Suomi

Täysi 2021-vuoden oppaasi turvatietoisuuskoulutukseen

Micke Ahola

Covid-19-pandemia on aiheuttanut monia turvallisuushaasteita. Yritykset eri puolilla maailmaa ovat sopeutuneet kotityöskentelyyn ja sosiaaliseen etäisyyteen, ja samalla ovat joutuneet kohtaamaan uusia uhkia, joita pelkoa ja uteliaisuutta hyödyntävät verkkorikolliset ovat kehittäneet.

Vaikka yritykset ovat selvinneet monista näistä haasteista, perinteiset kyberuhat ovat olleet yhtä yleisiä kuin ennenkin, mikä on tehnyt uhkakuvasta yhä haastavamman.Ihmisvirheiden lieventämisen on oltava avainasemassa yritysten kyberturvallisuudessa vuonna 2021 - ja tässä oppaassa tarkastelemme parhaita tapoja sen toteuttamiseksi.

Miten ihmisiin kohdistuvat hyökkäykset
kehittyvät vuonna 2021?

Tietojenkalastelu & haittaohjelmat

Suurimmista kyberuhkista haittaohjelmat ovat edelleen merkittävä vaara. Vuoden 2017 WannaCry-epidemia joka maksoi yrityksille maailmanlaajuisesti jopa 4 miljardia dollaria, on yhä tuoreessa muistissa, ja uusia haittaohjelmakantoja löydetään päivittäin. Myös tietojenkalastelussa on tapahtunut uutta nousua viime vuosina, ja monia uusia huijauksia on keksitty pahaa-aavistamattomien yritysten hyväksi. Vain yksi variaatio, CEO Fraud -sähköpostihuijaus, maksoi pelkästään brittiläisille yrityksille 14,8 miljoonaa puntaa vuonna 2018.

Kotityöskentely

Kotoa käsin työskentelevät työntekijät ovat IT-tukitiimien suoran valvonnan ulottumattomissa, ja heillä on usein vaikeuksia selviytyä verkkouhkista ja suojella yrityksen tietoja asianmukaisesti. Ohjelmistojen ja käyttöjärjestelmien päivittämisen laiminlyönti, tietojen lähettäminen turvattomien verkkojen kautta ja lisääntyvä riippuvuus sähköpostista ja verkkoviesteistä on tehnyt työntekijöistä paljon alttiimpia uhkille, jotka vaihtelevat haittaohjelmista tietojenkalasteluun.

Ihmisvirhe

Vaikka tekniset ratkaisut, kuten roskapostisuodattimet ja mobiililaitteiden hallintajärjestelmät, ovat tärkeitä loppukäyttäjien suojaamiseksi, uhkien määrän ja henkilöstön työnsä suorittamiseen käytettävien järjestelmien ja viestinnän moninaisuuden vuoksi yksi yhdistävä riskitekijä, johon on puututtava turvallisuuden parantamiseksi, on ihmisvirheen rooli.

Miksi ihmisvirhe on edelleen
yrityksesi turvallisuusuhka numero 1?

Lähes kaikilla onnistuneilla tietoverkkomurroilla on yksi yhteinen tekijä: ihmisvirhe. Ihmisvirhe voi ilmetä monin eri tavoin: ohjelmistojen tietoturvapäivitysten ajoissa asentamatta jättämisestä heikkojen salasanojen käyttämiseen ja arkaluonteisten tietojen luovuttamiseen tietojenkalastelusähköposteihin.

Miten ihmisvirhe johtaa tietomurtoihin

Vaikka nykyaikaiset haittaohjelmien torjunta- ja uhkien havaitsemisohjelmistot ovat kehittyneet, verkkorikolliset tietävät, että tekniset turvatoimet ovat tehokkaita vain niin pitkälle kuin ihmiset hyödyntävät niitä asianmukaisesti. Jos tietoverkkorikollinen onnistuu arvailemaan yrityksen verkkoportaalin salasanan tai saa työntekijän sosiaalisella manipuloinnilla suorittamaan maksun tietoverkkorikollisen hallitsemalle pankkitilille, tekniset ratkaisut eivät voi estää tunkeutumista.

