Menciptakan Budaya Keamanan

Oktober adalah Bulan Kesadaran Keamanan Siber Nasional.

Itu juga kebetulan (antara lain) Bulan Kesadaran Kanker Payudara, Bulan Kebersihan Gigi, Bulan Pencegahan Bullying Nasional dan favorit pribadi saya, Bulan Pizza Nasional. Selain itu, ini Halloween! Tapi saya ngelantur… kami di sini untuk berbicara tentang keamanan siber.

Setiap produsen harus mengadakan pelatihan kesadaran keamanan siber untuk semua staf mereka setidaknya sekali setahun. Banyak orang ketakutan hanya dengan penyebutan kata "keamanan siber" dan "pelatihan", jadi Oktober sepertinya waktu yang tepat untuk itu. Pelatihan Anda setidaknya harus mencakup kebijakan perusahaan yang relevan seperti keamanan TI, keamanan informasi, dan keamanan fisik Anda.

Selama bertahun-tahun banyak dari kita telah mengikuti jenis pelatihan ini dan belajar untuk takut akan hal itu. Pelatihan di mana seseorang memberikan pidato keamanan siber yang sama persis dengan yang mereka berikan tahun lalu dan kemudian membagikan kertas untuk Anda tanda tangani yang mengatakan bahwa Anda ada di sana. Sebuah snoozefest nyata. Pelatihan semacam ini melakukan tugasnya sejauh memenuhi minimal tetapi berdampak kecil pada pembentukan perilaku karyawan yang sebenarnya.

Tujuan sebenarnya dari kesadaran dan upaya pelatihan keamanan siber adalah untuk menciptakan budaya keamanan, yang berarti bahwa karyawan harus memandang praktik keamanan siber yang baik sebagai bisnis yang baik dan sebagai bagian dari “bagaimana kita melakukan bisnis di sini.” Karyawan harus merasa mampu untuk membuat keputusan keamanan siber yang baik dan memahami apa yang membuat keputusan yang baik. Kesadaran dan pelatihan harus berfokus pada:

• Menghentikan perilaku berisiko: Bantu karyawan mengetahui keputusan apa yang dapat menyebabkan hasil yang buruk. Misalnya, membuka lampiran email dari sumber yang tidak dikenal.
• Mendorong perilaku yang tidak terlalu berisiko: Bantu karyawan memahami dan peduli tentang penerapan proses yang meningkatkan keamanan. Misalnya, cara membuat sandi yang kuat.
• Mengubah karyawan menjadi penjaga: Bantu karyawan mengenali dan menanggapi peristiwa keamanan siber. Misalnya, apa yang harus dilakukan jika tamu mencolokkan drive USB yang tidak sah ke mesin.

Idealnya, pelatihan harus menjadi upaya terus menerus. Beberapa ide tentang cara menyertakan pelatihan keamanan siber dalam pekerjaan sehari-hari bisnis Anda meliputi:

• Tekankan keamanan siber secara teratur sebagai tujuan penting perusahaan Anda.
• Mengintegrasikan satu tip, trik, atau pengingat keamanan siber ke dalam setiap rapat.
• Posting pengingat di sekitar tempat kerja tentang praktik keamanan yang sesuai.
• Adakan pertemuan rutin untuk membahas kemungkinan peningkatan proses yang dapat memudahkan karyawan membuat keputusan keamanan yang lebih baik.

Ada banyak penelitian tentang seperti apa pelatihan keamanan siber karyawan yang baik. Secara umum, dapat disimpulkan menggunakan akronim “RAINSTORMS.” Ya, saya baru saja mengarangnya sekarang.

