În cadrul conferinței RSA 2020, una din temele abordate a fost cum poate fi îmbunătățită respectarea securității cibernetice de către angajați.
Formarea angajaților este de multe ori ineficientă. Afacerile excelează în multe lucruri, dar gestionarea programelor de formare a angajaților concepute pentru a îmbunătăți conformitatea cu protocoalele de securitate cibernetică nu este una dintre ele.
Un angajat începe o sesiune de instruire, dar este întrerupt rapid și repetat – de către un coleg, un client sau chiar o chestiune personală – chiar și pe măsură ce modulele de instruire continuă. În curând sesiunea s-a încheiat și este suficient de ușor să certificați pur și simplu că instruirea a fost finalizată, chiar dacă angajatul nu știe prea multe pe care nu le știa înainte.
Nu este de mirare că companiile continuă să se lupte cu respectarea efectivă a angajaților cu politicile de securitate, indiferent de formare.
Oamenii nu sunt bine pregătiți pentru respectarea securității
Chiar și știința evoluției lucrează împotriva companiilor care încearcă să obțină o cooperare mai bună de la angajați.
Pentru a răspunde acestor provocări, companiile trebuie să elaboreze programe de instruire care să atragă și să motiveze angajații, să îi ajute să păstreze informațiile pe care le-au învățat și să îi încurajeze să acționeze în moduri care protejează compania.
Elemente ale unui program de bună securitate
Fiecare afacere ar trebui să ia în considerare următoarele lucruri atunci când vine vorba de formarea angajaților:
Programul în sine: întreprinderile ar trebui să alinieze activități de formare specifice cu obiectivele lor particulare, acordând o atenție specială zonelor de deficiență și maturității angajaților în ceea ce privește conștientizarea securității.
Motivație: securitatea este plictisitoare – sau așa cred angajații. Dar trebuie să fie? Compania se străduiește să facă antrenamentul atrăgător și distractiv, concepând strategii de gamificare pentru a ajuta lucrătorii să învețe și să dezvolte o serie de clipuri video în care un actor vizitează compania și merge la membri ai echipei de securitate IT pentru a obține sfaturi despre subiecte precum phishingul.
Păstrare: Diferite studii au arătat că oamenii tind să fie destul de răi când își amintesc informațiile nou învățate. Uităm 50% din ceea ce învățăm într-o oră și încă 20% până a doua zi.
Pentru a combate acest lucru, Microsoft folosește o „platformă de întărire a instruirii bazată pe AI” ca terță parte, care îi ia pe angajați printr-o serie de întrebări ulterioare legate de un modul de formare recent.
Aplicație: Multe companii rulează simulări de phishing; Microsoft rulează simulări care sunt de fapt provocatoare, trimitând e-mailuri care arată mai bine decât e-mailul tipic de phishing și construind site-uri web false care arată real. Există indicii, inclusiv erori gramaticale în e-mailuri și linkuri cu adrese URL pe care Microsoft nu le-ar folosi niciodată. Totuși, indiciile sunt subtile, întrucât adevărații phishers devin mai buni la evitarea semnelor revelatoare care le-au caracterizat mesajele în urmă cu câțiva ani.
Resurse: Microsoft a creat un manual de securitate online la care toți lucrătorii au acces ușor. Include politicile de securitate ale companiei și îndrumări despre cum să rămâi în siguranță. Compania facilitează, de asemenea, angajaților o modalitate de raportare a mesajelor suspecte doar prin apăsarea unui buton.
Programele de conformitate bine concepute nu sunt doar de sus în jos și punitive. În schimb, aceștia primesc contribuții și tind să fie iertători pentrucei care greșescc și se auto-raportează.
SolvIT Networks este distribuitor al soluțiilor de securitate IT, risc si conformitate al RSA, Divizia de Securitate a EMC.