Améliorer la cybersécurité d'une organisation n'est pas seulement une question de sensibilisation. Il s'agit d'une éducation qui conduit réellement à un changement de comportement, ce qui implique souvent un changement de culture de l'organisation.
De nombreux programmes de sensibilisation à la sécurité en entreprise échouent parce qu'il n'y a aucune réelle motivation pour que les employés s'en soucient, selon Laura Bell, fondatrice et directrice générale de SafeStack.
"Vous pouvez enseigner à quelqu'un des éléments techniques jusqu'à en devenir bleu, que ce soit par voie électronique ou électronique. personne, mais à moins que vous ne parveniez à l'amener à se soucier du pourquoi, vous ne verrez jamais de changement dans son comportement", a déclaré Bell. ZDNet.
Une fonction spéciale
Dossier spécial: Une stratégie gagnante pour la cybersécurité (PDF gratuit)
Cet ebook, basé sur la dernière fonctionnalité spéciale de ZDNet/TechRepublic, offre un aperçu détaillé de la manière d'élaborer des politiques de gestion des risques pour protéger vos actifs numériques critiques.
Lisez maintenantJames Turner, conseiller en sécurité auprès d'un cabinet de conseil IBRS et fondateur de Objectif RSSI, est d'accord. Selon lui, tout dépend du niveau d'engagement du personnel de l'organisation.
"Si vous avez un faible niveau d'engagement avec votre personnel, vous dites en fait: 'Je veux que vous changiez vos comportements, et je sais que vous n'en avez rien à foutre.' à propos de l'entreprise, mais faites-le quand même. Vous demandez au personnel de se comporter de manière complètement altruiste pour une entreprise avec laquelle il n'a aucun lien", a déclaré Turner. ZDNet.
"Si vous envisagez simplement de lancer une campagne de sensibilisation et que votre engagement est faible, arrêtez-vous et laissez les ressources humaines se concentrer d'abord sur l'engagement."
Turner affirme que certains des plus hauts responsables de la sécurité ont commencé à faire de la formation à la sécurité un élément essentiel du processus de changement organisationnel en formant d'abord le personnel à la sécurité électronique personnelle. Les sujets incluent les problèmes de confidentialité liés à l'utilisation de Facebook et des plateformes de communication comme WhatsApp, la sécurité les services bancaires sur Internet, et comment parler à leurs enfants et adolescents de la sécurité sur Internet et Harcèlement sur internet.
"[Ce sont] des questions qui les concernent directement dans leur vie familiale [et] leurs familles", a déclaré Turner. Cela donne l’occasion à l’équipe RH de commencer à améliorer l’engagement.
"L'entreprise dit: 'En fait, nous nous soucions de vous en tant qu'être humain. Ce truc est important. Même si nous avons besoin que vous changiez votre comportement ici au travail, nous reconnaissons que nous avons réellement besoin de vous, en tant que membre de notre précieux personnel, pour être en sécurité à la maison.
Il est également important, cependant, que la prise de conscience des risques ne se transforme pas en une campagne de peur.
"C'est la différence entre reconnaître que vous conduisez une voiture et qu'il y a d'autres objets en mouvement, etc. autour de vous, et que "Il y a un problème de sécurité, mais ça devrait aller à condition que vous compreniez ce que vous faites et ce que font les autres autour de vous", a déclaré Turner. dit.
"Nous voulons simplement nous assurer que vous ne pensez pas qu'Internet est un château gonflable où rien ne va mal."
Pour Bell, il s'agit aussi de raconter des histoires, ainsi que de la « formation sans clic » et des affiches sur le lieu de travail qui servent de rappels. Les histoires doivent exploiter la façon dont les gens pensent et ce qui les intéresse.
"Je ne parle pas d'histoires d'horreur, parce que nous ne sommes pas le monstre le plus effrayant dans la pièce pour la plupart des gens. La sécurité est un gros problème, mais ce n'est pas le seul, et pour la plupart des gens, ce n'est pas non plus le pire", a déclaré Bell.
"Par exemple, si j'enseigne à des développeurs techniques, nous dirons: "Eh bien, regardons cette histoire d'horreur de ce qui s'est passé, et ne regardons pas la partie effrayante de celle-ci". Parlons-en comme d'un film hollywoodien. Comment aurions-nous fait cela? Pouvons-nous faire ça ici? »
Il s'agit d'un processus interactif qui devient un processus engageant et créatif, plutôt qu'un processus qui suscite la peur.