IBM teki vuonna 2014 tutkimuksen tuhansille asiakkailleen yli 130 maassa tapahtuneista tietoverkkomurroista. Tämä tutkimus oli siihen mennessä laajin verkkomurtojen syiden tarkastelu, mutta sen tulokset on sittemmin vahvistettu vastaavilla tutkimuksilla.

Yksi IBM:n tutkimuksen keskeisistä havainnoista oli, että ihmisvirheet olivat merkittävä syy 95 prosenttiin kaikista tietoturvaloukkauksista. Toisin sanoen, jos ihmisvirheet eivät olisi vaikuttaneet asiaan, 19 20:stä tutkimuksessa analysoidusta tietoturvaloukkauksesta ei olisi todennäköisesti tapahtunut lainkaan.

Koska ihmisvirheellä on niin suuri merkitys tietoverkkomurroissa, niihin puuttuminen on avainasemassa, kun haluat vähentää yritykseesi kohdistuvan onnistuneen hyökkäyksen mahdollisuuksia. Sen avulla voit myös suojata yritystäsi paljon laajemmilta uhkilta kuin mitä mikään yksittäinen tekninen ratkaisu voisi tarjota - ja se voi mahdollisesti antaa työntekijöillesi mahdollisuuden etsiä ja raportoida aktiivisesti uusista uhkista, joita he saattavat kohdata. Inhimillisten virheiden vähentämisen on oltava avainasemassa yritysten kyberturvallisuudessa vuonna 2021 - ja seuraavassa osassa tarkastelemme parhaita tapoja toteuttaa se.

Milloin ihmisvirhe tapahtuu?

Ihmisvirheen ilmenemiseen tarvitaan kaksi tekijää:

  1. Mahdollisuus
  2. Päätös

Mahdollisuus tarkoittaa sitä, että on olemassa tilanne, jossa ihmisen sallitaan tehdä virheitä. Tämä voi esimerkiksi olla käytäntö antaa loppukäyttäjien hoitaa ohjelmistopäivitykset sen sijaan, että tietoturvapäivitykset pakotettaisiin läpi IT-hallinnan avulla. Päätös on yksilön toiminta: tässä tapauksessa se, että hän ei toimi asennettaessa tietoturvapäivityksiä, kun niitä on saatavilla.

Mahdollisuuksien vähentäminen ja päätösten parantaminen

Kokonaisvaltaiseen lieventämiseen kuuluu sekä virhemahdollisuuksien vähentäminen että loppukäyttäjien tekemien päätösten parantaminen. Molemmilla aloilla on toteutettava toimia, jotta voidaan varmistaa, että inhimillisiin virheisiin puututaan perusteellisesti.

Esimerkiksi korjausten osalta tekninen toimenpide, kuten korjausten hallinnan käyttöönotto, voi useimmissa tapauksissa vähentää ihmisvirheiden mahdollisuutta minimiin - mutta on silti tärkeää ottaa huomioon tilanteet, joissa tekniset ratkaisut ovat tilapäisesti epäkunnossa tai jos otetaan käyttöön uusi tilanne, kuten BYOD-käytäntö, jossa käyttäjät saavat käyttää omia laitteitaan ilman korjausten hallintaa.

Muissa tapauksissa, kuten tietojenkalastelusähköpostien kohdalla, roskapostisuodattimien ja tietoturvaloukkausten havaitsemisohjelmistojen kaltaisilla teknisillä toimenpiteillä on hyvin rajallinen vaikutus virhemahdollisuuksien vähentämisessä kohdennetun hyökkäyksen kohdalla. Näissä tapauksissa ainoa tehokas tapa vähentää ihmisvirheitä on opettaa loppukäyttäjille, miten he voivat tehdä parempia päätöksiä.

Miten voit vähentää ihmisvirhettä?

Jotta loppukäyttäjät voivat tehdä oikean arvion turvallisuustilanteessa, on oltava läsnä neljä eri tekijää.

4 sääntöa ihmisvirheen vähentämiseksi:

  1. Ymmärtäminen

  2. Voimaantuminen

  3. Koulutus

  4. Kivun välttämisen poistaminen

 

Ensimmäinen näistä on melko yksinkertainen: käyttäjän on tunnistettava, että hän on tilanteessa, jossa turvallisuus on mahdollisesti vaarassa. Jos käyttäjä ei tunnista tilannetta sellaisenaan, hän ei välttämättä edes tajua tekevänsä päätöstä toimimattomuudellaan.

