Det bästa sättet att stoppa säkerhetsattacker som är inriktade på människor är att skapa en kultur för medvetenhet om säkerheten som är inriktad på människor. Här är hur man gör just det.
Ett bra företag bygger på bra människor: en organisation är beroende av att ha personal som man kan lita på, som gör ett bra jobb och som man kan lita på. Människor får ett företag att fungera, men de kan också få det att gå under. Cyberbrottslingar är också inriktade på människor.
I 85 % av cyberattackerna krävs en människa för att utföra någon åtgärd som gynnar angriparen: det kan handla om att klicka på en länk i ett e-postmeddelande, ladda ner en infekterad bilaga, ange inloggnings- och lösenordsuppgifter till en förfalskad webbplats eller något liknande.
Vad exakt är en kultur för säkerhetsmedvetenhet som är inriktad på människor?
Statistiken talar för sig själv, mänskligt beteende kan manipuleras och resultatet är utpressningstrojaner, dataintrång och allmänna IT- och företagsskador och störningar. I 91 procent av fallen börjar en cyberattack med ett phishing-e-postmeddelande, enligt en rapport från Deloitte. Social engineering-baserade cyberattacker, där phishing är ett exempel, ökade med 270 % under 2021.
Ett inlägg i MetaCompliance "Social Engineering: Hacking the Human" utforskades de djupt rotade aspekterna av mänskligt beteende som cyberkriminella utnyttjar. Det är nedbrytningen av dåliga säkerhetsbeteenden för att omvandla dem till positiva säkerhetsbeteenden som driver en kultur för säkerhetsmedvetenhet som är inriktad på människor: Människor är cyberkriminellas fokus, och i sin tur är de det bästa sättet att hantera cyberattacker.
Genom att ge de anställda kunskap om cybersäkerhetsbluffar bygger vi upp ett säkerhetstänkande hos dem som står i frontlinjen för attackerna - vår personal. Genom att använda rätt tillvägagångssätt för att leverera och odla denna säkerhetsmedvetenhet blir resultatet en kultur av säkerhetsmedvetenhet som är inriktad på människor.
Komponenterna i en kultur för säkerhetsmedvetenhet som är inriktad på människor
En kultur definieras av de normer och beteenden som utgör en grupp eller ett samhälle. Med andra ord beskriver termen "kultur" det sätt att leva och det trossystem som en grupp människor använder för att skapa ett hållbart samhälle.
Vanligtvis har en kultur i sin matris vävt in system som gör livet enklare och mer framgångsrikt för individerna i samhället. En organisation kan på samma sätt som en grupp, en by, en stad eller ett land skapa en kultur, eftersom även den består av individer.
God säkerhetspraxis kräver en beteendeförändring hos de anställda som gynnas av att säkerhetsbeteendena blir en kultur: detta uppnås bäst genom att se till att säkerheten blir en integrerad del av den övergripande företagskulturen. Det är dock inte bara medvetenhet som skapar en sådan kultur. Här är de komponenter som behövs för att skapa en kultur för säkerhetsmedvetenhet som är inriktad på människor:
Ställ upp förväntningar
Fastställ en baslinje för förväntade säkerhetsbeteenden.
Denna baslinje fastställs genom att förstå organisationens nuvarande säkerhetsläge och vad som behöver göras för att förbättra det. Olika metoder kan användas för att samla in de uppgifter som behövs för att fastställa den nödvändiga baslinjen för ett gott säkerhetsbeteende. Detta inkluderar kvantitativa mätvärden från inledande tester med hjälp av simuleringsprogram för nätfiske och kvalitativa uppgifter från undersökningar och diskussionsgrupper.
Den här övningen för underrättelseinhämtning kopplas sedan till ett program för utbildning i säkerhetsmedvetenhet för att tillhandahålla utbildning med fokus på människor. Denna kartläggning av kända svagheter i säkerhetsbeteendet till människorna i arbetsstyrkan hjälper till att upprätta ett effektivt och skräddarsytt utbildningsprogram som kan användas för att påverka beteendet hos enskilda personer, avdelningar och hela organisationen.