Ou, comme l'explique Turner: « Toute cette histoire de sensibilisation à la sécurité est avant tout une question d'éducation... Ce n'est pas nouveau. Nous savons comment faire cela. Il y a tout un monde autour de celui-là. »
Renforcer la résilience via la culture d’entreprise
Les chercheurs en cybersécurité ont constamment constaté que lorsqu'il s'agit de renforcer la résilience d'une organisation en matière de cybersécurité, les facteurs culturels sont plus importants que les facteurs techniques.
Une équipe de recherche d'Australie Groupe des sciences et technologies de la défense (DST) et l'Université d'Adélaïde, par exemple, ont découvert que les employés seraient plus à même de détecter un e-mail de phishing s'ils autorisé à faire preuve de plus d'individualisme sur le lieu de travail et remettre en question l’authenticité des instructions envoyées par courrier électronique.
Parfois, cela peut être aussi simple que de donner aux employés la permission culturelle de demander une seconde à un collègue. opinion, et en renforçant le fait que cela est un signe de prise en charge de l'organisation, plutôt qu'un signe de faiblesse. Demandez à voix haute, suggère le gouvernement australien Restez intelligent en ligne programme.
"Parler à voix haute de vos préoccupations avec quelqu'un d'autre peut vous rassurer et vous aider à identifier les messages susceptibles d'être faux avant de cliquer sur un lien malveillant ou de divulguer des informations personnelles."
Une autre équipe de recherche de DST-Adelaide a découvert que les employés avaient de meilleures compétences en matière de sensibilisation à la sécurité de l'information s'ils étaient personnellement plus résilients et souffraient moins de stress au travail. Les changements organisationnels qui réduiraient le stress auraient bien sûr de nombreux autres avantages en plus d’améliorer la sécurité.
Une étude présentée par l'Université d'Otago en 2015 a montré que lorsque les employés tombaient dans le piège d'une attaque de phishing, ils étaient généralement loin de leur bureau, en utilisant des appareils mobiles qui n'affichaient pas nécessairement l'e-mail dans son intégralité. Cela se produisait également généralement en dehors des heures de travail, soit tard le soir lorsqu'ils étaient fatigués, soit tôt le matin lorsqu'ils étaient occupés à commencer la routine quotidienne de leur ménage.
"Cette attente selon laquelle nous allons demander aux gens de travailler de longues heures, d'être disponibles pour répondre aux e-mails et aux questions à tout moment, a un énorme inconvénient, et c'est une question de gestion des attentes", a déclaré Mark Borrie, responsable de la sécurité de l'information à l'université. directeur.
La leçon est que les organisations ne répareront pas leur cybersécurité problèmes à moins qu'ils ne résolvent d'abord ces problèmes sur le lieu de travail.
Turner dit qu'IBRS explique ces problèmes d'attention aux clients en termes de codes de couleur, un système adapté de Le code couleur de Jeff Cooper pour l'état d'esprit de combat.
Selon la version IBRS du code, les employés en condition Blanc sont "ignorants et non préparés", probablement inconscients de leurs actions et de leurs conséquences, et potentiellement dangereux pour eux-mêmes et pour les autres. organisation.
Adaptation IBRS des codes couleurs Cooper
Vous voulez que les membres de votre personnel opèrent chez Yellow, explique Turner, un état d'alerte « détendu » dans lequel les employés sont conscients de leurs actions et de leur environnement. Le texte, la sémantique, les nuances de langage et les informations sur l'expéditeur d'un e-mail qui semblent erronés ressortiront, ce qui les poussera à l'état Orange.
Orange est une "alerte spécifique", où quelque chose retient l'attention du collaborateur. L’action de demander à haute voix place les deux parties dans l’état Orange.
"Vous ne voulez pas qu'ils soient à Orange [en permanence] parce que c'est épuisant mentalement. Mais Yellow, avec de l'entraînement et de la pratique, vous pouvez maintenir cela pendant des heures", a déclaré Turner. À condition, en d’autres termes, que les membres du personnel prennent des pauses et fassent « beaucoup de bonnes choses en matière de santé, de sécurité au travail et d’ergonomie » comme se lever, se promener et boire de l’eau.
Même si la culture d'une organisation est la clé du succès, le contenu de la formation de sensibilisation à la sécurité reste important.
