Ежегодный тренинг по кибербезопасности не работает, так какая альтернатива?

Программы обучения кибербезопасности и соблюдению нормативных требований теперь стали большим бизнесом. По данным Cybersecurity Ventures, рынок обучения по вопросам безопасности достиг 5,6 миллиардов долларов в 2023 году и, как ожидается, превысит 10 миллиардов долларов в ближайшие четыре года. В этом рыночном буме нет ничего удивительного: киберугрозы широко распространены, а крупномасштабные атаки продолжают появляться в заголовках газет, в частности, на Британскую библиотеку, и это только один британский пример, нарушая их способность функционировать. Все это доказывает, что каждая организация, независимо от ее размера, подвергается риску взлома.
Методы социальной инженерии, когда злоумышленник нацелен на людей, имеющих доступ к системам (а не на сами системы) и манипулирует ими для передачи контроля, были самой популярной вредоносной тактикой в ​​2023 году. Таким образом, компании правы, признавая, что люди играют в ключевая роль. уязвимость.
Ежегодный тренинг по повышению осведомленности о кибербезопасности является постоянным элементом повестки дня большинства организаций, стремясь обеспечить, чтобы каждый в каждом отделе развивал свои навыки осведомленности о кибербезопасности и был в состоянии выявлять угрозы и реагировать соответствующим образом, прежде чем они станут серьезной проблемой. В свете быстро развивающихся угроз безопасности такое обучение часто устаревает и может занять месяцы или даже годы, чтобы помочь людям распознать используемую тактику. Нил Такер
Навигация по социальным ссылкам
Директор по информационной безопасности в регионе EMEA, Netskope. Должно ли обучение проходить раньше, чем каждый год?
Спросите любого руководителя службы безопасности, и он или она без труда признает, что сотрудники считают ежегодное обучение кибербезопасности отнимающим много времени и скучным. Часто это отвлекает сотрудников, поэтому многие из них пролистывают страницы, бегло читают, смотрят видео с двойной скоростью и используют все ярлыки, которые могут найти, чтобы получить сертификат об окончании, поставить галочку и продолжить свой рабочий день.
Более того, зачастую ограниченная интерактивность каждого ежегодного тренинга не позволяет привлечь и удержать внимание сотрудников. Без активного участия уровень удержания снижается, и во многих программах обучения отсутствует какая-либо связь между сотрудником и реальными сценариями, которые могут возникнуть в его или ее конкретной роли.
Даже для тех, кто считает ежегодное обучение увлекательным и познавательным, по-прежнему мало доказательств того, что оно действительно обучает людей или приводит к положительным изменениям в поведении. В результате они служат не более чем флажком для соблюдения требований, а не превентивной мерой по формированию культуры бдительности и защиты от угроз. В конечном счете, это неэффективное использование ни времени, ни ресурсов, и кибератаки продолжают набирать обороты.
Также стоит отметить, что злоумышленники специально строят свои кампании таким образом, что даже самый подготовленный сотрудник забывает их общую логику кибербезопасности. Это включает в себя использование эмоционального, а не логического поведения и использование чувства безотлагательности, чтобы специально отвлечь жертву от ее логического и обученного подхода.
Подпишитесь на информационный бюллетень Ny Breaking и получайте все лучшие новости, мнения, функции и рекомендации, необходимые вашему бизнесу для успеха!
Как выйти за рамки образования? Организациям по всему миру необходимы поведенческие вмешательства, которые помогут людям снова мыслить логически, прежде чем идти на серьезные киберриски. Стремление к большей кибергигиене
Небольшие, регулярные и ориентированные на людей вмешательства являются идеальным путем для эффективных долгосрочных изменений в поведении. Примером этого является теория подталкивания: общий набор принципов, направленных на то, чтобы направить человеческое поведение на более желательный путь. Это проверенная концепция, которая в прошлом была чрезвычайно успешной, направляя людей к выбору более здоровой пищи и экологически безопасному поведению и требуя лишь небольших изменений в принятии решений в решающие моменты, когда они двигаются (часто автоматически) к поведению. Поэтому кажется несложным применить это к миру кибербезопасности.
Точно так же, как радарные указатели скорости отображают вашу текущую скорость, давая вам время подумать и скорректировать свое поведение, мы должны иметь действующие сигналы, которые сообщают нам, когда мы собираемся совершить рискованное кибер-поведение, и побуждают нас замедлиться. и подумай.
Этот ориентированный на людей путь профилактики может быть очень эффективным и является инструментом, который должен быть более широко известен и доступен компаниям. Например, коучинг пользователей в режиме реального времени использует обнаружение ИИ, чтобы немедленно выявлять поведение высокого риска для человека по мере его возникновения и предлагать альтернативные действия для сотрудника.
Это особенно важно в эпоху генеративного искусственного интеллекта, когда сторонние инструменты искусственного интеллекта доступны бесплатно во многих компаниях, а такие платформы, как ChatGPT и Google Bard, рассматриваются как незаменимые помощники для решения многих задач управления.. Риск здесь заключается в том, что многие сотрудники загружают на эти платформы конфиденциальные данные (от исходного кода до личной информации), что значительно увеличивает риск потери данных.
В большинстве случаев сотрудники, получающие доступ к этим услугам, не подозревают о риске и стараются работать продуктивно, используя инструменты, с которыми они знакомы или с которыми сталкивались. Вместо того, чтобы полностью блокировать эту деятельность, что потенциально может привести к тому, что недовольный сотрудник будет усерднее работать, чтобы обойти политику, своевременное обучение сотрудников дает возможность объяснить риск по мере его возникновения — с учетом корпоративной культуры и тона. голоса, но и политики – и рекомендации более безопасных способов достижения того же результата. Непрерывное образование
Такая форма непрерывного обучения и подкрепления может дать сотрудникам то, чего не хватает ежегодному обучению: возможность контекстуализировать информацию и не дать ей быстро затеряться в памяти. Более того, такое практическое применение постоянных напоминаний в повседневной трудовой жизни сотрудника является важным компонентом для полного понимания и повышения эффективности кибергигиены.
Обучая сотрудников в режиме реального времени тому, как они становятся более совершенными гражданами киберпространства и принимают более безопасные решения, компании могут предотвращать киберинциденты, как только возникает угроза, и внедрять реальные возможности обучения в повседневную рабочую жизнь сотрудников.
Вместо того, чтобы рассматривать людей как слабое звено в нашей системе безопасности, мы должны рассматривать их как последнюю линию защиты между предприятием и ландшафтом киберугроз. Важно, чтобы мы осознавали это и обучали людей наиболее эффективным и расширяющим возможности методам. Мы перечислили лучший облачный антивирус.
Эта статья была подготовлена ​​в рамках канала Expert Insights от Ny BreakingPro, где мы рассказываем о лучших и ярких умах современной технологической индустрии. Мнения, выраженные здесь, принадлежат автору и не обязательно совпадают с мнением Ny BreakingPro или Future plc. Если вы заинтересованы в участии, вы можете прочитать больше здесь: https://www.techradar.com/news/submit-your-story-to-techradar-pro.

Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/

Понравилась статья? Поделиться с друзьями:
Интересно о полезном
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.