当人们决定陷入塑造时,他们必须承诺时间和精力来做。去健身房曾经不会削减它。在改变时也是如此组织文化.为了有效地改变员工行为,培训需要持续和相关。

技术正在迅速发展。越来越多,新的解决方案能够从内部和外部更好地防止企业对恶意演员,但仅靠工具无法防范网络攻击。

verizon2019年数据泄露调查报告(DBIR)发现:

虽然黑客和恶意代码可能是当使用术语“数据违规”术语时最常见的单词,但还有其他威胁行动类别已经存在较长,并且仍然无处不在。社会工程,随着滥用,错误和物理,不依赖于卡斯特劳斯的存在。

简而言之,人们很重要。员工教育事项。

SANS研究所(SANS Institute)研究和社区主管兰斯•斯皮茨纳(Lance Spitzner)表示,过去十年来,采用技术手段保护企业安全的做法已经开始瓦解。“我们面临的挑战是,我们一直认为网络安全是一个技术问题。坏人利用技术攻击技术,所以让我们专注于利用技术保护技术。”

组织越来越明白,我们也必须解决人类问题。今年DBIR的调查结果是人类行为是企业安全问题的证据。根据该报告:

  • 33%的数据泄露包括社交攻击
  • 21%是由偶然事件造成的
  • 由于授权用户滥用,造成了15%的违规行为
  • 32%的违规涉及网络钓鱼
  • 29%的入侵涉及使用被盗凭证

打电话给所有利益相关者

一些组织仍在实施过时的基于计算机的年度培训,并想知道为什么他们的安全意识项目不起作用。尽管安全团队明白他们必须做得更多,但创建一个有效的员工教育计划需要各种不同利益相关者的支持,KnowBe4首席宣传官和战略官佩里·卡朋特(Perry Carpenter)说转变的安全意识:神经科学家、故事讲述者和市场营销者能教给我们的关于驱动安全行为的东西

“如果他们陷入了一年一次的僵局,他们就必须找到一种方法来证明过去是合理的,所以他们必须向高管团队做一些推销,以便获得支持,进行更频繁的沟通,并获得更多预算。本质上,这是他们必须出售的更高的触摸,”卡彭特说。

即使是那些没有预算使用外部供应商的组织也可以找到方法来创建引人注目的内容,这意味着安全团队的任务是证明需要更多的员工参与。

根据木匠的说法,一种销售需要的方式是利用称为知识衰减的心理效果。“我们去了两天后,我们忘记了大部分内容。我们从中得到了更多的东西,更具无关紧要,断开连接,不可见。“

证据表明,更频繁的安全教育是创建更具吸引力的意识计划的第一步。”在你做的所有事情中,你要么在增强力量,要么在允许萎缩,”卡彭特说。

一旦你有能力真正发展公司的安全意识项目,你就需要弄清楚如何与人们建立联系。这就是为什么Carpenter热衷于使用多种渠道的营销方法。

鉴于某些人在视觉上学习最佳,而其他人更喜欢亲自教学,确定哪种内容表格最为与不同的员工提供通知该计划成功所需的培训类型。

PowerPoint不再有死亡

由审计人员开发的以计算机为基础的培训程序在保护企业免受复杂的网络钓鱼攻击方面收效甚微。如果你想让人们关心安全,你需要在技术和人之间建立一座桥梁。

有时,那些在技术上熟练的人并没有擅长与人沟通。“传统上,一些最大的容器对认识计划的是安全人士,他们认为内容不是技术不是安全的,”Spitzner说。

现在,安全专业人士开始意识到,员工对各种攻击媒介的反应不同,这就是为什么CybeReady说,在实时收集和分析性能数据至关重要,对建立更好的意识教育计划至关重要。

“特别设计的‘治疗计划’应该包括调整频率、及时提醒、定制模拟和培训内容,以帮助改革这一特别易感群体,”塔兰说。

赋予雇员权力

为了让公司领先网络罪犯一步,他们的员工教育项目需要有吸引力。这就是为什么建立安全意识文化是组织可以采取的最重要的步骤之一。

“流程和政策很好,但如果你没有赢得心灵和思想并从员工获得买入,那可能是一个非起动器。糟糕的家伙并不关心你的政策是多么好,甚至你有任何东西,“莱卡·普拉格默尔说,赛马师赛信息安全

同样重要的是不要推卸责任。Plaggemier说,相反,“通过一个影响行为的项目,通过宣传活动和高质量的培训来授权员工。”

为了制造网络犯罪和欺诈保护贵公司文化的关键部分,Plaggemier建议领导和管理人员考虑以下提示:

  • 是一个例子。领导者有能力改变态度、信念,并最终改变员工的行为。如果领导者在安全方面走捷径,让公司处于危险之中,员工就不会相信公司会认真地尽一切努力保持工作场所的安全。
  • 清楚。如果混淆可以创造反应性的文化而不是主动行为,清晰度有助于优先考虑工作。明确表示保护业务是通过创建书面策略并具有明确的流程和程序来实现的首要任务。
  • 是重复的. 重复是向员工灌输良好安全习惯的关键。随着时间的推移,人类通过重复他们的行为来创造新的习惯。鼓励员工将那个些不寻常的任务变成例行公事,比如打电话给供应商确认是他让你们改变他的“付款方式”账户。
  • 要乐观.恐惧、不确定和怀疑都不是好的激励因素。相反,要使用能赋予员工权力的语言。让人们觉得在你与他们分享的信息中他们很重要,这样当他们面对潜在的恶意信息时,他们就能更好、更聪明、更自信地做出选择。