Создание культуры безопасности

Октябрь - Национальный месяц осведомленности о кибербезопасности.

Это также (среди прочего) Месяц осведомленности о раке груди, Месяц стоматологической гигиены, Национальный месяц предотвращения издевательств и мой личный фаворит - Национальный месяц пиццы. К тому же это Хэллоуин! Но я отвлекся ... мы здесь, чтобы поговорить о кибербезопасности.

Каждый производитель должен провести тренинг по повышению осведомленности о кибербезопасности для всего своего персонала как минимум раз в год. Многих пугает простое упоминание слов «кибербезопасность» и «обучение», поэтому октябрь кажется подходящим временем для этого. Ваше обучение должно как минимум охватывать соответствующие политики компании, такие как ИТ-безопасность, информационная безопасность и физическая безопасность.

С годами многие из нас прошли этот вид обучения и научились его бояться. Тренинг, на котором кто-то произносит ту же речь о кибербезопасности, которую они произнесли в прошлом году, а затем раздает вам бумагу, на которой вы должны подписать, что вы были там. Настоящий праздник сна. Такой вид обучения выполняет свою работу в части соответствия минимальным требованиям, но мало влияет на фактическое формирование поведения сотрудников.

Настоящая цель повышения осведомленности о кибербезопасности и обучения должна заключаться в создании культуры безопасности, а это означает, что сотрудники должны рассматривать передовые методы обеспечения кибербезопасности как хороший бизнес и как часть того, «как мы здесь ведем бизнес». Сотрудники должны чувствовать себя способными принимать правильные решения в области кибербезопасности и понимать, что делает правильное решение. Осведомленность и обучение должны быть сосредоточены на:

• Прекращение рискованного поведения . Помогите сотрудникам узнать, какие решения могут привести к плохому исходу. Например, открытие вложений в сообщениях электронной почты из неизвестных источников.
• Поощрение менее рискованного поведения: Помогите сотрудникам понять и позаботиться о реализации процессов, повышающих безопасность. Например, как создавать надежные пароли.
• Превращение сотрудников в дозорных: Помогите сотрудникам распознать событие кибербезопасности и отреагировать на него. Например, что делать, если гость подключает к машине неавторизованный USB-накопитель.

В идеале тренировка должна быть непрерывной. Вот некоторые идеи о том, как включить обучение кибербезопасности в повседневную работу вашего бизнеса:

• Регулярно подчеркивайте кибербезопасность как важную цель вашей компании.
• Используйте один совет, уловку или напоминание по кибербезопасности на каждой встрече.
• Разместите на рабочем месте напоминания о надлежащих мерах безопасности.
• Проводите регулярные встречи для обсуждения возможных улучшений процесса, которые могут облегчить сотрудникам принятие более эффективных решений в области безопасности.

Было проведено множество исследований того, как выглядит хорошее обучение сотрудников по вопросам кибербезопасности. В общем, это можно резюмировать, используя аббревиатуру «RAINSTORMS». Да, это я только что выдумал прямо сейчас.

• R eal:Использование реальных примеров или реалистичных сценариев помогает извлечь уроки.
• А ctionable:Включите то, что сотрудники могут сделать немедленно. Это может включать изменение их паролей, инвентаризацию их ИТ-активов или обеспечение наличия у них контактной информации лица или организации, которым они должны сообщить об инциденте на своих телефонах. Иногда уместно и долгосрочное домашнее задание, но всегда полезно иметь непосредственную цель.
• Я Интерактивность:ролевые игры, обсуждения в небольших группах или практические упражнения - отличные способы сделать обучение более интерактивным. В идеале взаимодействие должно включать двусторонние беседы с участием всех уровней управления, чтобы все знали, что у всех одинаковые обязанности и что все находятся на одной странице.
• N ew:Некоторое повторение уместно в обучении, особенно когда речь идет о правилах, но оно не должно устареть. Могут помочь различные форматы обучения (например, лекции, ролевые игры, видео).
• S mall:Небольшие куски информации намного легче переварить, чем целая информативная информация, навязанная сотрудникам. Обычно предпочтительнее одна тема за раз.
• T устойчивая:должна быть измеримая и проверяемая цель обучения кибербезопасности. Если это общая осведомленность, возможно, можно разработать тест. Если цель состоит в предотвращении фишинговых атак, возможно, поддельное фишинговое письмо может быть отправлено как за несколько недель до, так и через несколько недель после события. Это поможет показать, насколько эффективным было обучение.
• О wned:сотрудники должны покидать обучение с чувством собственности и с чувством ответственности за кибербезопасность; они должны чувствовать себя вправе принимать правильные решения в области кибербезопасности.
• R elevant:у большинства компаний есть разные типы пользователей. Адаптация обучения к каждому типу пользователей делает его более реальным. Это может означать различную подготовку сотрудников цеха и сотрудников офиса.
• M эмоционально:используйте аббревиатуры, лаконичную мнемонику или, как мне нравится, юмор. Люди запоминают забавные вещи - каламбуры, плохие музыкальные клипы, смешные мемы про котов - гораздо лучше, чем скучную лекцию. Не бойтесь сделать его нестандартным и получайте удовольствие.
• S Реализация:Прежде всего, обучение должно быть простым. Чрезмерно технические уроки, полные технических болтовни, хороши только для того, чтобы усыпить людей.

Национальная инициатива по образованию в области кибербезопасности (NICE) имеет небольшой список бесплатных и недорогих ресурсов для помощи в обучении сотрудников. В Интернете также есть много дополнительных ресурсов. Просто поищите в Интернете, и вас засыпают множеством вариантов. Оцените эти варианты, используя шаблон RAINSTORMS выше.

В течение октября NIST MEP будет размещать серию блогов, в общих чертах следуя теме и плану, предоставленным Национальным альянсом кибербезопасности (NCSA). Тема этого года - «Сделай свой вклад. #BeCyberSmart ». Лично я никогда не был поклонником саморекламы хэштега, но если в течение этого месяца вы будете писать в Твиттере или блоге о кибербезопасности, подумайте об использовании хэштега #BeCyberSmart - мы увидим, как далеко он зайдет.

План NCSA представил следующее:

• Неделя 5 октября (неделя 1):если подключите, защитите
• Неделя 12 октября (неделя 2):защита устройств дома и на работе.
• Неделя 19 октября (неделя 3):защита устройств, подключенных к Интернету, в здравоохранении.
• Неделя 26 октября (неделя 4):будущее подключенных устройств

Не уверен, где начать? Вы можете узнать больше о том, как реализовать эффективную программу обучения кибербезопасности, связавшись с вашим местным центром MEP. Вы также можете получить доступ к ресурсам по кибербезопасности для производителей на веб-сайте NIST MEP.

Этот блог является частью серии, опубликованной для Национального месяца осведомленности о кибербезопасности (NCSAM). Другие блоги из этой серии включают «Если вы подключаете его», «Защитите его» от Зейна Паталива, «Подозрительные умы:нетехнические признаки того, что ваш бизнес мог быть взломан» Пэт Тот, «Защита подключенных к Интернету медицинских устройств» от Дженнифер Курц и «Будущее подключенных устройств» от Эрик Фоглеман и Джефф Оршак.