• R eal:Menggunakan studi kasus dunia nyata atau skenario realistis membantu membawa pulang pelajaran.
• A ctionable:Sertakan sesuatu yang dapat segera dilakukan oleh karyawan. Ini mungkin termasuk mengubah kata sandi mereka, membuat inventarisasi aset TI mereka atau memastikan mereka memiliki informasi kontak untuk orang atau organisasi tempat mereka harus melaporkan insiden di telepon mereka. Terkadang tugas pekerjaan rumah jangka panjang juga sesuai, tetapi memiliki tujuan langsung selalu membantu.
• Saya interaktif:Permainan peran, diskusi kelompok kecil, atau latihan langsung adalah beberapa cara yang bagus untuk membuat pelatihan lebih interaktif. Idealnya, interaksi harus mencakup percakapan dua arah yang melibatkan semua tingkat manajemen untuk memastikan semua orang tahu bahwa setiap orang memiliki tanggung jawab yang sama, dan semua orang berada di halaman yang sama.
• N ew:Beberapa pengulangan memang tepat dalam pelatihan, terutama ketika berbicara tentang kebijakan, tetapi tidak boleh membosankan. Format pelatihan yang berbeda (misalnya ceramah, permainan peran, video) dapat membantu.
• S mall:Informasi seukuran gigitan jauh lebih mudah dicerna daripada seluruh informasi senilai gelar ilmu komputer yang dipaksakan kepada karyawan. Satu topik pada satu waktu umumnya lebih disukai.
• B stabil:Harus ada tujuan yang terukur dan dapat diuji untuk pelatihan keamanan siber. Kalau kesadaran umum, mungkin bisa dikembangkan kuis. Jika tujuannya adalah untuk mengurangi serangan phishing, mungkin email phishing palsu dapat dikirim beberapa minggu sebelum dan beberapa minggu setelah kejadian. Ini akan membantu menunjukkan seberapa efektif pelatihan tersebut.
• O dimiliki:Karyawan harus meninggalkan pelatihan dengan perasaan memiliki dan keamanan siber adalah tanggung jawab mereka; mereka harus merasa diberdayakan untuk membuat keputusan keamanan siber yang baik.
• R elevant:Sebagian besar perusahaan memiliki tipe pengguna yang berbeda. Menyesuaikan pelatihan untuk setiap jenis pengguna membuatnya lebih nyata. Ini mungkin berarti memiliki pelatihan yang berbeda untuk karyawan toko versus karyawan kantor.
• L menyenangkan:Gunakan akronim, mnemonik bernas, atau, favorit pribadi saya, humor. Manusia mengingat hal-hal lucu – permainan kata-kata, video musik yang buruk, meme kucing yang konyol – jauh lebih baik daripada ceramah yang membosankan. Jangan takut untuk membuatnya tidak konvensional dan bersenang-senang.
• S imple:Di atas segalanya, pelatihan harus sederhana. Pelajaran teknis yang terlalu penuh dengan technobabble hanya baik untuk membuat orang tertidur.

Inisiatif Nasional untuk Pendidikan Keamanan Siber (NICE) memiliki daftar kecil sumber daya gratis dan berbiaya rendah untuk membantu pelatihan karyawan. Ada juga banyak sumber daya tambahan yang tersedia secara online. Lakukan saja pencarian internet dan Anda akan dibombardir dengan pilihan. Evaluasi opsi tersebut menggunakan template RAINSTOMS di atas.

Sepanjang bulan Oktober, NIST MEP akan memposting serangkaian blog secara longgar mengikuti tema dan garis besar yang disediakan oleh National Cybersecurity Alliance (NCSA). Tema tahun ini adalah “Do Your Part. #BeCyberSmart.” Sekarang, secara pribadi, saya tidak pernah menjadi penggemar hastag yang mempromosikan diri sendiri, tetapi jika Anda men-tweet atau blog tentang keamanan siber selama bulan ini, pertimbangkan untuk menggunakan tagar #BeCyberSmart – kita akan lihat sejauh mana perkembangannya.

Garis besar yang telah dikeluarkan NCSA adalah sebagai berikut:

• Minggu 5 Oktober (Minggu 1):Jika Anda Menghubungkannya, Lindungi Ini
• Minggu 12 Oktober (Minggu 2):Mengamankan Perangkat di Rumah dan Kantor
• Pekan 19 Oktober (Minggu 3):Mengamankan Perangkat yang Terhubung ke Internet di Layanan Kesehatan
• Minggu 26 Oktober (Minggu 4):Masa Depan Perangkat Terhubung

Tidak yakin harus mulai dari mana? Anda dapat mempelajari lebih lanjut tentang cara menerapkan program pelatihan keamanan siber yang efektif dengan menghubungi Pusat MEP setempat. Anda juga dapat mengakses sumber daya keamanan siber untuk produsen di situs web NIST MEP.

Blog ini adalah bagian dari seri yang diterbitkan untuk National Cybersecurity Awareness Month (NCSAM). Blog lain dalam seri ini termasuk If You Connect It, Protect It oleh Zane Patalive, Suspicious Minds:Tanda Non-Teknis Bisnis Anda Mungkin Telah Diretas oleh Pat Toth, Mengamankan Perangkat Medis yang Terhubung ke Internet oleh Jennifer Kurtz dan Masa Depan Perangkat Terhubung oleh Erik Fogleman dan Jeff Orszak.