Les membres du personnel doivent comprendre ce que cette technologie signifie pour l'organisation et comment cette organisation gagne -- ou non -- en utilisant cette technologie, selon Nigel Phair, directeur du Centre pour la sécurité Internet à l'Université de Canberra.
"Au lieu de dire que les utilisateurs sont notre maillon le plus faible, comme tout le monde le dit à chaque conférence, je retourne cela en disant que vous êtes la plus grande force de l'organisation en matière de sécurité en ligne. C'est vous qui êtes les yeux et les oreilles", a déclaré Phair à ZDNet.
VOIR: Politique de sécurité des informations (Recherche Tech Pro)
Les membres du personnel doivent comprendre les raisons qui sous-tendent les décisions en matière de sécurité et les risques relatifs impliqués dans les différentes transactions. Ils doivent comprendre, par exemple, que même si les données d’un appareil peuvent être cryptées, la perte de cet appareil signifie néanmoins la perte d’un actif coûteux pour l’entreprise.
Selon les rapports de CERT Australia sur la protection des infrastructures critiques, environ un incident de cybercriminalité sur cinq est connecté avec un initié.
"La plupart d'entre eux étaient des initiés idiots, pas des initiés malveillants. Nous voulons mettre fin à cette bêtise", a déclaré Phair.
Les programmes doivent aider les employés à prendre conscience des risques accidentels ainsi que des risques malveillants, et selon Bell, il s'agit d'un autre problème culturel. Il ne s’agit pas d’écrire des secrets sur des tableaux blancs à la vue de tous, mais de supposer que de mauvaises choses n’arriveront pas parce que tout le monde est une bonne personne.
"C'est un signal d'alarme pour moi, car il y a de nombreuses raisons pour lesquelles de mauvaises choses se produisent en matière de sécurité", a déclaré Bell.
"Il s'agit en partie d'intentions malveillantes. Certains sont devenus des voyous et ont décidé qu'ils allaient devenir un génie maléfique et génial. Mais il y a aussi « Mon enfant a jeté une chaussure par la fenêtre alors que je me rendais au travail le matin et je suis juste distrait aujourd'hui », ou « Je fais face à des conneries dans ma vie ». et je ne suis pas tout à fait à mon meilleur niveau », ou « Je suis en fait un peu nerveux à propos de ce travail parce que je ne sais pas vraiment comment le faire assez bien et j'ai un peu trop peur pour demander'."
Ou comme le dit un document consultatif de l'IBRS: « Un message déresponsabilisant est plus susceptible d'entraîner soit aucun changement de comportement, soit potentiellement un changement indésirable. Au lieu de cela, les programmes de sensibilisation à la sécurité devraient viser à aider le personnel à développer et à maintenir les compétences et les connaissances requises pour exécuter leur travail, et également à maintenir un état d'esprit « d'alerte détendu ».
Divulgation: Stilgherrian reçoit un paiement du Center for Internet Safety pour le travail éditorial de son bulletin consultatif DirectorTech.
Couverture de sécurité
Recherche sur la stratégie de cybersécurité: tactiques courantes, problèmes de mise en œuvre et efficacité (Recherche Tech Pro)
C'est une chose pour une entreprise de créer une stratégie de cybersécurité, mais c'en est une autre de mettre cette stratégie en pratique. En février 2018, Tech Pro Research a interrogé 236 professionnels.
5 conseils pour protéger votre entreprise contre les menaces liées à la propriété intellectuelle (TechRépublique)
La protection de la propriété intellectuelle de votre organisation sur un marché mondial constitue un défi croissant. Ces conseils vous aideront à rendre cela un peu plus facile.
Boeing confirme une attaque de malware et minimise l'impact sur la production
Après que des rapports ont révélé que le géant de l'aérospatiale avait été victime du ransomware WannaCry, Boeing a minimisé l'impact sur la production, le qualifiant d'« intrusion limitée » de logiciels malveillants.
Le malware « Fauxpersky » vole et envoie des mots de passe dans la boîte de réception d'un attaquant
Les chercheurs affirment que le malware est « très efficace », même s'il n'est pas très sophistiqué.
La sécurité des bureaux intelligents signifie trouver un équilibre entre commodité et risque (TechRépublique)
Les appareils IoT peuvent rendre le travail plus amusant et plus productif, mais ils présentent également un risque pour la sécurité. Il est temps que les services RH, informatiques et autres se réunissent et créent des lignes directrices pour l'utilisation de ces produits.