Az apátiától kezdve a kényelmen át a következményektől való félelemig számos oka van, hogy az alkalmazottak nem tartják be a szabályokat.
A vállalatok egyre inkább megértik, hogy a kiberbiztonság körüli kultúrának egységesnek és hatékonynak kell lennie. Az Osterman Research jelentése szerint a biztonsági és informatikai vezetők 96 százaléka szerint rendkívül fontos az erős kiberbiztonsági kultúra kialakítása. E vezetők mintegy háromnegyede szerint az alkalmazottak legalább olyan fontosak, mint a technológia, ha meg akarják őrizni a szervezet biztonságát - írta az ITPro Today portál.
A KnowBe4 emberi hibákra fókuszáló kiberbiztonsági tanácsadócég jelentése például megállapította, hogy a gyenge kiberbiztonsági kultúrában dolgozó alkalmazottak 52-szer gyakrabban osztják meg a hitelesítő adatokat, mint a jó biztonsági kultúrában dolgozó alkalmazottak. Kai Roer, a KnowBe4 biztonsági kultúrával foglalkozó kutatója szerint megállapították, hogy egyetlen üzleti szektor sem érte el azt, amit jó biztonsági kultúraként definiálnak.
Van néhány kritikus pont, ahonnan azonban ki lehet indulni a helyzet javításához. A változtatásokhoz vezető első fontos lépés annak kiderítése, hogy az alkalmazottak hogyan minősítik kiberbiztonsági 'higiéniájukat', hogyan látják a kiberbiztonságot a vállalatnál, hogyan látják szerepüket a szervezeti kiberbiztonságban, mennyire tartják be az irányelveket és a biztonsági gyakorlatokat, illetve mennyire hajlandóak többet tanulni és változtatni. Sok vállalat használja a rendelkezésre álló kiberbiztonsági kultúra felmérések egyikét, például az Infosec IQ Cybersecurity Culture Survey vagy a KnowBe4 Security Culture Survey felmérését.
Az előre lépéshez ki kell törölni a szokások közül a hibáztatást. Sok biztonsági problémát felhasználói hiba okoz, de a felhasználók hibáztatása rossz lépés, mondta a szaklapnak Sushila Nair, az NTT Data Services biztonsági vezetője és a biztonsági képzést és minősítést nyújtó nemzetközi iparági szervezet, az ISACA elnökségi tagja. "Ha a hibáztatás a kultúra része, az emberek nem lépnek előre. Ehelyett a biztonsági kultúrának arról kell szólnia, hogy miként segítsünk az embereknek elkerülni e hibákat a jövőben. Tudniuk kell, hogy az őszinteségért jutalmat kapnak, nem pedig büntetést" - szögezte le a szakértő.
A szervezet sajátos gyengeségei alapján biztonságtudatossági képzési programokat kell kidolgozni. "A biztonságtudatossági programra gyakorlatilag úgy tekintünk, mint minden kulturális biztonsági kérdés javításának lehetőségére. Olyan tartalmakról van szó, amelyek a bizalomépítés, az elkötelezettség növelése és a biztonsági incidensek kimenetelével kapcsolatos érzések megváltoztatásának ambiciózusabb céljait szolgálják. Fontos, hogy a PowerPoint-megközelítéssel ellentétben a képzést magával ragadóvá tegyük" - mondta Megan Sawle, az Infosec alelnöke.
Roer szerint a képzéssel olyan konkrét felhasználókat érdemes megcélozni, akik konkrét problémákban érintettek. Ez azért fontos, mert a cselekvést mindenkinél más és más a pszichológiai ok váltja ki.
"Egyes alkalmazottakat bizonyos adathalászkísérletek becsaphatnak, míg másokat nem. Ha azonosítjuk, hogy az egyes alkalmazottakra milyen típusú adathalászat hat, akkor segíthetünk a konkrét alkalmazottak képzésében az ő konkrét problémáik esetében" - mondta a kutató. Az eredmények javítása mellett ez a megközelítés a képzési folyamatot is kellemesebbé teszi, mivel az alkalmazottaknak nem kell végigülniük olyan foglalkozásokat, amelyek nem feltétlenül relevánsak számukra.
Sok vállalat úgy találja, hogy a "répa és bot" megközelítés csodákra képes. Vannak cégek, ahol játékokba integrálják a képzést, vagy ösztönző rendszert kapcsolnak a szimulált adathalász-támadásokhoz, és nyilvánosságra hozzák azoknak az alkalmazottaknak a nevét, akik nem kapják be a csalit. "Alapvetően hősök megteremtéséről van szó, ami pozitív elismerést ad az embereknek azért, mert valami jót tesznek. Ez építi fel a kívánt kultúrát" - állítja Nair. Ehhez Gomez azt tette még hozzá, hogy határozottan hisz a 80-20-as szabályban, mert bármit is teszünk lesznek, akik keményebben ellenállnak, ezért folyamatosan meg kell próbálnod elérni őket. A kiberbiztonsági kultúra megváltoztatása kitartást kíván, de kifizetődő lehet az ITPro Today szerint.
