Människor: Den viktigaste länken inom cybersäkerhet?

Era anställda kan bli er första försvarslinje mot cyberattacker

Anställda presenteras ofta som den svagaste länken i dataskyddskedjan. Men om de är medvetna och informerade om riskerna som vissa av deras handlingar kan medföra för organisation, utgör de en solid barriär mot cyberattacker.

Den här artikeln är långt ifrån heltäckande och  syftet är att hjälpa CISO, liksom andra säkerhetschefer, att skapa och hantera effektiva medvetenhetskampanjer.

Att genomföra en medvetenhetskampanj kräver en långsiktig vision och svar på specifika mål. För att göra detta är det viktigt att specificera behoven och definiera en medvetenhetsstrategi. Den uppfyller två mål:

• Identifiera mål
• Hantera “medvetenhetsprojektet”

Dessa två punkter måste naturligtvis anpassas efter företagets storlek. Ju större struktur, desto fler mål kommer det att finnas.

Att definiera en uppsökande strategi innebär att förtydliga följande:

• Språk: Vilket är det mest talade språket? I allmänhet väljs språken för att möjliggöra att nå minst 80% av befolkningen.

• Befolkningen: Vem ska lära sig? Det kan vara medlemmar i verkställande kommittén, chefer, anställda eller mer specifika personer som utvecklare.

• Teman: Vilka risker vill vi varna om? Vilka goda metoder bör hanteras?

• Prioriteringar: Vilka är huvudmålen under det första året? Andra året? Vilka teman ska vara återkommande?

• Vektorer: Vilka kommunikations- och medvetenhetsvektorer finns i företaget? Ska nya vektorer sättas in?

• Begränsningarna: Vad är tidsfristerna? Vilken budget måste respekteras?

Det är viktigt att involvera de team som ansvarar för kommunikation i ett mycket tidigt skede. De har expertis som kan visa sig vara ovärderlig, särskilt när det gäller den mest lämpliga stilen, de språkelement som ska användas eller undvikas, etc.

De kan också distribuera meddelandena till alla anställda via sina interna distributionsnät.

I en medvetenhetskampanj är det viktiga att göra intryck. Det är viktigt att se till att den utvalda personalen känner sig bekymrade och genomför de föreslagna lektionerna.

En effektiv kampanj bör erbjuda enheter, anpassade för olika mål, och blanda olika medvetenhetsverktyg (e-learning, spel, affischer, mejl, etc.).

Det vore synd att försumma kampanjens ton och visuella identitet. Humor och spel är fortfarande värdefulla inlärnings- och memoriseringsvektorer som inte bör förbises.

Lanseringen av en medvetenhetskampanj motiverar antingen dess framgång eller inte. Syftet med detta ögonblick är att:

• Att utmana deltagarna;
• Att snabbt främja vidhäftningen av målen;
• Förena er kring projektet

Flera alternativ är möjliga (givetvis beroende av budgeten), från ett meddelande via e-post till en dedikerad dag med flera animationer

Hur bedömer ni framgången med en medvetenhetskampanj? Det rekommenderas att definiera exakta och mätbara indikatorer. De är specifika för varje företag och särskilt för varje kampanj.

Hur lång tid tar det att utbilda anställda om cyber? För det mesta planerar vi strategier som tar flera månader eller till och med år. Rom byggdes inte på en dag; för att åstadkomma och upprätthålla beteendeförändring är tålamod avgörande.