#2. Voimaantuminen

Toiseksi käyttäjän on tiedettävä, mikä on oikea toimintatapa. Tämä ei välttämättä edellytä, että käyttäjä ymmärtää uhan täysin, vaan usein riittää, että hän ilmoittaa tilanteesta tietotekniikka- tai tietoturvaosastolla työskentelevälle henkilölle, joka voi tutkia asiaa.

#3. Koulutus

Kolmanneksi käyttäjien on tiedettävä, miksi tietoturvalla on merkitystä, jotta he ymmärtävät, miten tärkeää on, ettei tietoturvamenettelyjä jätetä huomiotta, ja ovat tietoisia tietoturvaloukkauksen mahdollisista seurauksista. Vaikka nämä kolme tekijää ovat kaikki olennaisen tärkeitä turvallisuustulosten parantamiseksi, juuri tässä ratkaisevassa kohdassa yritykset usein epäonnistuvat. Jotta reaalimaailman tilanteissa voitaisiin tehdä parempia päätöksiä, on otettava huomioon myös neljäs tekijä: kivun välttäminen.

#4. Kivun välttämisen poistaminen

Organisaatioissa eri puolilla maailmaa esiintyy edelleen ongelmia, kuten heikkojen salasanojen asettaminen ja ohjelmistojen päivittämisen välttäminen, vaikka monet tietokoneiden käyttäjät ymmärtävät, miksi nämä asiat ovat turvallisuuden kannalta kriittisiä. Syy siihen, että tietämyksestä huolimatta ei ryhdytä toimiin, on niin sanottu kivun välttäminen. Yksilöllisen ja vahvan salasanan luominen vaatii enemmän aikaa ja muistamista kuin lyhyen, heikon tai toistuvasti käytetyn salasanan.

Vaikka käyttäjä tietäisi paremmin, tämä vahvan salasanan luomisen aiheuttama "tuska" on usein tarpeeksi voimakas, jotta käyttäjä toimii vastoin omaa harkintakykyään. Tätä pahentaa se, että vaikka monet käyttäjät toimivat oikein optimaalisissa olosuhteissa, kiireelliset työtilanteet sekä stressi voivat saada turvatoimet tuntumaan käyttäjistä entistäkin "tuskallisemmilta".

Kulttuurimuutoksen edistäminen

Viimeksi mainittu tekijä voidaan ratkaista vain kulttuurimuutoksen avulla. Loppukäyttäjien on tunnettava, että parhaiden turvallisuuskäytäntöjen noudattamisesta aiheutuva tuska on pienempi kuin niiden noudattamatta jättämisestä saatava tyydytys.

Tekniset toimenpiteet, kuten salasanahallintajärjestelmät, ovat tässä yhteydessä olennaisen tärkeitä, sillä ne helpottavat huomattavasti turvallisella tavalla toimimista: jos työntekijöiden ei tarvitse luoda tai muistaa omia salasanojaan, heillä ei ole mitään syytä olla käyttämättä turvallisia salasanoja. Samanaikaisesti kynnystä oikean toiminnan suorittamiseen on madallettava kulttuurimuutoksen avulla. Tämä tarkoittaa sitä, että turvallisuus asetetaan päätöksenteon etusijalle ja varmistetaan, että käyttäjät eivät koskaan koe "tuhlaavansa aikaa" ryhtymällä asianmukaisiin turvatoimiin.

Turvallisuudesta on keskusteltava työntekijöiden kesken, ja loppukäyttäjien omiin rooleihinsa liittyviin turvallisuuskysymyksiin liittyviin kysymyksiin ja näkökohtiin on kiinnitettävä huomiota ja niistä on myös palkittava. Tämä auttaa käyttäjiä tuntemaan, että turvallisuus ei ole vain jälkiviisas asia, vaan asia, johon kannattaa aina käyttää aikaa.

