Trots att stora budgetar och resurser investeras i cybersäkerhet är intrång fortfarande vanliga och får allt större effekt.
När incidenter analyseras finns det en gemensam faktor – tekniken undergrävs av mänskligt agerande.
Det kan handla om personal som uppger autentiseringsuppgifter i förfalskade formulär eller faller för e-post som uppmanar till att köra skadlig programvara.
World Economic Forums konstaterande att 95 procent av säkerhetsintrången uppstår på grund av mänskligt agerande förmedlar ett tydligt budskap: att säkerhetsmedvetenhet över hela organisationen är absolut nödvändig.
Här är de tre vanligaste misstagen som hindrar ditt arbete kring säkerhetsmedvetenhet och tre steg för att förbättra din position.
Steg 1: Var kreativ med namnet på ditt utbildningsprogram
Andrew Rose, Resident CISO, EMEA på Proofpoint
Hur enkelt det än låter kan du ha namngett ditt utbildningsprogram felaktigt. Idag bedriver de flesta utbildningar för att öka just säkerhetsmedvetenheten, men det är inte vad vi egentligen vill ha.
Allra helst vill vi ändra beteende. Att kalla utbildningar för “säkerhetsmedvetenhet” uppmuntrar oss att fokusera på fel resultat. Om vårt verkliga mål är att sluta röka, skulle vi inte kalla vårt initiativ “var medveten om riskerna med rökning.”
Som tur är finns en enkel lösning – ändra namnet på ditt program. Bestäm det verkliga resultatet du vill uppnå och namnge programmet på rätt sätt.
Steg 2: Förstå din kultur
Allt för ofta beslutas det om att förändra organisationens kultur genom att öka mängden utbildning. Det kommer helt enkelt inte att ske. Det finns en mognadsmodell jag använder: medvetenhet, beteende, kultur. För varje steg finns en förändring av fokus som krävs för att övergå från ett steg till nästa.
Låt oss anta att vi redan uppfyllt medvetenhetsnivån. För att gå vidare till beteendenivån måste du se till att personalen förstår konsekvenserna av cybersäkerhet, både på ett personligt och ett professionellt plan. När personalen både har medvetenhet och motivation är det mycket mer sannolikt att de visar rätt beteende, något det finns vetenskapliga belägg för i professor BJ Foggs beteendemodell.
Steg 3: Straffa endast när det är nödvändigt
Motivation kan uppmuntras på flera sätt, varav ett är att skapa en rädsla för konsekvenser om personalen gör fel. Hos säkerhetspersonal skiljer sig åsikterna i den här frågan. Vissa anser att negativa konsekvenser måste undvikas medan andra använder dem som sitt främsta verktyg. Båda förhållningssätten är misstag, den optimala vägen framåt ligger snarare någonstans mittemellan.
Säkerhetsteam som är snabba att straffa kommer att förlora personalens stöd och uppfattas som den organisatoriska trafikpolisen. Den organisation jag har sett med den lägsta klickfrekvensen för sina nätfisketester hade både en negativ konsekvensmodell och ett tillgängligt och omtyckt säkerhetsteam. Hur klarade de det? Allt handlar om timing.
Till en början bör en konsekvensmodell enbart fokusera på belöning för att man gör rätt. Först när organisationen går från beteende-nivån till kultur-nivån kan den negativa konsekvensmodellen övervägas. Då finns redan en solid nivå av stöd i hela verksamheten, och den negativa konsekvensmodellen kan positioneras som det sista steget, implementerat för att motivera de få eftersläpande som inte är i linje med den kultur som övriga anammat.
I en tid där människor är så grundläggande för vårt cyberförsvar blir säkerhetskulturen helt och hållet avgörande. Att ta itu med dessa tre vanliga problem kommer att göra en anmärkningsvärd skillnad för ditt säkerhetsarbete och minska risken för säkerhetsintrång.
Andrew Rose, Resident CISO, EMEA på Proofpoint
