Onthoud uw ABC om veiligheidsbewustzijnstraining te laten beklijven

Als het herkennen van slecht gedrag effectief zou zijn, dan zouden er geen dronken bestuurders, rokers of mensen die ongezond eten zijn. Jaar na jaar blijkt uit onderzoek in de sector dat menselijke fouten het belangrijkste toegangspunt zijn voor cyberaanvallen. De standaardoplossing voor velen is om meer beveiligingsbewustzijnstraining te geven. Een groot percentage van de werknemers faalt echter nog steeds bij tests, zelfs na het volgen van een training.

Het geven van training zonder een duidelijk begrip van hoe mensen leren zal waarschijnlijk geen effectieve resultaten opleveren. Om de effectiviteit van de beveiligingsbewustzijnstraining te maximaliseren, moeten werknemers worden bereikt via drie "kanalen": houding, gedrag en cognitie. Elk kanaal kan op elkaar inwerken en de andere beïnvloeden, maar elk kanaal moet onafhankelijk worden bekeken.

Houding: Gevoelens ten opzichte van veiligheid

Psychologen definiëren attitude in het algemeen als het gevoel of de affectieve reactie die een individu ervaart, hetzij in het algemeen, hetzij ten aanzien van een specifieke entiteit. Als werknemers zich niet betrokken voelen bij beveiliging of het gevoel hebben dat het niet hun taak is, zullen zij waarschijnlijk niet gemotiveerd zijn om goede gewoonten op het gebied van cyberhygiëne aan te nemen.

Naast overwegingen met betrekking tot training in beveiligingsbewustzijn, is het ook van cruciaal belang te begrijpen hoe attitudes kunnen fluctueren in verschillende contexten. Uit een recente studie is gebleken dat de meeste beveiligingsfouten het gevolg zijn van werknemers die hoge stressniveaus ervaren, ook al waren ze gemotiveerd om veilige protocollen te volgen. [1] Deze afwijking van veilige praktijken geeft aan dat ongeacht de attitudes van werknemers, ook gewoonten moeten worden getraind.

Gedrag: Wat mensen doen Ongeacht hoe ze zich voelen

Hoewel voorlichting helpt de houding van werknemers ten opzichte van veiligheid te verbeteren, is het doel het feitelijke gedrag te verbeteren. Veel van het menselijk gedrag wordt onbewust gestuurd door gewoonten en associaties.

In opleidingsmodules op het gebied van veiligheidsbewustzijn worden gebruikers geïnstrueerd niet te klikken op ingebedde hyperlinks in bijvoorbeeld phishing-e-mails. Maar tegelijkertijd is de dagelijkse ervaring van gebruikers dat het klikken op links geen gevolgen heeft, waardoor de gewoonte om op links te klikken wordt versterkt. Het creëren van veilige gewoonten is van cruciaal belang, maar werknemers moeten nog steeds de kennis hebben om nieuwe bedreigingen te vermijden als ze opduiken.

Cognitie: Context toevoegen aan kennis over bedreigingen

Een aanzienlijk deel van de bewustmakingsopleidingen is gericht op specifieke tactieken van kwaadwillenden, zoals phishing-e-mails, vishing-oproepen, schadelijke USB-sticks en andere bedreigingen. Samen vormen deze de "wat" van informatiebeveiliging. Kennis van specifieke aanvallen kan nuttig zijn, maar werknemers moeten ook weten wat het waarom achter deze aanvallen is.

Leren dat phishing e-mails worden verzonden in de context van een poging om geloofsbrieven te stelen, helpt werknemers om criminele doelen te begrijpen en soortgelijke aanvallen te voorkomen. Een ander voordeel van deze aanpak is dat het een meer uitgewerkt begrip van bedreigingen biedt, waardoor werknemers de leerdoelen beter onthouden.