Tehokkaassa tietoturvatietoisuuskoulutuksessa ei käsitellä yhtä vaan kaikkia näitä neljää tekijää. Tämä tarkoittaa sellaisten tilanteiden tunnistamista, joissa tiedot tai järjestelmät voivat vaarantua, parhaiden käytäntöjen ymmärtämistä, tietämystä siitä, mitä mahdollisia seurauksia tietoturvaloukkauksilla voi olla, ja lopuksi kulttuurimuutoksen läpiviemistä sellaisen ympäristön luomiseksi, jossa turvallisuusnäkökohdat otetaan aina huomioon päätöksenteossa.

Henkilöstön turvallisuuden säilyttäminen
kotoa käsin työskenneltäessä

Maailmanlaajuinen vastaus Covid-19-pandemiaan on aiheuttanut monia muutoksia työpaikoilla. Merkittävin tietoturvaan vaikuttanut muutos on ollut monien yritysten siirtyminen siihen, että osa tai koko henkilöstö on siirtynyt lyhyellä aikataululla työskentelemään kotoa käsin, mikä on johtanut siihen, että monet loppukäyttäjät ovat suuremmassa vaarassa altistua verkkouhille.

Kotona työskentelyn turvallisuusriskit

Työntekijät, jotka eivät olleet tottuneet työskentelemään kotoa käsin ennen pandemiaa, huomasivat nopeasti joitakin sen aiheuttamia ongelmia: heidän oli huolehdittava lapsista ja lemmikeistä, tehdä töitä epävarmalla internetyhteydellä ja siedettävä kaikkia muita häiriöitä, joita kotona voi esiintyä. Kaikkien näiden uusien työympäristön muutosten keskellä turvallisuus jäi liian usein käyttäjien prioriteettilistan häntäpäähän.

Kotoa käsin työskentelevät loppukäyttäjät eivät ole IT-tukiosaston valvonnassa, ja he saattavat joutua kamppailemaan yksinkertaisten teknisten ongelmien kanssa. Lisäksi loppukäyttäjät joutuivat yhtäkkiä hoitamaan keskeisiä tietoturvatehtäviä, kuten ohjelmistojen ja käyttöjärjestelmien päivittämistä, reitittimen laiteohjelmiston päivittämistä ja verkon suojaamista. Ei ihme, että verkkorikolliset eivät ole hukanneet hetkeäkään hyödyntämällä pandemian aiheuttamia olosuhteita ja keksimällä uusia huijaus- ja verkkorikollisuuden muotoja.

Miten tietoturvaa käsitellään, kun loppukäyttäjät
ovat kotona

IT-tukitiimi ei voi olla jokaisen loppukäyttäjän kotona, minkä vuoksi on tärkeää varmistaa, että oikeiden laitteiden lisäksi loppukäyttäjät ovat tietoisia omasta vastuustaan tietoturvan ylläpitämisessä. Loppukäyttäjien on tiedettävä, että heidän vastuullaan on varmistaa, että he käyttävät yrityksen tietoja ja verkkoja vain laitteilla ja verkoissa, jotka ovat ajan tasalla ja turvallisia.

Turvallisuustietoisuuskoulutus on avainasemassa sen varmistamisessa, että loppukäyttäjät tietävät, miten tietoturvaa ylläpidetään. Koulutus kannattaa jakaa pieniin, helposti omaksuttaviin osiin, sillä näin varmistetaan, etteivät käyttäjät huku. Koulutusta olisi myös järjestettävä säännöllisesti - vähintään kerran kuukaudessa - sen varmistamiseksi, että keskeiset opitut asiat jäävät mieleen ja että käyttäjät eivät unohda tietoturvaa heti, kun seuraava työprojekti tulee ja muuttaa tärkeysjärjestystä. Lopuksi on tärkeää testata loppukäyttäjiä. On tehtävä selväksi, että tässä ei ole kyse koulutuksen kanssa kamppailevien käyttäjien tuomitsemisesta tai rankaisemisesta, vaan pikemminkin keskeisten tietoturva-aukkojen tunnistamisesta koko henkilöstössä ja niiden korjaamisesta ennen kuin tietoverkkorikolliset voivat käyttää niitä hyväkseen.

Mikä on paras muoto
turvallisuustietoisuutta käsittelevälle koulutukselle?

