Een veiligheidscultuur creëren

Oktober is de Nationale Cybersecurity Awareness Month.

Het is toevallig ook (onder andere) borstkankermaand, maand voor mondhygiëne, nationale maand voor preventie van pesten en mijn persoonlijke favoriet, nationale pizzamaand. Bovendien is het Halloween! Maar ik dwaal af... we zijn hier om over cyberbeveiliging te praten.

Elke fabrikant zou een training voor cyberbeveiligingsbewustzijn moeten houden voor al zijn personeel minstens eens per jaar. Veel mensen schrikken alleen al van de woorden 'cybersecurity' en 'training', dus oktober lijkt er een geschikte tijd voor. Uw training moet minimaal relevant bedrijfsbeleid omvatten, zoals uw IT-beveiliging, informatiebeveiliging en fysieke beveiliging.

In de loop der jaren hebben velen van ons dit soort training gevolgd en geleerd er bang voor te zijn. Training waarbij iemand exact dezelfde cybersecurity-toespraak houdt die ze vorig jaar gaven en vervolgens een papier uitdeelt dat je moet ondertekenen om te zeggen dat je er was. Een echt snoozefestijn. Dit soort training doet zijn werk voor zover het aan het absolute minimum voldoet, maar heeft weinig invloed op het daadwerkelijk vormen van het gedrag van werknemers.

Het echte doel van cyberbeveiligingsbewustzijn en trainingsinspanningen zou moeten zijn om een ​​cultuur van beveiliging te creëren, wat inhoudt dat werknemers goede cyberbeveiligingspraktijken moeten zien als goede zaken en als onderdeel van "hoe we hier zaken doen". Werknemers moeten zich in staat voelen om goede cyberbeveiligingsbeslissingen te nemen en te begrijpen wat een goede beslissing is. Bewustwording en training moeten gericht zijn op:

• Stop met riskant gedrag: Help medewerkers te weten welke beslissingen tot een slecht resultaat kunnen leiden. Bijvoorbeeld het openen van e-mailbijlagen van onbekende bronnen.
• Minder risicovol gedrag aanmoedigen: Help medewerkers inzicht te krijgen in en zorg te dragen voor het implementeren van processen die de beveiliging vergroten. Bijvoorbeeld hoe je sterke wachtwoorden maakt.
• Van medewerkers een schildwacht: Help medewerkers een cyberbeveiligingsgebeurtenis te herkennen en erop te reageren. Wat te doen als een gast bijvoorbeeld een niet-geautoriseerde USB-drive op een machine aansluit.

Idealiter zou training een continue inspanning moeten zijn. Enkele ideeën over hoe u cyberbeveiligingstraining kunt opnemen in de dagelijkse werking van uw bedrijf:

• Benadruk regelmatig cyberbeveiliging als een belangrijk doel van uw bedrijf.
• Integreer één cyberbeveiligingstip, truc of herinnering in elke vergadering.
• Plaats herinneringen op de werkplek over geschikte beveiligingspraktijken.
• Houd regelmatig vergaderingen om mogelijke procesverbeteringen te bespreken die het voor werknemers gemakkelijker kunnen maken om betere beveiligingsbeslissingen te nemen.

Er is veel onderzoek gedaan naar hoe een goede cybersecuritytraining voor medewerkers eruitziet. Over het algemeen kan het worden samengevat met het acroniem "RAINSTORMS". Ja, dat heb ik zojuist verzonnen.