Om man utgår från denna baslinje med tydliga förväntningar ger man personalen en väg att gå som hjälper till att skapa en kultur där säkerhet är viktigast.
- Fastställ en baslinje för förväntat beteende och använd den för att skräddarsy ditt program för säkerhetsmedvetenhet som är inriktat på människor.
Lär dig socialt
Människor vill vara en del av något som är större än dem själva.
Kulturer bygger på ryggraden av mänsklig social interaktion. Teorier om kulturell utveckling ger förklaringar till hur kulturer utvecklas. En av dessa teorier handlar om socialt lärande: människor lär sig bäst genom att observera sina kamrater och genom att modellera scenarier, t.ex. genom berättelser. Kulturen föds genom att människor förmedlar information, kunskap och färdigheter mellan varandra.
Folksagor är ett utmärkt exempel på socialt lärande som ofta är utformat för att ändra beteende, t.ex. gå inte ensam i skogen, annars kommer den stora stygga vargen att äta upp dig; många sagor kan spåras tillbaka till flera världskulturer under årtusenden. Lärandet om säkerhetsmedvetenhet bör vara ett samarbete där de anställda arbetar tillsammans och lär sig socialt, interaktivt och engagerande.
Att lära sig säkerhetsmedvetenhet med hjälp av scenarier av social inlärning innebär vanligtvis att man använder spel, interaktiva moduler och input från expertutbildare. Användningen av experter är förknippad med begreppet "prestigeinriktad social inlärning" hos människor, vilket är känt för att hjälpa vuxna att lära sig svåra begrepp.
- Välj ett program för medvetenhet om cybersäkerhet som erbjuder engagerande innehåll som innehåller personligt innehåll och skapar positiva säkerhetsbeteenden som kan delas.
Upprätthålla ett positivt säkerhetsbeteende
En del av arbetet med att skapa en framgångsrik kultur för säkerhetsmedvetenhet som är inriktad på människor är effektiv uthållighet.
För att bibehålla ett positivt säkerhetsbeteende krävs fortsatt utbildning i säkerhetsmedvetenhet. Det finns två skäl till regelbunden utbildning i säkerhetsmedvetenhet. För det första säkerställer regelbundna uppdateringar av utbildningen att det föränderliga hotlandskapet återspeglas i utbildningspaketen. Detta är viktigt eftersom cyberbrottslingar ständigt ändrar sitt beteende och sin taktik för att lättare kunna lura anställda. För det andra håller regelbunden utbildning säkerheten i fokus hos de anställda, vilket bidrar till att upprätthålla företagets säkerhetskultur.
- Upprätthålla en säkerhetskultur genom att regelbundet uppdatera utbildningen om säkerhetsmedvetenhet.
Värdefulla bidrag från de anställda
Säkerheten är allas ansvar; ta bort skulden från din kultur.
En PwC-studie visade att nästan tre fjärdedelar av de tillfrågade var rädda för repressalier om de rapporterade säkerhetsproblem. En säkerhetskultur kan bara bestå om rädslan tas bort från ekvationen. Skyll inte på en anställd som av misstag öppnar ett phishingmeddelande och klickar på en skadlig länk. Använd det i stället som en övning för att lära dig.
Se till att dina anställda vet att de är en del av lösningen, inte en del av problemet. Gör rapporteringen av säkerhetsincidenter till en naturlig del av din bredare kultur för säkerhetsmedvetenhet som är inriktad på människor. Ge de anställda verktygen så att rapporteringen blir enkel och en del av deras vardagliga arbetsliv. Visa dem hur säkerhetsrapportering leder till bättre upptäckt och förebyggande av cybersäkerhet.
- Ge din personal möjlighet att rapportera säkerhetsincidenter.
En kultur för säkerhetsmedvetenhet som är inriktad på människor skapas inte över en natt. Men genom att införa rätt strukturer kommer din organisation snabbt att börja se utvecklingen av ett uthålligt och positivt informationssäkerhetsbeteende.
