În ciuda acestor estimări, unele companii sunt sceptice în ceea ce priveşte instruirea personalului în domeniul securităţii cibernetice. Mai exact, reprezentanţii lor cred că oamenii, fie că sunt conştienţi de potenţiale ameninţări, fie că nu sunt, vor face mereu greşeli. Nu este o risipă din banii companiei să investească în cursuri care nu generează rezultatele dorite?

Adevăratul scop al instruirii în domeniul securităţii cibernetice este mai mult decât simpla conştientizare, este să schimbe comportamentul online al unui angajat, nu doar să informeze despre ameninţări şi măsuri.

Bazându-ne pe mai mult de 20 de ani de cercetări în domeniul cibernetic şi furnizând servicii de securitate pentru a elimina „factorul uman“ dintre ameninţările cibernetice, am constatat că următoarele cinci greşeli pot face ca formarea în domeniul securităţii informatice să nu aibă rezultatele dorite.

Formatul ineficient

Învăţarea şi dezvoltarea în cadrul unei companii pot veni sub diferite forme: o prelegere ţinută de un angajat ori de un vorbitor extern sau un curs pe calculator. Un format de curs care se potriveşte unei firme s-ar putea să nu meargă pentru alta, astfel încât companiile ar trebui să aleagă un format care s-a dovedit eficient pentru atingerea unui anumit set de competenţe.

Din experienţa noastră, o prelegere plictisitoare nu este potrivită pentru un curs de formare menit să îmbunătăţească abilităţile practice ale angajaţilor în materie de securitate cibernetică. Folosind un format online, puteţi îmbina mai multe tipuri de conţinut (video, text, teste) şi adăuga elemente de gamificare care transformă o lecţie dintr-o obligaţie plictisitoare în ceva mult mai amuzant şi interactiv. Mai mult, un curs online le permite angajaţilor să progreseze în ritmul propriu şi să dedice mai mult timp subiectelor complicate. Aceste lucruri sunt aproape imposibile atunci când angajaţii participă la cursuri tradiţionale.

Aceeaşi calificare pentru toate rolurile

Există convingerea că responsabilitatea securităţii informatice a unei companii le aparţine tuturor, deoarece acţiunile oricui pot afecta întreaga companie. Aşadar, este tentant să introduci cursuri de conştientizare în domeniul securităţii, cu scopul de a transforma fiecare angajat într-un profesionist în securitate cibernetică.

Cu toate acestea, conţinutul unui curs de formare în domeniul securităţii, care ar fi util pentru anumiţi angajaţi, depinde de sistemele şi informaţiile pe care le au la dispoziţie. Să înveţi oamenii nişte lucruri pe care nu le vor folosi niciodată (în special la locul de muncă) nu este eficient din punctul de vedere al costurilor. Pur şi simplu, pentru a evita atacurile în masă, toată lumea ar trebui să ştie cum să identifice site-urile evident periculoase, cum ar fi cele care solicită actualizarea software-ului. Personalul care are acces la informaţii sensibile şi la sistemele de importanţă critică pentru afacere ar trebui să participe la un curs mai avansat şi să poată recunoaşte mesajele false personalizate.

Excesul de informaţii

Adesea, formarea în domeniul securităţii este concepută pentru a acoperi simultan toate subiectele importante. Însă acest tip de format nu produce mari schimbări de comportament, deoarece este puţin probabil să fie asimilate toate informaţiile.

Conţinutul este reţinut cel mai bine atunci când este livrat în module mici. Dacă o lecţie scurtă (care nu va consuma mult din timpul de lucru) este dedicată unui singur subiect şi oferă un număr rezonabil de doze de informaţie, este mult mai probabil ca oamenii să poată să reţină cum ar trebui să reacţioneze în cazul unei anumite ameninţări.

Lipsa de practică şi repetiţie

Uneori există conţinut bun în traininguri, dar nu este memorat aşa cum ar trebui din cauza lipsei de repetiţie. Se ştie, însă, că repetiţia e mama învăţăturii.

Cursurile de instruire în domeniul securităţii au adesea un public neinteresat, care poate ascultă instrucţiunile, dar nu este motivat să le înveţe. Companiile ar trebui, prin urmare, să ţină cursuri care fac ca subiectele să fie uşor de reţinut, subliniind aspectul cel mai important de mai multe ori. De exemplu, pentru a evidenţia importanţa parolelor complexe, acest subiect ar trebui să fie consolidat şi menţionat de mai multe ori pe tot parcursul cursului: în lecţii despre protecţia informaţiilor sensibile, social media, e-mail etc.

Lipsa relevanţei pentru viaţa reală

Modalitatea de rezolvare a problemei reprezentate de angajaţi poate părea evidentă – creşterea gradului de conştientizare şi informarea acestora cu privire la regulile şi politicile generale de securitate informatică. Din nefericire, această strategie nu va funcţiona atunci când scopul ar trebui să fie schimbarea comportamentului.

Majoritatea angajaţilor nu au o pregătire în domeniul securităţii sau în IT, în general. Este posibil, prin urmare, să nu înţeleagă ce ar trebui să facă, dacă îi sfătuim să-şi menţină aplicaţiile actualizate şi să fie atenţi la deschiderea anexelor de e-mail suspecte. Pentru a depăşi această barieră de comunicare, pregătirea ar trebui să se realizeze prin simularea situaţiilor potenţiale cu care un angajat s-ar putea confrunta – cum ar fi lucrul cu e-mailuri sau navigarea pe internet în căutarea unui site pentru a-şi descărca serialele preferate.Pentru a avea succes, instruirea în domeniul securităţii informatice trebuie să se desfăşoare într-un mod care nu numai că acoperă toate subiectele esenţiale, ci le face uşor de înţeles şi de reţinut.

Atunci când angajaţii sunt obligaţi să-şi petreacă ore întregi în sesiuni de training, pe un subiect care nu face parte din responsabilităţile lor, poate fi dificil pentru companii să se asigure că aceştia preiau recomandările. În schimb, dacă trainingul nu durează prea mult şi este uşor de înţeles, este mult mai probabil să ducă la un număr mai mic greşeli şi la o mai bună securitate.