• R eal:Het gebruik van praktijkgevallen of realistische scenario's helpt om de lessen naar huis te halen.
• A uitvoerbaar:voeg iets toe dat werknemers onmiddellijk kunnen doen. Dit kan inhouden dat ze hun wachtwoord wijzigen, een inventarisatie maken van hun IT-middelen of ervoor zorgen dat ze op hun telefoon contactgegevens hebben van de persoon of organisatie aan wie ze een incident moeten melden. Soms is een langdurige huiswerkopdracht ook gepast, maar een direct doel hebben is altijd nuttig.
• Ik nteractief:Rollenspel, discussies in kleine groepen of praktische oefeningen zijn enkele geweldige manieren om de training interactiever te maken. Idealiter zouden de interacties bidirectionele gesprekken moeten omvatten waarbij alle managementniveaus betrokken zijn om ervoor te zorgen dat iedereen weet dat iedereen dezelfde verantwoordelijkheden heeft en dat iedereen op dezelfde lijn zit.
• N ieuw:Enige herhaling is gepast in de training, vooral als het over beleid gaat, maar het mag niet te oud worden. Verschillende trainingsformaten (bijv. lezing, rollenspel, video's) kunnen helpen.
• S winkelcentrum:hapklare brokken informatie zijn veel gemakkelijker te verteren dan een hele informatica-graad aan informatie die werknemers wordt opgedrongen. Eén onderwerp tegelijk heeft over het algemeen de voorkeur.
• T estable:Er moet een meetbaar, toetsbaar doel zijn voor de cyberbeveiligingstraining. Als het algemeen bewustzijn is, kan er misschien een quiz worden ontwikkeld. Als het een doel is om phishing-aanvallen te verminderen, kan een valse phishing-e-mail zowel een paar weken voor als een paar weken na het evenement worden verzonden. Dit zal helpen om te laten zien hoe effectief de training was.
• O wned:Werknemers moeten de training verlaten met een gevoel van eigenaarschap en dat cyberbeveiliging hun verantwoordelijkheid is; ze moeten zich bevoegd voelen om goede beslissingen over cyberbeveiliging te nemen.
• R elevant:De meeste bedrijven hebben verschillende soorten gebruikers. Door training af te stemmen op elk type gebruiker, wordt het reëler. Dit kan betekenen dat er een andere opleiding moet worden gevolgd voor medewerkers op de werkvloer dan voor kantoormedewerkers.
• M memorabel:gebruik acroniemen, pittige geheugensteuntjes of, mijn persoonlijke favoriet, humor. Mensen onthouden grappige dingen - woordspelingen, slechte muziekvideo's, belachelijke memes van katten - veel beter dan een saaie lezing. Wees niet bang om het onconventioneel te maken en plezier te hebben.
• S imple:Bovenal moet training eenvoudig zijn. Overdreven technische lessen vol technobabble zijn alleen maar goed om mensen in slaap te brengen.

Het National Initiative for Cybersecurity Education (NICE) heeft een kleine lijst met gratis en goedkope bronnen om te helpen bij de opleiding van werknemers. Er zijn ook veel aanvullende bronnen online beschikbaar. Zoek gewoon op internet en je wordt gebombardeerd met opties. Evalueer die opties met behulp van de RAINSTORMS-sjabloon hierboven.

Gedurende de maand oktober zal NIST MEP een reeks blogs plaatsen die losjes het thema en de schets volgen die door de National Cybersecurity Alliance (NCSA) zijn verstrekt. Het thema van dit jaar is 'Doe je deel. #BeCyberSmart.” Persoonlijk ben ik nooit een fan geweest van het zelf promoten van een hashtag, maar als je deze maand over cyberbeveiliging tweet of blogt, overweeg dan om de #BeCyberSmart-hashtag te gebruiken - we zullen zien hoe ver het gaat.

Het schema dat de NCSA heeft opgesteld is als volgt:

• Week van 5 oktober (week 1):als je het aansluit, bescherm het dan
• Week van 12 oktober (week 2):apparaten thuis en op het werk beveiligen
• Week van 19 oktober (week 3):Internet-verbonden apparaten in de gezondheidszorg beveiligen
• Week van 26 oktober (week 4):de toekomst van verbonden apparaten

Weet je niet waar je moet beginnen? U kunt meer leren over het implementeren van een effectief trainingsprogramma voor cyberbeveiliging door contact op te nemen met uw lokale MEP Center. U kunt ook toegang krijgen tot bronnen voor cyberbeveiliging voor fabrikanten op de NIST MEP-website.

Deze blog maakt deel uit van een serie die is gepubliceerd voor de National Cybersecurity Awareness Month (NCSAM). Andere blogs in de serie zijn If You Connect It, Protect It van Zane Patalive, Suspicious Minds:Non-Technical Signs Your Business Might Have Been Hacked door Pat Toth, Securing Internet-Connected Medical Devices door Jennifer Kurtz en The Future of Connected Devices door Erik Fogleman en Jeff Orszak.