Schimbarea comportamentului de securitate al angajaților necesită mai mult decât o simplă conștientizare

Proiectarea unui program de schimbare a comportamentului necesită un audit al practicilor de securitate existente și identificarea punctelor sensibile.

Conștientizarea securității duce rar la o schimbare susținută de comportament din proprie inițiativă, potrivit unei analize recente, ceea ce înseamnă că organizațiile trebuie să dezvolte în mod proactiv un program de securitate robust „centrat pe om” pentru a reduce numărul incidentelor de securitate asociate cu un comportament de securitate deficitar.

Potrivit Information Security Forum (ISF), industria securității informației trebuie să recupereze teren atunci când vine vorba de influențarea pozitivă a comportamentului – proliferarea lucrului de la distanță, exacerbată de stresul asociat pandemiei, a subliniat importanța consolidării componentei date de elementele umane în sistemul de securitate.

În rezumatul publicat săptămâna trecută, intitulat „Human-Centered Security: Positively Influencing Security Behavior”, ISF a prezentat patru elemente care pot influența comportamentul de securitate:

Înțelegerea factorilor cheie care influențează alegerile de securitate ale angajaților
Oferirea unor informații cu impact pozitiv referitor la educația, formarea și conștientizarea măsurilor de securitate
Proiectarea sistemelor, aplicațiilor, proceselor și mediului fizic pentru a ține cont de comportamentul utilizatorilor
Dezvoltarea unor metrici pentru a măsura schimbarea comportamentului și a demonstra rentabilitatea investiției

Cum să treceți la o abordare centrată pe om. Sursa: ISF.

„Erorile și actele de neglijență pot provoca daune financiare și reputaționale semnificative unei organizații, cu multe incidente de securitate și breșe de date provenind dintr-o sursă umană”, a declarat Daniel Norman, analist senior în soluții la ISF și autor al raportului. „Un program de securitate axat pe om ajută organizațiile să-și înțeleagă oamenii și să creeze cu atenție inițiative care vizează schimbarea comportamentului, reducând numărul incidentelor de securitate legate de erori și neglijențe umane.”

Un program de succes utilizează colaborarea trans-departamentală pentru a înțelege pe deplin starea actuală a comportamentului de securitate, ceea ce permite ulterior organizațiilor să țintească investițiile pentru a atenua riscurile identificate.

Elementele de top care influențează comportamentul de securitate. Sursa: ISF

Lisa Plaggemier, director de strategie la MediaPro, a menționat că în organizațiile mari, unde există mai multe recenzii înainte ca angajații să poată fi sensibilizați, există câteva aspecte specifice de luat în considerare în acest sens.

„Echipa de securitate le permite reprezentanților departamentelor de comunicare internă sau al celui de resurse umane să aibă prea multă putere de veto”, a spus ea. „Vorbesc frecvent cu profesioniști foarte talentați din domeniul formării și conștientizării, care ar dori să împingă acțiunea la limita posibilului și să facă ceva creativ care să atragă atenția oamenilor, iar ideile lor bune sunt respinse sau modificate până la punctul de a nu mai fi antrenante. Cunosc cazul unei mari companii care a vrut să treacă de la o oră de formare o dată pe an la mai multe antrenamente mai scurte pe parcursul anului. Aceasta este considerată normală pentru orice program matur de conștientizare a securității, dar chiar și acesta a fost anulată de reprezentanți cu funcții administrative în corporație (cum ar fi din departamentul de resurse umane) care nu au nicio responsabilitate în privința securității organizației. Dacă echipa de securitate este responsabilă, trebuie să avem și puterea de a derula programul.”

Unele capcane de evitat, potrivit lui Plaggemeir, includ:

Să lași perfecțiunea să fie dușmanul binelui. Este mai bine să faceți ceva, chiar dacă este imperfect, decât să nu faceți nimic sau să petreceți prea mult timp în revizuirile și semnăturile corporative.
Comunicare insuficientă. Nu presupuneți că toată lumea citește tot ceea ce ați scris.
Text anost și design prost. Nimeni nu dorește să citească buletine informative de securitate detaliate scrise cu font de 10 și fără grafică.

Un exemplu de reproiectare a comportamentului de securitate cu succes. Sursa: ISF

„Dacă brand-ul echipei dumneavoastră de securitate nu este accesibil, util și nu adaugă valoare, nu veți fi inclus în proiecte în care chiar aveți nevoie să vă găsiți un loc”, a spus ea. „Programul dumneavoastră de formare și conștientizare este cel mai vizibil lucru pe care îl face echipa de securitate, așa că folosiți-l pentru a arăta că vreți să lucrezi cu componenta de business, nu împotriva ei și că sunteți prietenos și accesibil.”

Sursa: ThreatPost.com

Related

Related Posts

25 de echipe intră în programul de pre-accelerare Innovation Labs 2022 din Cluj și Timișoara

Cybertax: Cum să îți crești protecția datelor și a informațiilor fiscale în șapte pași

Studiu Microsoft: Mai bine de jumătate dintre companiile din Europa Centrală și de Est nu au o strategie complexă de securitate cibernetică