Det bästa sättet att stoppa säkerhetsattacker som är inriktade på människor är att skapa en kultur för medvetenhet om säkerheten som är inriktad på människor. Här är hur man gör just det.
Ett bra företag bygger på bra människor: en organisation är beroende av att ha personal som man kan lita på, som gör ett bra jobb och som man kan lita på. Människor får ett företag att fungera, men de kan också få det att gå under. Cyberbrottslingar är också inriktade på människor.
I 85 % av cyberattackerna krävs en människa för att utföra någon åtgärd som gynnar angriparen: det kan handla om att klicka på en länk i ett e-postmeddelande, ladda ner en infekterad bilaga, ange inloggnings- och lösenordsuppgifter till en förfalskad webbplats eller något liknande.
Vad exakt är en kultur för säkerhetsmedvetenhet som är inriktad på människor?
Statistiken talar för sig själv, mänskligt beteende är lätt att manipulera och resultatet är ransomware, dataintrång och allmänna IT- och affärsskador samt störningar. I 91% av fallen börjar en cyberattack med ett phishing-mejl, enligt en rapport från Deloitte. Social engineering-baserade cyberattacker, där phishing är ett exempel, ökade med 270% under 2021.
Ett inlägg i MetaCompliance "Social Engineering: Hacking the Human" utforskades de djupt rotade aspekterna av mänskligt beteende som cyberkriminella utnyttjar. Det är nedbrytningen av dåliga säkerhetsbeteenden för att omvandla dem till positiva säkerhetsbeteenden som driver en kultur för säkerhetsmedvetenhet som är inriktad på människor: Människor är cyberkriminellas fokus, och i sin tur är de det bästa sättet att hantera cyberattacker.
Genom att ge de anställda kunskap om cybersäkerhetsbluffar bygger vi upp ett säkerhetstänkande hos dem som står i frontlinjen för attackerna - vår personal. Genom att använda rätt tillvägagångssätt för att leverera och odla denna säkerhetsmedvetenhet blir resultatet en kultur av säkerhetsmedvetenhet som är inriktad på människor.
Komponenterna i en kultur för säkerhetsmedvetenhet som är inriktad på människor
En kultur definieras av de normer och beteenden som utgör en grupp eller ett samhälle. Med andra ord beskriver termen "kultur" det sätt att leva och det trossystem som en grupp människor använder för att skapa ett hållbart samhälle.
Vanligtvis har en kultur i sin matris vävt in system som gör livet enklare och mer framgångsrikt för individerna i samhället. En organisation kan på samma sätt som en grupp, en by, en stad eller ett land skapa en kultur, eftersom även den består av individer.
God säkerhetspraxis kräver en beteendeförändring hos de anställda som gynnas av att säkerhetsbeteendena blir en kultur: detta uppnås bäst genom att se till att säkerheten blir en integrerad del av den övergripande företagskulturen. Det är dock inte bara medvetenhet som skapar en sådan kultur. Här är de komponenter som behövs för att skapa en kultur för säkerhetsmedvetenhet som är inriktad på människor:
- Fastställ en baslinje för förväntat beteende och använd den för att skräddarsy ditt program för säkerhetsmedvetenhet som är inriktat på människor.
- Välj ett program för medvetenhet om cybersäkerhet som erbjuder engagerande innehåll som innehåller personligt innehåll och skapar positiva säkerhetsbeteenden som kan delas.
- Upprätthålla en säkerhetskultur genom att regelbundet uppdatera utbildningen om säkerhetsmedvetenhet.
- Ge din personal möjlighet att rapportera säkerhetsincidenter.
Ställ upp förväntningar
Fastställ en baslinje för förväntade säkerhetsbeteenden.
Denna baslinje fastställs genom att förstå organisationens nuvarande säkerhetsläge och vad som behöver göras för att förbättra det. Olika metoder kan användas för att samla in de uppgifter som behövs för att fastställa den nödvändiga baslinjen för ett gott säkerhetsbeteende. Detta inkluderar kvantitativa mätvärden från inledande tester med hjälp av simuleringsprogram för nätfiske och kvalitativa uppgifter från undersökningar och diskussionsgrupper.
