst: Vad är social ingenjörskonst och vilka typer av bedrägerier som påverkar en organisation och dess anställda.
- Medvetenhet om nätfiske: Utbildning av anställda i hur man upptäcker nätfisketaktik.
- Vanor för datorsäkerhet: inklusive hur man upptäcker om en dator kan vara infekterad och hur man använder säkerhetshöjande åtgärder, t.ex. en VPN för distansarbete.
Var och en av dessa aspekter av ett program för säkerhetsmedvetenhet kan mätas, och resultaten används sedan för att ge återkoppling för att optimera programmets framgång.
Måttet på framgång (eller inte) för ett program för säkerhetsmedvetenhet?
Att mäta resultaten av ett program för säkerhetsmedvetenhet är inte en övning som innebär att man klarar eller misslyckas. I stället ger det en inblick i hur effektiva de olika delarna av utbildningen i säkerhetsmedvetenhet är.
Resultaten kan användas för att återkoppla till de olika delarna av säkerhetsprogrammet för att optimera utbildningen; om något inte fungerar ger mätvärden och återkoppling en indikator på detta, vissa mätvärden kan till och med identifiera svagheter i specifika utbildningstillfällen. Denna information kan sedan användas för att bättre skräddarsy medvetenhetsutbildningen.
Områden som kan användas för att samla in data om säkerhetsutbildningens mätvärden är bland annat:
Undersökningar om medvetenhet och feedback från anställda
Undersökningar om medvetenhet är frågeformulär som de anställda fyller i för att få en inblick i hur effektiv utbildningen är. Även om denna metod är manuell kan den vara en användbar del av en portfölj av mätningar för att fastställa hur framgångsrikt ditt program för säkerhetsmedvetenhet är. Frågeformulär hanteras ofta av HR eller en säkerhetskonsult och innehåller vanligtvis frågor eller frågesporter som testar en anställds förmåga att upptäcka ett hot.
Simuleringar och mätvärden för nätfiske
Phishing-simuleringar utförs med hjälp av automatiserade plattformar som skickar ut testmejl till anställda. Simuleringsplattformen registrerar om den anställde lyckas upptäcka att testmeddelandet är ett nätfiskemeddelande eller inte. Simuleringsplattformar för nätfiske och råd om hur de ska användas, tillsammans med de mätvärden som de ger, finns tillgängliga via specialiserade tredje parter som MetaCompliance.
Social ingenjörskonst och mätvärden
Hur anställda reagerar på bedrägerier är en viktig aspekt av säkerhetsmedvetenhet. Bedrägerier som Business Email Compromise (BEC) är ofta sofistikerade och bygger på social ingenjörskonst.
En anställds reaktion på en simulerad social ingenjörskonst kan mätas både kvantitativt och kvalitativt, beroende på hur simuleringarna genomförs. Tredjepartsföretag kan ge råd om hur man skapar simulerade sociala ingenjörstester som kan mätas.
Insamling och rapportering av incidenter
Beviset ligger i puddingen, och den puddingen är de anställdas rapportering av säkerhetsincidenter. Ett system för rapportering av säkerhetsincidenter som gör det möjligt för de anställda att enkelt lägga in säkerhetshändelser kan vara ett sätt att mäta effektiviteten hos ett program för säkerhetsmedvetenhet.
Rapportering av incidenter har dubbla fördelar, eftersom de fungerar som ett system för triage och svar på säkerhetsproblem när de uppstår, och för att logga och granska personalens medvetenhet. De anställda bör utbildas i att använda incidentrapporteringssystemet för att registrera säkerhetshändelser, t.ex:
- Mottagande av ett nätfiskemeddelande
- Oavsiktlig exponering av ett lösenord
- Misstänkt infektion med skadlig kod
- Oavsiktlig exponering av information genom felaktig e-postleverans
- Förlorade eller stulna enheter
- Försök med social ingenjörskonst, t.ex. telefonbedrägeri.
Mät, lyssna, optimera
Program för säkerhetsmedvetenhet är kända för att vara svåra att mäta. Mätningen av beteende och förståelse är ofta kvalitativ snarare än kvantitativ. Genom att använda en kombination av faktorer som fångar upp indikatorer på beteendeförändring och medvetenhet kan ett företag dock se till att programmet är effektivt.
I slutändan behöver en organisation ett effektivt program för säkerhetsmedvetenhet för att minska antalet cyberattacker och förbättra företagets övergripande cybersäkerhet. När de anställda fortsätter att förstå hur cybersäkerhetshot fungerar kommer optimeringen av effektiviteten i ett program för säkerhetsmedvetenhet att resultera i en säkerhetskultur som lönar sig med bättre säkerhet.