Erinnern Sie sich an Ihr ABC, wenn Sie Ihr Sicherheitsbewusstsein nachhaltig schulen wollen

Wenn das Bewusstsein für schlechtes Verhalten dieses effektiv unterbinden würde, gäbe es keine alkoholisierten Fahrer, Raucher oder Menschen, die sich ungesund ernähren. Jahr für Jahr zeigen Umfragen in der Branche, dass menschliches Versagen der Haupteinstiegspunkt für Cyberangriffe ist. Die Standardlösung für viele besteht darin, mehr Schulungen zum Thema Sicherheit anzubieten. Ein großer Prozentsatz der Mitarbeiter fällt jedoch auch nach der Schulung durch die Tests.

Eine Schulung ohne ein klares Verständnis dafür, wie Menschen lernen, wird wahrscheinlich keine effektiven Ergebnisse bringen. Um die Wirksamkeit von Schulungen zum Sicherheitsbewusstsein zu maximieren, müssen die Mitarbeiter über drei "Kanäle" erreicht werden: Einstellung, Verhalten und Wahrnehmung. Jeder Kanal kann mit den anderen interagieren und sie beeinflussen, aber jeder sollte unabhängig betrachtet werden.

Einstellung: Gefühle gegenüber der Sicherheit

Psychologen definieren Einstellung im Allgemeinen als das Gefühl oder die affektive Reaktion, die eine Person entweder allgemein oder gegenüber einer bestimmten Einheit empfindet. Wenn sich die Mitarbeiter nicht für die Sicherheit verantwortlich fühlen oder das Gefühl haben, dass es nicht ihre Aufgabe ist, werden sie wahrscheinlich nicht motiviert sein, gute Cyberhygiene-Gewohnheiten anzunehmen.

Neben den Überlegungen zur Schulung des Sicherheitsbewusstseins ist es auch wichtig zu verstehen, wie sich die Einstellungen in verschiedenen Kontexten ändern können. Eine kürzlich durchgeführte Studie ergab, dass die meisten Sicherheitsmängel darauf zurückzuführen sind, dass die Mitarbeiter einem hohen Stressniveau ausgesetzt waren, obwohl sie motiviert waren, sichere Protokolle zu befolgen. [1] Diese Abweichung von sicheren Praktiken zeigt, dass unabhängig von der Einstellung der Mitarbeiter auch die Gewohnheiten geschult werden müssen.

Verhaltensweisen: Was Menschen tun unabhängig davon, wie sie sich fühlen

Während die Ausbildung dazu beiträgt, die Einstellung der Mitarbeiter zur Sicherheit zu verbessern, besteht das Ziel darin, die tatsächlichen Verhaltensweisen zu verbessern. Ein Großteil des menschlichen Verhaltens wird unbewusst durch Gewohnheiten und Assoziationen gesteuert.

In Schulungsmodulen zum Sicherheitsbewusstsein werden die Benutzer angewiesen, nicht auf eingebettete Hyperlinks in Phishing-E-Mails zu klicken. Gleichzeitig ist es aber für die Benutzer alltäglich, ohne Konsequenzen auf Links zu klicken, was die Gewohnheit, auf Links zu klicken, noch verstärkt. Die Schaffung sicherer Gewohnheiten ist von entscheidender Bedeutung, aber die Mitarbeiter müssen auch über das Wissen verfügen, um neue Bedrohungen zu vermeiden, sobald sie auftauchen.

Kognition: Das Wissen über Bedrohungen um den Kontext erweitern

Ein großer Teil der Sensibilisierungsschulungen konzentriert sich auf spezifische Taktiken, die von böswilligen Akteuren eingesetzt werden, wie Phishing-E-Mails, Vishing-Anrufe, bösartige USB-Laufwerke und andere Bedrohungen. Zusammengenommen sind dies die "Dinge" der Informationssicherheit. Das Wissen über bestimmte Angriffe kann zwar hilfreich sein, aber die Mitarbeiter müssen auch wissen, was hinter diesen Angriffen steckt.

Wenn die Mitarbeiter lernen, dass Phishing-E-Mails im Zusammenhang mit dem Versuch verschickt werden, Anmeldedaten zu stehlen, können sie die Ziele der Kriminellen besser verstehen und ähnliche Angriffe vermeiden. Ein weiterer Vorteil dieses Ansatzes besteht darin, dass ein umfassenderes Verständnis der Bedrohungen vermittelt, wodurch sich die Mitarbeiter die Lernziele besser merken können.