Turvallisuustietoisuuskoulutus ei ole yksi ja sama asia. Tapa, jolla koulutus toteutetaan, jäsennetään ja esitetään, vaikuttaa suuresti sen tehokkuuteen organisaatiosi turvallisuustulosten todellisen parantamisen kannalta. Tässä osassa tarkastelemme, mikä on paras tapa toteuttaa tietoturvatietoisuuskoulutus loppukäyttäjille.

Vanhan koulukunnan VS nykyaikainen koulutus

Tietoturvatietoisuuskoulutus tarkoitti ennen sitä, että loppukäyttäjät joutuivat osallistumaan vuosittain tuntikausia kestäneeseen luento- ja diaesityskoulutukseen. Ajatuksena oli, että käyttäjät muistaisivat jotakin näkemästään ja kuulemastaan - ja pahimmassa tapauksessa ainakin "käyttäjien kouluttaminen" saataisiin rastitettua listalta. Kuinka pitkälle se kuitenkin tosiasiallisesti paransi turvallisuustuloksia? Se ei toiminut, ja kaikki vihasivat sitä.

On useita syitä siihen, miksi tämäntyyppinen vuosittainen luentopohjainen koulutus ei ole tehokasta. Ensimmäinen niistä on se, että vuotuisessa koulutuksessa on yksinkertaisesti liikaa tietoa kerralla, jotta työntekijä pystyisi sulattamaan ja muistamaan sen. Vaikka käyttäjille annettaisiin oppimateriaalia mukaan tai heille lähetettäisiin ajoittaisia muistutuksia, on todennäköistä, että suurin osa koulutustilaisuuden materiaalista menee toisesta korvasta sisään ja toisesta ulos.

Luennot ja diaesitykset eivät yksinkertaisesti ole loppukäyttäjille houkuttelevia oppimismuotoja. Ne eivät herätä työntekijöiden kiinnostusta samalla tavalla kuin video ja interaktiivinen sisältö, ja liian usein ne ovat täynnä tarpeetonta tietoa, joka ei ole merkityksellistä kaikille loppukäyttäjille. Pienellä tekstillä täytetyt diat saavat varmasti jokaisen työntekijän nukahtamaan istunnon puolivälissä.

Viimeinen merkittävä syy siihen, miksi perinteinen koulutus ei ole tehokasta, on se, että siinä ei hyödynnetä toistojen kautta tapahtuvaa oppimista. Jos koulutustilaisuuksien välillä on vuosi, käyttäjät eivät yksinkertaisesti muista oppimaansa - ja tietoisuus tietoturva-asioista yleensä laskee koulutuksen jälkeisinä päivinä ja viikkoina. Turvallisuus ei voi olla kertaluonteinen asia, vaan sen on oltava ympärivuotista, jotta se olisi tehokasta.

Tietoturvakoulutuksessa on siirrytty yhä enemmän online-ohjelmistopalveluratkaisuihin. Pilvipohjainen koulutus tarjoaa joitakin välittömiä etuja perinteisiin menetelmiin verrattuna, mutta se ei välttämättä ole lopullinen vastaus turvallisuustietoisuuden parantamiseen, ellei se tuota tuloksia tietyillä aloilla, jotka ovat olennaisia turvallisuustulosten todellisen parantamisen kannalta.

Miten koulutuksesta saadaan todella tehokasta?

Todella tehokas tietoturvatietoisuuden koulutusohjelma on mahdollinen, mutta on olemassa joitakin tärkeitä kriteerejä, joita sinun on noudatettava, jotta käyttäjät saadaan aidosti mukaan.

7 askelta onnistuneeseen tietoturvatietoisuuskoulutukseen:

  1. Jaa materiaali osiin

  2. Tee harjoittelusta säännöllistä

  3. Toimita asiaankuuluvaa materiaalia

  4. Tarjoa käytännön neuvoja

  5. Videon ja interaktiivisen sisällön käyttö

  6. Testaa käyttäjien edistymistä

  7. Tee turvallisuudesta yrityksen keskeinen arvo

 

Materiaalin hajottaminen

Ihminen pystyy omaksumaan vain rajallisen määrän tietoa kerrallaan. Tämä pätee erityisesti silloin, kun kyse on aiheista, joista useimmilla työntekijöillä ei ole paljon aiempaa tietoa. Jotta oppimateriaalin määrä ei hukuttaisi loppukäyttäjiä, se on pilkottava sopivasti osiin, joilla kullakin on oma selkeä ja yksinkertainen viestinsä, joka esitetään käyttäjille helposti sulavalla tavalla.

