CISO-guide: Hur man skapar en security awareness kultur

Ett starkt säkerhetsprogram måste vara inriktat på människor, processer och teknik. Detta kallas ofta för den "gyllene triangeln".

Många CISO:er anser att "People"-aspekten är den mest utmanande delen av detta ramverk. I särklass.

Få intressenterna att köpa in sig. Få medarbetarna att tro på era planer. Kommunicera cyberhot på ett tydligt och effektivt sätt. Och framför allt, skapa en kultur där säkerhet alltid är en självklarhet istället för en eftertanke.

Denna CISO här vet precis hur viktigt, men ändå komplext det kan vara 👇

I den här artikeln diskuterar vi hur CISO:er kan bygga upp en security awareness -kultur inom sin organisation.

Men låt oss först fastställa vad en security awareness kultur faktiskt innebär.

Vad är en security awareness kultur (och varför är den viktig)?

Ett företags kultur baseras på organisationens övertygelser och beteenden. När ett företag har en stark security awareness -kultur är medarbetarna medvetna om relevanta cyberhot, vilka aktiviteter de ska rapportera och vem de ska kontakta i sådana situationer. När din organisation har en stark security awareness kultur ses den inte som en eftertanke, utan som en prioritet.

I dessa tider är det viktigt att fokusera på en stark security awareness kultur. 95 % av alla hackningar och dataintrång orsakas av mänskliga misstag:

• Klicka på phishing länkar
• Uppdaterar inte programvaran
• Använda svaga lösenord
• Arbeta på distans utan VPN

Och listan kan göras lång.

Det är därför det är skadligt att förlora sig i teknik och processer om vi inte har ägnat rätt uppmärksamhet åt våra medarbetare ännu.

I en organisation där det inte finns en stark security awareness kultur är säkerhet alltid "någon annans ansvar". Men det som behövs är en gemensam känsla av ägarskap i hela organisationen. För du är bara så stark som din svagaste länk.

När Dustin Moskovitz, medgrundare och VD för Asana, talade om företagskultur betonade han vikten av uthållighet och att börja tidigt. "Om ni skjuter upp det här arbetet för att det känns svårt och distraherande just nu, gör ni er bara redo för ett mycket svårare (och i slutändan kanske omöjligt) problem att lösa senare. Kulturen förstärker sig själv och blir mer rigid med tiden, så det är viktigt att knuffa den i rätt riktning så tidigt som möjligt."

Skapa en security awareness kultur i fem steg

Nu när vi har fastställt vikten av en stark security awareness kultur, låt oss diskutera de steg du behöver ta för att bygga en sådan för din organisation.

1. Få stöd från ledningen

Det första steget du bör ta är att börja i toppen. Att bygga upp en kultur börjar med stöd från ledningen. Om ledningen inte investerar i security awareness är allt annat arbete meningslöst. Alla företagskulturer odlas uppifrån och ner från början. För om VD inte anser att det är en av hans prioriteringar, varför skulle någon annan i företaget känna på samma sätt?

Precis som med alla andra affärsenheter är det ditt jobb som CISO att kommunicera hur säker din organisation är för närvarande och vilka initiativ du har planerat för att förbättra detta. Ju mer regelbundet du rapporterar om detta, desto bättre kommer ditt budskap att fastna över tid.

Det hjälper att regelbundet visa en instrumentpanel som hela ledningsgruppen kan bekanta sig med. Det kan till exempel vara förra månadens resultat av ert utbildningsprogram på security awareness . Utifrån det kan ni svara på följande frågor:

• Vilka cyberhot utbildades teamet om?
• Vilka ämnen kräver mer uppmärksamhet?
• Vilka avdelningar presterar bäst eller sämst?
• Vad säger resultaten om vår övergripande säkerhetsnivå?

När ni har fått stöd från ledningsgruppen är det dags att fokusera på era avdelningsspecifika "champions". Dessa kan vara teamledare eller chefer för en viss avdelning. Det är dessa personer som kommer att ge er välbehövlig feedback när ni lanserar säkerhetsinitiativ.

Som CISO i en större organisation kommer du sannolikt att ha att göra med många olika intressenter samtidigt, som alla kräver olika tillvägagångssätt. Det kan vara lätt att tappa greppet om vem du behöver kommunicera med och vem som behöver mest uppmärksamhet. Du kan använda en mall för intressenthantering för att hålla ordning på alla dina ankor.

2. Ta fram en varumärkesbeskrivning

Nu när ni har ledningens stöd kan ni inkludera dem i processen med att ta fram en varumärkespolicy. Detta bör ge svar på alla viktiga frågor kring era säkerhetspolicyer, t.ex. hur anställda kan kontakta er eller hur ni agerar om ni utsätts för ett cyberhot.

Enligt CISO Jadee Hanson är det bästa sättet att genomdriva detta varumärkesuttalande inte att kommunicera det. Hanson uppmuntrar CISO:er att helt enkelt fira det beteende man letar efter. Detta skapar en snöbollseffekt inom organisationen med människor som kan försöka få samma erkännande. Mer om hur du kan fira ditt team längre fram i den här artikeln.

