چگونه فرهنگ امنیت سایبری مbersثر بسازیم

داشتن ابزارهای مناسب و متخصصان امنیتی خوب تا حد زیادی به ایجاد یک سازمان امن کمک می کند ، اما در واقع این تنها نیمی از جنگ است. اگر کارمندان شما امنیت سایبری را جدی نمی گیرند ، هنوز هم یک مشکل دارید مشکل بزرگ. از بی علاقگی به راحتی و ترس از عواقب ناشی از آن ، دلایل زیادی برای عدم رعایت قوانین توسط کارمندان وجود دارد.

به طور فزاینده ای ، شرکت ها بدانید که فرهنگ پیرامون امنیت سایبری باید منسجم و مثر باشد. گزارشی از Osterman Research نشان داد که 96٪ از رهبران امنیتی و فناوری اطلاعات می گویند توسعه یک قدرتمند فرهنگ امنیت سایبری بسیار مهم است حدود سه چهارم این رهبران می گویند که کارمندان به اندازه فناوری مهم هستند یا از امنیت بیشتری برای حفظ امنیت سازمان برخوردار هستند.

با این حال تعداد کمی آن را درست می کنند. یک KnowBe4 گزارشبه عنوان مثال ، دریافت که کارکنانی که در یک فرهنگ ضعیف امنیت سایبری کار می کنند ، اعتبارات 52 برابر بیشتر از کارکنانی که در یک فرهنگ امنیتی خوب کار می کنند ، به اشتراک می گذارند. کای رور ، یک محقق فرهنگ امنیتی در KnowBe4 ، گفت که این شرکت دریافته است که هیچ بخشی از صنعت به آنچه که آن را فرهنگ امنیتی خوب تعریف می کند ، نرسیده است.

گرچه ممکن است اوضاع ناامیدکننده به نظر برسد ، اما دور از واقعیت است. در اینجا نحوه حمله به این مشکل وجود دارد:

دمای فرهنگی شرکت خود را در نظر بگیرید. اطلاع از چگونگی طبقه بندی کارکنان بهداشت امنیت سایبری خود ، چگونگی درک امنیت سایبری در شرکت ، چگونگی مشاهده نقش خود در امنیت سایبری سازمانی ، چگونگی پایبندی آنها به خط مشی ها و روشهای امنیتی و همچنین تمایل آنها به یادگیری بیشتر و تغییر ، اولین نکته مهم است. گام در ایجاد تغییرات. بسیاری از شرکت ها از یکی از نظرسنجی های موجود در زمینه فرهنگ امنیت سایبری ، مانند نظرسنجی فرهنگ امنیت سایبری Infosec IQ یا KnowBe4 نظرسنجی فرهنگ امنیت.

دونا گومز ، تحلیلگر خطرات امنیتی و انطباق در دولت جانسون کانزاس ، طرفدار این نوع نظرسنجی ها است. وی طی چندین سال گذشته بارها از 3800 کارمند این شهرستان نظر سنجی کرده و آنها را با ارزش ارزیابی کرده است. وی گفت: “این نظرسنجی ها واقعاً به ما می سنجد كه ما چه چیزی ارائه می دهیم و آیا این اهداف را برآورده می كند.” “این به ما کمک می کند تا ابزار و آموزش مناسبی ارائه دهیم تا آنها کمتر قربانی شوند.”

سرزنش را از بین ببرید. سوشيلا ناير ، افسر امنيتي با NTT Data Services و عضو هيئت مديره ISACA Greater Washington، DC ، Chapter ، يك سازمان صنعتي كه آموزش هاي آموزشي و اعتبارسنجي را ارائه مي دهد ، گفت: بسياري از مسائل امنيتي به دليل خطاي كاربري بوجود مي آيد ، اما سرزنش كردن کاربران اقدام بدي است. . وی گفت: “اگر شما یک فرهنگ سرزنش داشته باشید ، مردم قدم جلو نمی گذارند.” “در عوض ، این باید در مورد کمک به مردم برای جلوگیری از این اشتباهات در آینده باشد. آنها باید بدانند که به خاطر صداقت پاداش می گیرند و جریمه نمی شوند. “

آموزش آگاهی از امنیت را توسعه دهید برنامه های مبتنی بر نقاط ضعف خاص سازمان شما. “ما می بینیم آگاهی امنیتی این برنامه به عنوان راهی برای بهبود تقریباً کلیه مسائل امنیتی فرهنگی است. “، مگان ساول ، معاون بازاریابی و تحقیقات Infosec گفت. “این در مورد ارائه محتوایی است که می تواند در راستای اهداف بلند پروازانه اعتماد سازی ، افزایش تعامل و تغییر احساس مردم در مورد نتایج حوادث امنیتی ایجاد شود.” وی افزود ، مهم است که آموزش برخلاف رویکرد پاورپوینت جذاب باشد.

هدف قرار دادن آن نیز مهم است آموزش در کاربران خاص که مسائل خاصی را به نمایش می گذارند. Roer گفت ، این مهم است ، زیرا عوامل روانشناختی همه برای عمل متفاوت است.

“برخی از کارمندان ممکن است با یک نوع تلاش فیشینگ فریب خورده باشند ، اما دیگران این کار را نمی کنند. با شناسایی اینکه چه نوع فیشینگ برای هر کارمند کار می کند ، می توانید به کارمندان خاص در مورد مسائل خاص آنها آموزش دهید. ” علاوه بر بهبود نتایج ، روند کار را نیز دلپذیرتر می کند ، زیرا کارمندان مجبور نیستند جلساتی را بخوانند که ممکن است برای آنها مهم نباشد.

مشوق ایجاد کنید. بسیاری از شرکت ها دریافتند که روش هویج و چوب می تواند معجزه کند. به عنوان مثال ، گومز از برخی از بازی های شبیه سازی ارائه شده توسط Infosec ، مانند “ماجراجویی خود را انتخاب کنید ،”آموزش مبتنی بر سناریو که به عنوان یک بازی مبدل شده است. نایر با ایجاد حملات فیشینگ شبیه سازی شده و تبلیغ کارمندانی که طعمه را نمی زنند ، نوع دیگری از رویکرد تشویقی را برای شرکت خود استفاده می کند. “اساساً ، این در مورد ایجاد قهرمانان است ، که به مردم برای انجام کار خوب شناخت مثبت می دهد. این فرهنگ مورد نظر شما را می سازد. “

تغییر فرهنگ امنیت سایبری استقامت می خواهد ، اما می تواند نتیجه دهد.

گومز گفت: “من اعتقاد راسخ به قانون 80-20 دارم: مهم نیست که چه کاری انجام می دهید ، برخی از افراد سختگیرتر هستند و شما باید تلاش کنید تا به آنها برسید.