Säännöllinen harjoittelu

Toinen hyöty oppimateriaalin pilkkomisesta on se, että sen avulla oppimisesta voidaan helposti tehdä jatkuvaa. Oppimateriaalin jakaminen osiin mahdollistaa näiden osioiden lähettämisen säännöllisesti koko vuoden ajan, mikä auttaa pitämään tietoturvatietoisuuden jatkuvasti loppukäyttäjien mielessä. Koska toisto on oppimisen avain, tämä on ratkaisevan tärkeää sen varmistamiseksi, että käyttäjät todella muistavat, mitä heille on opetettu.

Materiaalin osuvuuden varmistaminen

Sen varmistaminen, että oppimissisältö on loppukäyttäjille merkityksellistä, on olennaisen tärkeää, jotta he pysyvät sitoutuneina. Kun loppukäyttäjälle esitetään tietoa, joka ei ole hänen mielestään merkityksellistä, hän menettää nopeasti kiinnostuksensa ja kiinnittää vähemmän huomiota. Oppimateriaalissa on vältettävä jargonia ja teknisiä termejä, ja sen on oltava laadittu tosielämän tilanteita silmällä pitäen, joita keskivertokäyttäjät kohtaavat jokapäiväisessä työelämässään. Useimpien työntekijöiden ei esimerkiksi tarvitse tietää säännöksiä tai haittaohjelmahyökkäyksiä koskevia yksityiskohtia, vaan yksinkertaisesti sitä, miten käyttäytyä siten, että nämä riskit pienenevät - ja miten raportoida asianmukaisesti kohtaamistaan riskeistä.

Käytännön neuvojen antaminen

Riskien ja niiden torjumisen opettaminen työntekijöille on ihan kiva asia, mutta olennaisinta on, että kun työntekijät lähtevät koulutuksesta, heillä on mielessään konkreettisia toimia joita he voivat käyttää heti päivittäisessä työssään. Myös se, että työntekijöille annetaan mahdollisuus testata koulutusta heti, auttaa muistin rakentamisessa - ja se voidaan toteuttaa esimerkiksi tietojenkalastelusimulaation kaltaisilla työkaluilla.

Videon ja interaktiivisen sisällön käyttö

Kaikki sisältö ei ole samanlaista. Tekstipohjainen sisältö kyllästyttää käyttäjiä nopeasti, ja sitä tulisi käyttää vain silloin, kun sitä täydennetään visuaalisella, kiinnostavammalla sisällöllä. Videot sopivat erinomaisesti käyttäjien viihdyttämiseen, kunhan ne ovat laadukkaita ja miellyttäviä katsella. Huumoria voidaan käyttää tehokkaasti, jotta tietoturvatietoisuutta käsittelevistä videoista tulisi loppukäyttäjien kannalta houkuttelevampia. Interaktiivinen sisältö on myös loistava keino sitouttaa käyttäjiä. Monet ihmiset oppivat tekemällä - vastaamalla kysymyksiin tai osallistumalla muuten oppimiseen - ja vuorovaikutteinen sisältö voi myös antaa käyttäjille onnistumisen tunteen kurssin läpäisemisestä.

Käyttäjien edistymisen testaaminen

On tärkeää, että koulutustilaisuuksien jälkeen käyttäjät testataan siitä, mitä he ovat oppineet. Näin tiedät, että käyttäjät ovat oppineet keskeiset asiat ja että he lähtevät opittuaan jotain - mutta tämä auttaa myös käyttäjien oppimisprosessia, kun he muistavat juuri oppimansa tiedot omasta muististaan.

Turvallisuuskulttuurin luominen

Turvallisuustietoisuutta koskevan koulutusohjelman tehokkuuden olennaisin osa liittyy kuitenkin yhtä paljon koulutuksen ulkopuolisiin tekijöihin kuin itse koulutukseen. Jotta koulutus olisi tehokasta, sen on oltava osa turvallisuuskulttuuria, jossa turvallisuuteen kiinnitetään aina tarvittavaa huomiota ja jossa käyttäjiä kannustetaan aktiivisesti tuomaan esiin huolenaiheita ja esittämään kysymyksiä. Hyvä tietoturvatietoisuusohjelma edistää tätä esittämällä tietoturvan jatkuvana ja aktiivisena eikä kertaluonteisena ja passiivisena asiana - mutta on tärkeää, että organisaatio tukee tätä pyrkimystä myös koulutuksen ulkopuolella.

