Обучение по вопросам безопасности нуждается в обновлении

Фальшивое фишинговое письмо теряет свой блеск.

Внутреннее обучение ИТ повышает квалификацию персонала.

Обучение по повышению осведомленности играет важную роль в общем состоянии кибербезопасности организации. Но в то время как инструменты и платформы безопасности регулярно обновляются или заменяются, чтобы соответствовать вызовам постоянно меняющегося ландшафта угроз, обучение по вопросам безопасности остается застойным.

Обучение — это первое и часто единственное взаимодействие с командой безопасности, — говорит Мариса Фаган, руководитель отдела культуры доверия и обучения в Atlassian. Это возможность для команды безопасности создать положительный опыт, который доставляет удовольствие, а также обучает сотрудников, что впоследствии может принести большую отдачу благодаря более быстрому устранению инцидентов и меньшему количеству ошибок, влияющих на безопасность.

Это в идеальном мире. На реальном рабочем месте обучение по вопросам безопасности не достигает этих целей.

На саммите Insider Risk Summit в конце сентября Фэган объяснил, что традиционное обучение по повышению осведомленности не фокусируется на результатах, оно неинтересно и не увлекательно и, что хуже всего, никого не убеждает в том, что действительно нужно заботиться о безопасности. .

Неудивительно, что традиционные подходы к обучению кибербезопасности не работают.

«Если посмотреть на данные за последние 5-10 лет, эти подходы не добились значительных успехов в существенном снижении организационных рисков», – говорит Мэри Дзиорни, менеджер по киберстратегии в Accenture.

Чего не хватает в традиционном обучении по вопросам безопасности

Обучение по вопросам безопасности находится в стагнации отчасти потому, что это финансово недооцененная и недостаточно финансируемая часть платформы кибербезопасности.

Согласно исследованию Института SANS, специалисты по обучению безопасности в конечном итоге тратят большую часть своего рабочего времени на другие проекты. Или у них есть неправильные люди, отвечающие за обучение по повышению осведомленности, которые полагаются на тех, кто обладает высокими техническими навыками, чтобы возглавить усилия, у которых может не быть социальных навыков, необходимых для вовлечения коллег.

Кроме того, их нет. достаточное количество людей в группе по обучению осведомленности. В большинстве компаний один или несколько человек отвечают за программы обучения. Организации с более зрелыми программами обучения и более зрелой системой безопасности — это те организации, в которых четыре или более человек отвечают за обучение по повышению осведомленности.

Недостаток или нехватка нужных людей для выполнения работы может быть причиной того, что само обучение по вопросам безопасности не достигает цели.

«По сути, отрасль изо всех сил пытается связать реалии передового опыта обучения взрослых с тем, как организации должны вести свой бизнес, чтобы это было эффективно и действенно», — сказал Дзиорни.

Безопасность обучение сегодня, как правило, уделяет особое внимание конкретным областям, например тому, как обеспечить соблюдение организацией нормативных требований или повысить производительность труда сотрудников, но пропускает такие вещи, как вовлеченность сотрудников или повышение удовлетворенности сотрудников работой.

«Благодаря большему практическому обучению и повышению квалификации, а не устаревшим настольным упражнениям, группы безопасности могут увидеть, как их организация работает на актуальных и своевременных учениях и симуляциях — даже в течение нескольких часов после появления новой угрозы. — чтобы они могли доказать свои способности и оставаться в курсе событий», — сказал Макс Веттер, вице-президент по контенту в Immersive Labs.

Обновление обучения осведомленности через поведение

По мере того, как кибератаки становятся все более изощренными, сотрудникам необходимо играть более активную роль в качестве первой линии обороны. Это означает более эффективное обучение по вопросам кибербезопасности при работе с параметрами текущего бюджета и штатного расписания.

Он должен быть направлен на то, чтобы сделать обучение более увлекательным и посмотреть, как изменить человеческое поведение.

Одно из изменений в обучении осознанию – это либо избавиться от термина «осведомленность», либо уменьшить его значение.

Существует упрощенный подход: просто сказав «обучение осведомленности», пользователи автоматически узнают обо всех проблемах безопасности и решенных проблемах.

Так не бывает, – говорит Айра Винклер, полевой директор по информационным технологиям и вице-президент CYE.

Вместо того, чтобы сосредотачиваться на осведомленности, акцент должен быть сделан на том, как изменить поведение. С поведенческой наукой вы хотите внедрить такие вещи, как системы вознаграждения, модификации пользовательского опыта или более устоявшиеся рекомендации.

«Цель состоит в том, чтобы добиться измеримого улучшения поведения, связанного с безопасностью, и это сильно отличается от концепции осведомленности», — сказал Винклер.

Один из способов добиться этого — поймать пользователей, демонстрирующих правильное поведение в области безопасности, и вознаградить их, а не искать ошибки и наказывать их. Это может включать в себя подсветку, когда сотрудники проходят курсы обучения безопасности, сообщают о фишинговой электронной почте или регулярно используют многофакторную аутентификацию.

Вы можете вознаграждать такое поведение по-разному — суть в том, чтобы иметь постоянную систему для этого.

Рассказывание историй как тренировка

Еще один метод поведенческой тренировки — использовать повествование.

«Рассказывание историй — это не только проверенный образовательный метод, основанный на науке о поведении, но и еще и развлечение», — сказал Фэган.

Обучение и развлечение должны работать в тандеме, чтобы закрепить концепции безопасности в сознании сотрудников. Безопасность должна стать привычкой, но чтобы достичь этого, обучение должно соответствовать формату поп-культуры.

«Самые успешные создатели обучающих материалов по безопасности теперь предоставляют богатые, увлекательные видеоролики в формате HD, которые рассказывают истории с персонажами в нескольких эпизодах с интерактивными элементами», – сказал Фэган.

Как в популярных телешоу. или игры НФЛ, обучающие видеоролики по безопасности должны быть направлены на создание дискуссий в офисе, чтобы усилить обмен сообщениями.

«Используя этот метод, мы увидели, что вторая волна людей просмотрела тренинг в большем количестве, чем в предыдущие годы, просто потому, что они хотели понять, о чем говорили первые люди, прошедшие обучение», — сказал Фаган.

Кибербезопасность — это распределенная бизнес-проблема, и пришло время выйти за рамки ежегодного обучения «Как определить фишинговую электронную почту» и сделать больше, чтобы помочь пользователям включить кибербезопасность в свою повседневную работу.

«Нам нужно использовать реалистичные упражнения, в которых участвуют как руководители, так и самые технические команды, чтобы открыть новые уровни реального измерения производительности», – сказал Веттер.