Den här övningen för underrättelseinhämtning kopplas sedan till ett program för utbildning i säkerhetsmedvetenhet för att tillhandahålla utbildning med fokus på människor. Denna kartläggning av kända svagheter i säkerhetsbeteendet till människorna i arbetsstyrkan hjälper till att upprätta ett effektivt och skräddarsytt utbildningsprogram som kan användas för att påverka beteendet hos enskilda personer, avdelningar och hela organisationen.
Om man utgår från denna baslinje med tydliga förväntningar ger man personalen en väg att gå som hjälper till att skapa en kultur där säkerhet är viktigast.
Lär dig socialt
Människor vill vara en del av något som är större än dem själva.
Kulturer bygger på ryggraden av mänsklig social interaktion. Teorier om kulturell utveckling ger förklaringar till hur kulturer utvecklas. En av dessa teorier handlar om socialt lärande: människor lär sig bäst genom att observera sina kamrater och genom att modellera scenarier, t.ex. genom berättelser. Kulturen föds genom att människor förmedlar information, kunskap och färdigheter mellan varandra.
Folksagor är ett bra exempel på social inlärning som ofta syftar till att förändra beteenden, t.ex. "Gå inte ensam ut i skogen, annars kommer den stora stygga vargen att äta upp dig". Många sagor kan spåras tillbaka till flera olika världskulturer under årtusenden. Att lära sig om säkerhetsmedvetenhet bör vara ett samarbete där medarbetarna arbetar tillsammans och lär sig socialt, interaktivt och engagerat.
Att lära sig säkerhetsmedvetenhet med hjälp av scenarier av social inlärning innebär vanligtvis att man använder spel, interaktiva moduler och input från expertutbildare. Användningen av experter är förknippad med begreppet "prestigeinriktad social inlärning" hos människor, vilket är känt för att hjälpa vuxna att lära sig svåra begrepp.
Upprätthålla ett positivt säkerhetsbeteende
En del av arbetet med att skapa en framgångsrik kultur för säkerhetsmedvetenhet som är inriktad på människor är effektiv uthållighet.
För att bibehålla ett positivt säkerhetsbeteende krävs fortsatt utbildning i säkerhetsmedvetenhet. Det finns två skäl till regelbunden utbildning i säkerhetsmedvetenhet. För det första säkerställer regelbundna uppdateringar av utbildningen att det föränderliga hotlandskapet återspeglas i utbildningspaketen. Detta är viktigt eftersom cyberbrottslingar ständigt ändrar sitt beteende och sin taktik för att lättare kunna lura anställda. För det andra håller regelbunden utbildning säkerheten i fokus hos de anställda, vilket bidrar till att upprätthålla företagets säkerhetskultur.
Värdefulla bidrag från de anställda
Säkerheten är allas ansvar; ta bort skulden från din kultur.
En PwC-studie visade att nästan tre fjärdedelar av de tillfrågade var rädda för repressalier om de rapporterade säkerhetsproblem. En säkerhetskultur kan bara bestå om rädslan tas bort från ekvationen. Skyll inte på en anställd som av misstag öppnar ett phishingmeddelande och klickar på en skadlig länk. Använd det i stället som en övning för att lära dig.
Se till att dina anställda vet att de är en del av lösningen, inte en del av problemet. Gör rapporteringen av säkerhetsincidenter till en naturlig del av din bredare kultur för säkerhetsmedvetenhet som är inriktad på människor. Ge de anställda verktygen så att rapporteringen blir enkel och en del av deras vardagliga arbetsliv. Visa dem hur säkerhetsrapportering leder till bättre upptäckt och förebyggande av cybersäkerhet.
Odla en säkerhetskultur som sätter människan i centrum
En människocentrerad säkerhetskultur skapas inte över en natt. Men genom att sätta rätt strukturer på plats kommer din organisation snabbt att börja se utvecklingen av ihållande och positiva informationssäkerhetsbeteenden.
Är du redo att stärka din säkerhetsposition? Läs våra insiktsfulla inlägg "Skapa cybersäkerhetsmästare för din organisation" och "5 viktiga områden för att maximera din cybersäkerhetsbudget". Du kan också utforska vårt omfattande eLearning Cyber Security Content Library för att utrusta ditt team med den kunskap de behöver för att trivas i dagens digitala landskap.
Ta det första steget mot en tryggare framtid - dyk ner i dessa resurser redan idag!