Miten turvallisuus sisällytetään henkilöstön jokapäiväiseen
toimintakulttuuriin

Turvallisuustietoisuuskoulutus ei paranna tehokkaasti turvallisuustuloksia, jos siihen ei liity kulttuurin muutosta. Kattava koulutus opettaa loppukäyttäjille, miten tunnistaa tilanteet, joissa turvallisuus on vaarassa, ja miten niitä käsitellään asianmukaisesti - mutta tätä tietoa ei sovelleta käytäntöön, elleivät käyttäjät koe, että turvallisuutta arvostetaan heidän kulttuurissaan.

Kun uhkien määrä kasvaa, yrityspalvelut monimutkaistuvat ja tiedot ja järjestelmät ovat yhä useammin saatavilla mobiililaitteilla, on mahdotonta tietää, mistä seuraava uhka tai tahaton vuoto yrityksellesi voi ilmetä. Tämän vuoksi tietoturvan ei pitäisi olla sitä, että loppukäyttäjät valitsevat vahvat salasanat tai noudattavat muita erityistoimia, vaan pikemminkin sitä, että heidät valtuutetaan toimimaan yrityksesi, sen järjestelmien, laitteiden ja tietojen aktiivisina vartijoina.

Älä pidä kyberturvallisuutta IT-ongelmana.

Kulttuurissa on kyse arvoista. Jotta työntekijät välittäisivät turvallisuudesta, sitä on korostettava arvona koko yrityksessä. Tämä tarkoittaa sen varmistamista, että tietoturvaa ei pidetä IT- tai tietoturvaryhmän vastuulla vaan kaikkien työntekijöiden yhteisenä vastuuna.

Sisällytä turvallisuus yrityksen arvoihin

Kulttuurimuutoksen ja yrityksen arvojen on tultava huipulta. Ylimmällä johdolla on tärkeä rooli turvallisuuden roolin korostamisessa liiketoiminnassa, mutta on tärkeää, että se pikemminkin kasvattaa kuin sanelee uutta kulttuuria. Tämä tarkoittaa sitä, että työntekijöitä on kannustettava ottamaan aktiivinen rooli pyytämällä heitä ottamaan esille omaan rooliinsa liittyviä huolenaiheita ja kannustamalla heitä esittämään kysymyksiä ja sitoutumaan turvallisuuskysymyksiin.

Näin käyttäjät tuntevat olevansa mukana tietoturvaprosessissa ja alkavat aktiivisesti miettiä omiin rooleihinsa liittyviä turvallisuusnäkökohtia. Esimies tai joku IT-osastosta ei välttämättä tunne täysin kaikkia työntekijän työnkulun prosesseja - siksi on tärkeää, että käyttäjät itse ymmärtävät, että heidän on ryhdyttävä toimiin tietojen ja järjestelmien turvallisuuden varmistamiseksi.

Ota ylempi johto mukaan

Ylimmällä johdolla on myös rooli liiketoiminnan painopisteiden määrittelyssä. Jokainen lentoyhtiössä työskentelevä voi kertoa, että turvallisuus on aina, poikkeuksetta, etusijalla. Kaikki muu on vasta toiseksi tärkeintä. Vaikka useimmissa muissa yrityksissä turvallisuus ei ole elämän tai kuoleman kysymys, on tärkeää muistaa, miten vahingollisia tietoturvaloukkaukset voivat olla yritykselle.

Jos asiakkaat eivät enää tunne, että he voivat luottaa organisaatioon henkilötietojensa tai liiketoimintansa suhteen, se voi merkitä yrityksen loppua. Kaikille työntekijöille on tehtävä selväksi, että turvallisuus on aina etusijalla - ja että on aina parempi kysyä ja varmistaa kuin katua jälkikäteen.