Het ABC gebruiken voor een effectievere bewustmakingstraining

Beveiligingsfouten gebeuren - heel vaak. Meer dan 80% van de beveiligingsprofessionals die onlangs door Mimecast werden ondervraagd, zeiden dat hun organisatie was getroffen door een aanval waarbij de dreiging zich verspreidde van één geïnfecteerde gebruiker naar andere medewerkers. Vaker wel dan niet gebeurde dit ondanks training. Werken via de drie leerkanalen kan het risico op de volgende manieren helpen verlagen:

• Attitude: Het negeren van de "buy-in" van werknemers is een kritieke fout die door veel programma's voor beveiligingsbewustmaking wordt begaan. Werknemers moeten de houding aannemen dat beveiliging ieders verantwoordelijkheid is. Het feit dat werknemers op de hoogte zijn, betekent niet dat ze er ook om geven, ook al geven ze dat in enquêtes misschien niet toe.[2] Het gebruik van boeiende inhoud die leerlingen leuk vinden is een effectieve manier om de investering van werknemers in trainingslessen te verhogen en kan later leiden tot een betere veiligheidshygiëne. Goede gewoonten op het gebied van cyberhygiëne kunnen ook worden overgedragen van de ene omgeving naar de andere. Door werknemers te leren hoe ze hun gezin online veilig kunnen houden, wordt de investering in veilig gedrag verhoogd en zullen hun werkgevers hiervan profiteren, vooral nu grote aantallen mensen thuis werken.
• Gedrag: Er is gewoon geen manier om werknemers op gedragsniveau te trainen met een diapresentatie; werknemers moeten oefenen in het identificeren en vermijden van nep-e-mails. Een van de nadelen van effectievere antispamfilters is zelfs dat werknemers niet genoeg worden blootgesteld aan potentieel schadelijke e-mails, waardoor ze paradoxaal genoeg minder veilig kan maken. Maximaliseer de training via dit kanaal door e-mailberichten over beveiligingsbewustzijnstraining zo realistisch mogelijk te maken en de campagnefrequentie aan te passen aan de vaardigheden van de gebruikers. Naast training is een van de meest effectieve manieren om met dit kanaal om te gaan het creëren van processen die veilig gedrag gemakkelijker te volgen maken - en die minder veilig gedrag moeilijker maken. Als u vaststelt dat medewerkers in verschillende gevallen gebruik maken van schaduw-IT, dan is dat een duidelijk teken dat uw programma faalt op de gedragslaag.
• Cognitie: Zelfs werknemers die hebben geïnvesteerd in het beoefenen van goede cyberhygiëne en hun "spiergeheugen" hebben getraind om bedreigingen te vermijden, moeten nog steeds op de hoogte zijn van criminele tactieken en doelstellingen om te voorkomen dat ze er het slachtoffer van worden. Het uit het hoofd leren van feiten en cijfers zonder context is niet alleen waarschijnlijk om leerlingen in slaap te sussen, maar zal ook bijna onmiddellijk worden vergeten. Het bieden van contextuele kennis maximaliseert de trainingsvoordelen en is van cruciaal belang voor werknemers om bedreigingen te voorkomen. Het absorberen van nieuwe informatie en concepten kost tijd en de meest effectieve manier om te leren is door herhaalde blootstelling aan korte lessen over een langere periode. Een reeks van verhalende verhalen die leerdoelen illustreren kan een zeer effectieve methode zijn om te onderwijzen via het cognitieve kanaal omdat het leren wordt verdeeld over de tijd terwijl context wordt geboden en meerdere geheugensystemen worden geactiveerd.

De kern van de zaak

Om een effectievere training in beveiligingsbewustzijn te creëren die een blijvend effect heeft, moet gebruik worden gemaakt van de drie leerkanalen: houding, gedrag en kennis. Elk kanaal vereist een iets andere aanpak en het is van cruciaal belang om ze alle drie aan te pakken door ervoor te zorgen dat werknemers in de lessen investeren, hen in staat te stellen te oefenen met het omzetten van lessen in actie en hen de vereiste kennis en context te geven om toekomstige bedreigingen te voorkomen.

[1] "Why Employees Violate Cybersecurity Policies," Harvard Business Review

[2] "Transformational Security Awareness: What Neuroscientists, Storytellers and Marketers Can Teach Us About Driving Secure Behaviors," John Wiley & Sons, Inc.