3. Upprätta regelbunden utbildning för anställda

Du kan inte ha en stark security awareness kultur utan att utbilda dina anställda om aktuella cyberhot och vad det är du försöker skydda. Medarbetarna måste förstå hur mycket organisationen är utsatt för risk och vad som står på spel.

I många organisationer erbjuds utbildning på security awareness endast en eller två gånger per år för att följa bestämmelser som GDPR. Det är inte den typen av utbildning vi talar om här.

För att skapa verklig medvetenhet är repetition avgörande. Forskning visar att 90 % av alla lärdomar från en engångskurs är bortglömda efter två veckor. När du erbjuder regelbunden utbildning i småbitar bygger medarbetarna upp kunskap över tid och verkliga beteendeförändringar sker. Det är helt enkelt omöjligt att skapa en security awareness -kultur när medarbetarna måste tänka aktivt på det en eller två gånger om året.

När du letar efter rätt utbildningslösning ska du se till att den inte bara fokuserar på phishing. Phishing är det största cyberhotet, men det är inte det enda. Du behöver ett utbildningsprogram som fokuserar på alla relevanta teman, inklusive:

• Phishing
• Smishing
• Säkert distansarbete
• VD-bedrägeri
• Uppdatering av programvara
• Ransomware

Det finns naturligtvis ingen anledning att ge denna utbildning personligen. Många säkerhetsspecialister har svårt att lära ut grundläggande security awareness utbildning. Inte på grund av bristande kunskap, utan för att undervisning är en underskattad färdighet som inte alla besitter. Att förklara komplexa begrepp på ett enkelt sätt är en konstform.

Med en lösning som Guardey får ditt team en 3-minuters onlineutmaning varje vecka för att träna security awareness. Detta security awareness -spel har tagits fram med hjälp av säkerhetsexperter och utbildare.

4. Kommunikation, kommunikation, kommunikation

När ni väl har fått in engagemanget och utbildningen på plats är det dags att kommunicera, kommunicera och kommunicera lite till. Alla vd:ar som är kända för att bygga en stark företagskultur är kända för att upprepa sina kärnvärden om och om igen.

Som CISO måste du regelbundet fånga uppmärksamheten och kommunicera dina säkerhetsprioriteringar och upprepa det delade ansvar som hela teamet bär.

Förutom att kommunicera säkerhetspolicyer och viktiga uppdateringar som ofta är lite torra (men nödvändiga), använd en positiv vinkel. Ett bra sätt att göra detta är att aktivt uppmärksamma, belöna och öppet hylla säkerhetsmedvetet beteende.

Dela ett meddelande i företagets Slack-kanal om hur Peter rapporterade ett cyberhot som besparade företaget en massa problem. Eller dela med er av resultaten från er utbildningslösning security awareness och hylla de som presterat bäst under en keynote. Alternativen är oändliga.

Öppenhet är nyckeln här. Se till att du och ditt team är tillgängliga och att det finns kanaler så att resten av organisationen också kan nå ut till dig.

5. Mäta, bedöma och förbättra

Att mäta är att veta. För att du ska veta om dina initiativ på security awareness ger resultat måste du fastställa några viktiga resultatindikatorer (KPI).

Om du använder en security awareness utbildningslösning som Guardey kan du helt enkelt ta en titt på din instrumentpanel och se hur bra ditt team presterar. Varje vecka får du nya insikter om vilka ämnen som ditt team får bra resultat på och vilka ämnen som behöver mer uppmärksamhet. Det visar också hur väl teamet deltar. En hög deltagarfrekvens är avgörande och en viktig indikator på att teamet värdesätter utbildningen.

Men ett underskattat sätt att mäta effekterna av era ansträngningar på security awareness är att titta på de inte så uppenbara signalerna:

• Ökar antalet rapporter om cyberhot?
• Säger kollegor till varandra om oönskat beteende?
• Får ni fler frågor om säkerhet överlag?

Allt detta är tydliga tecken på en förhöjd ansvarskänsla. Det är när människor inom organisationen blir proaktiva som man verkligen kan tala om en security awareness kultur.

Om du är CISO kanske du inte alltid fångar upp alla dessa signaler, särskilt i större organisationer. Därför kan en regelbunden undersökning för att samla in feedback vara till hjälp.

När du har samlat in alla dessa insikter är det viktigt att du faktiskt använder dem och förbättrar de processer du har på plats.

Dina medarbetare kan vara din starkaste brandvägg

"Kultur" är ett fluffigt ord som man lätt slänger sig med. Det är nästan lika enkelt att skriva ner ett par kärnvärden och kalla det för en dag.

Men att främja en security awareness -kultur är hårt arbete. Din organisation, inklusive din ledningsgrupp, kanske ser dig som ett hinder. De kanske ser säkerhet som "inte deras problem". Och det är svårt att vända på steken. Men när du väl gör det kommer resultaten att vara värda det.