Käytä vähimpien oikeusten periaatetta

Turvallisessa liiketoimintaympäristössä vähiten etuoikeuksia koskeva periaate auttaa huomattavasti suojaamaan yrityksen omaisuutta, tietoja ja järjestelmiä. Vaikka vähimmän etuoikeuden periaate nähdään usein teknisenä toimenpiteenä - kunkin käyttäjän rajoittaminen vain niihin oikeuksiin, joita hän tarvitsee tehtäviensä hoitamiseen - se olisi myös sisällytettävä suoraan yrityskulttuuriin. Tämä tarkoittaa sitä, että käyttäjiä kannustetaan ilmoittamaan aktiivisesti, jos heillä on pääsy useampiin tietoihin tai järjestelmiin kuin he tarvitsevat, mikä auttaa rajoittamaan rikkomusten mahdollisuuksia.

Käytä pehmeitä muistutuksia parhaista käytännöistä

Fyysisten toimenpiteiden osalta esimerkiksi julisteet voivat olla hyödyllisiä turvallisuuskulttuurin rakentamisessa, ja ne sisältävät myös hyödyllisiä muistutuksia esimerkiksi salasanojen vahvuudesta. On kuitenkin tärkeää muistaa, että pelkkä julisteen kiinnittäminen seinälle ei yksinään saa aikaan mitään, vaan niitä on käytettävä keskustelun herättäjinä tai täydennyksenä koulutusmateriaalille, jota käyttäjät jo käyvät läpi.

Muista palkita työntekijöitä

Lopuksi on tärkeää varmistaa, että työntekijät tuntevat, että heidän panostaan turvallisuuteen arvostetaan. Kun työntekijät esittävät kysymyksiä, heille on aina annettava aikaa ja heihin on kiinnitettävä huomiota, ja on varmistettava, että he ymmärtävät täysin vastauksen ja sen, miksi sillä on merkitystä turvallisuuden kannalta. Kun käyttäjät tuovat esiin tietoturvaan liittyviä huolenaiheita, heidät on aina palkittava siitä, että he kiinnittävät huomiota ja työskentelevät yrityksen turvallisuuden ylläpitämiseksi.

Keskeiset tietoturvakoulutuksen
aiheet vuonna 2021

Tietoturvakoulutuksen muoto ei ole ainut asia jolla on merkitystä, vaan myös sillä, mitä koulutukseen sisältyy. Koulutuksen on katettava kaikki keskeiset aiheet, ilman että se on käyttäjille ylivoimainen. Vaikka kullakin organisaatiolla ja kullakin työtehtävällä on erilaiset vaatimukset, on olemassa joitakin keskeisiä osa-alueita, jotka kannattaa varmistaa, että jokainen loppukäyttäjä on niistä tietoinen - vaikka vain lyhyesti.

usecuren parhaat valinnat:

  1. Turvallinen internetin ja sähköpostin käyttö

  2. Tietoisuus tietojenkalastelusta

  3. Turvallisuus kotona

  4. Salasanat ja todennus

  5. Etätyöskentely

  6. Irrotettavat tietovälineet

  7. Fyysinen turvallisuus

  8. Mobiililaitteiden turvallisuus

  9. Julkinen Wi-Fi

  10. Pilviturvallisuus

  11. Turvallinen sosiaalisen median käyttö

  12. Sosiaalinen manipulointi

 

Aloita ihmisten muuttaminen vahvimmaksi puolustuslinjaksi.

usecure on ihmisriskien hallintaratkaisu (HRM), jonka avulla yritykset voivat vähentää käyttäjiin liittyviä tietomurtoja, rakentaa kyberkestävän työvoiman ja saavuttaa vaatimustenmukaisuusstandardit automaattisten käyttäjäkoulutusohjelmien avulla.

Johtavien IT-ammattilaisten ja hallinnoitujen palveluntarjoajien (MSP) luottamuksen ansainnut usecure analysoi, vähentää ja valvoo ihmisten kyberriskiä riskilähtöisten turvatietoisuuskoulutusohjelmien, simuloitujen tietojenkalastelu-kampanjoiden, yksinkertaistetun käytäntöjen hallinnan ja jatkuvan pimeän verkon tietoturvaloukkausten seurannan avulla - kaikki yhdeltä alustalta.

Lisätietoja usecure:sta