Nutzung der ABCs für eine effektivere Schulung des Sicherheitsbewusstseins

Sicherheitsfehler passieren - sehr oft. Über 80 % der kürzlich von Mimecast befragten Sicherheitsexperten gaben an, dass ihr Unternehmen von einem Angriff betroffen war, bei dem die Bedrohung von einem infizierten Benutzer auf andere Mitarbeiter übergriff. In den meisten Fällen geschah dies trotz Schulung. Die Arbeit über die drei Lernkanäle hinweg kann auf folgende Weise zur Risikominderung beitragen:

• Einstellung: Ein entscheidender Fehler vieler Schulungsprogramme für das Sicherheitsbewusstsein besteht darin, dass die Mitarbeiter nicht mitziehen. Die Mitarbeiter müssen die Haltung einnehmen, dass die Sicherheit in der Verantwortung aller liegt. Nur weil die Mitarbeiter Bescheid wissen, heißt das noch lange nicht, dass sie sich auch darum kümmern, auch wenn sie dies in Umfragen vielleicht nicht zugeben.[2] Die Verwendung von ansprechenden Inhalten, die den Lernenden Spaß machen , ist ein effektiver Weg, um die Investition der Mitarbeiter in die Schulungsstunden zu erhöhen und kann später zu einer besseren Sicherheitshygiene führen. Gute Gewohnheiten bei der Cyberhygiene können auch von einer Umgebung in die nächste übertragen werden. Wenn Mitarbeiter darüber aufgeklärt werden, wie sie ihre Familien online schützen können, erhöht sich die Investition in sicheres Verhalten, und das kommt auch den Arbeitgebern zugute, vor allem, wenn viele von ihnen von zu Hause aus arbeiten.
• Verhalten: Es gibt einfach keine Möglichkeit, Mitarbeiter auf der Verhaltensebene mit einer Folienpräsentation zu schulen; die Mitarbeiter müssen üben, gefälschte E-Mails zu erkennen und zu vermeiden. Einer der Nachteile effektiverer Anti-Spam-Filter besteht darin, dass die Mitarbeiter nicht genügend mit potenziell bösartigen E-Mails konfrontiert werden, was paradoxerweise dazu führen kann, dass sie weniger sicher sind. Maximieren Sie die Schulung über diesen Kanal, indem Sie E-Mails zur Schulung des Sicherheitsbewusstseins so realistisch wie möglich gestalten und die Häufigkeit der Kampagnen an die Fähigkeiten der Benutzer anpassen. Neben der Schulung ist eine der effektivsten Möglichkeiten, diesen Kanal zu nutzen, die Schaffung von Prozessen, die sichere Verhaltensweisen erleichtern und weniger sichere Verhaltensweisen erschweren. Wenn Sie mehrere Fälle von Schatten-IT durch Mitarbeiter beobachten, ist dies ein sicheres Zeichen dafür, dass Ihr Programm auf der Verhaltensebene versagt.
• Cognition: Selbst Mitarbeiter, die sich um eine gute Cyber-Hygiene bemühen und ihr "Muskelgedächtnis" trainiert haben, um Bedrohungen zu vermeiden, müssen immer noch über die Taktiken und Ziele von Kriminellen Bescheid wissen, um ihnen nicht zum Opfer zu fallen. Das Auswendiglernen von Fakten und Zahlen ohne Kontext schläfert nicht nur die Lernenden ein, sondern wird auch fast sofort wieder vergessen. Die Vermittlung von kontextbezogenem Wissen maximiert den Nutzen der Schulung und ist für die Mitarbeiter entscheidend, um Bedrohungen zu vermeiden. Die Aufnahme neuer Informationen und Konzepte braucht Zeit, und am effektivsten lernt man, wenn man sich über einen längeren Zeitraum immer wieder kurzen Lektionen aussetzt. Eine Reihe von Erzählungen, die die Lernziele veranschaulichen, kann eine äußerst wirksame Methode sein, um über den kognitiven Kanal zu lehren, da sie das Lernen über einen längeren Zeitraum verteilt, einen Kontext bietet und mehrere Gedächtnissysteme aktiviert.

Die Quintessenz

Um ein effektiveres Sicherheitstraining zu schaffen, das eine nachhaltige Wirkung hat, sollten Sie die drei Lernkanäle Einstellung, Verhalten und Erkenntnis nutzen. Jeder Kanal erfordert einen etwas anderen Ansatz, und es ist entscheidend, alle drei anzusprechen, indem man die Mitarbeiter dazu bringt, in die Lektionen zu investieren, ihnen die Möglichkeit gibt, die Lektionen in die Tat umzusetzen, und ihnen das erforderliche Wissen und den Kontext vermittelt, um künftige Bedrohungen zu vermeiden.

[1] "Warum Mitarbeiter Cybersecurity-Richtlinien verletzen," Harvard Business Review

[2] "Transformational Security Awareness: What Neuroscientists, Storytellers and Marketers Can Teach Us About Driving Secure Behaviors," John Wiley & Sons, Inc.