Keamanan Think Tank: Bagaimana membangun firewall manusia

Firewall manusia adalah elemen penting dalam pertempuran yang sedang berlangsung – dan banyak yang akan mengatakan meningkat – melawan dunia maya penjahat. Membangun satu bergantung pada beberapa elemen, tetapi dimulai dengan program yang kuat untuk pelatihan kesadaran keamanan TI.

Program harus cukup komprehensif agar sesuai dengan organisasi sehingga, serta pelatihan cyber dasar, mencakup modul seperti privasi data atau keamanan perangkat seluler jika relevan. Ini juga perlu tepat untuk industri – lembaga keuangan menghadapi risiko yang berbeda dengan perusahaan manufaktur, misalnya.

Selain itu, harus serealistis mungkin, berfokus pada ancaman aktual yang dihadapi organisasi, sambil menghindari menghalangi orang melakukan aktivitas sehari-hari.

Dan, agar efektif, pelatihan harus inklusif dan dapat diakses untuk semua orang dalam perusahaan, dengan saluran penyampaian yang berbeda diadopsi, idealnya termasuk modul pelatihan berbasis komputer dan “roadshow”, di mana tim pergi ke lokasi yang berbeda untuk terlibat dengan orang-orang secara langsung.

Mencapai tingkat kesadaran keamanan yang tinggi memerlukan pelatihan yang berkelanjutan, bukan sebagai periode aktivitas yang terbatas. Ini memerlukan komitmen dan keyakinan – perusahaan yang melihat pelatihan sebagai daftar periksa atau persyaratan kepatuhan tidak mungkin menjalankan program yang berhasil.

Tujuannya adalah untuk menciptakan lingkungan di mana individu merasa aman dan didorong untuk mengangkat masalah dan menyuarakan ide-ide baru sejak dini, dengan hasil akhir organisasi mereka lebih aman.

Ciri-ciri program pelatihan keamanan yang baik

Sebelum melihat apakah persyaratan pelatihan mereka harus dialihdayakan ke penyedia spesialis atau dilakukan di rumah, organisasi harus jelas tentang seperti apa program pelatihan yang baik.

Orang-orang adalah kuncinya. Mereka mendorong pelatihan, yang dibuat berdasarkan kebutuhan mereka. Tolok ukur terbaik dari program yang baik adalah keterlibatan karyawan, bersama dengan kontribusi pelatihan untuk memastikan bahwa budaya keamanan yang kuat ada di dalam organisasi.

Indikator dapat mencakup cara karyawan berinteraksi dengan kegiatan pelatihan – berapa tingkat penyelesaian untuk berbagai modul, misalnya, dan apakah pengguna melakukan pelatihan pada waktu yang tepat atau biarkan sampai menit terakhir? Detail ini dapat menunjukkan kualitas konten pelatihan dan seberapa efektif konten tersebut mengkomunikasikan pentingnya topik.

Memantau setiap peningkatan dalam aktivitas berbasis keamanan juga merupakan panduan yang berguna untuk penerimaan peserta pelatihan. Jika konten program mencakup ajakan bertindak yang terukur, seperti melaporkan email phishing, atau mendorong pengguna untuk beralih ke pengelola kata sandi, harus terlihat bahwa karyawan mengubah kebiasaan sehari-hari mereka untuk menyertakan ini.

Dari perspektif yang lebih kualitatif, sikap umum tentang keamanan dalam organisasi harus diperhatikan, terutama dalam hal apakah karyawan benar-benar merasa seperti bagian berharga dari strategi pertahanan terhadap serangan dunia maya atau menganggapnya sebagai beban. Wawasan ini akan menentukan nada pelatihan yang, alih-alih menggunakan taktik menakut-nakuti berlebihan yang dapat mengarah pada budaya menyalahkan, perlu memberdayakan orang untuk melakukan hal yang benar.

Untuk outsourcing atau in-house?

Saat mempertimbangkan implementasi program pelatihan kesadaran keamanan, titik awal utama untuk menentukan adalah sumber konten skema, dan siapa yang akan mengelolanya. Keduanya dapat disediakan sendiri, oleh pemasok outsourcing, atau melalui kombinasi keduanya.

Mengelola segala sesuatu di rumah adalah opsi yang paling hemat biaya dan sumber daya. Ini adalah tindakan terbaik bagi organisasi yang memerlukan pelatihan agar sangat disesuaikan, dengan menyertakan informasi yang berpotensi sensitif. Sebagai imbalan atas kontrol penuh yang ditawarkan program jenis ini, perusahaan perlu berkomitmen untuk meningkatkan keterampilan tim dan berinvestasi dalam kemampuan teknis mereka, serta menghabiskan banyak waktu untuk menyiapkan dan menjalankan pelatihan.

Di ujung lain spektrum, outsourcing dapat menawarkan penghematan biaya dan waktu, meskipun ini datang dengan mengorbankan pelatihan yang kurang disesuaikan dengan kebutuhan spesifik perusahaan.

Ada juga opsi untuk pendekatan hybrid. Sebagai contoh, program pelatihan eksternal yang “tidak biasa” dapat dilaksanakan dengan pengawasan dari tim internal. Dalam skenario ini, aspek seperti penyesuaian konten, atau jadwal pengiriman, terbatas pada parameter yang ditetapkan oleh penyedia layanan (sesi akan dijadwalkan tergantung pada ketersediaan layanan dan jumlah jam kontrak, bukan ketika karyawan membutuhkan pelatihan, misalnya).

Atau, sebuah organisasi dapat sepenuhnya menyesuaikan materi yang akan digunakan dalam pelatihan, tetapi memintanya disampaikan oleh perusahaan pelatihan spesialis, yang juga akan menjadwalkan sesi.

Ini menggambarkan bahwa pertanyaan apakah pelatihan dilakukan di rumah atau melalui penyedia pihak ketiga tidak boleh dipandang sebagai pertanyaan biner – “itu tergantung ” adalah panduan yang lebih berguna. Tidak ada solusi yang benar atau salah; ini adalah kasus penyeimbangan anggaran dan sumber daya yang tersedia dengan kebutuhan organisasi, yang sering kali diatur oleh ukurannya.

Biaya yang lebih rendah dari program yang sepenuhnya dialihdayakan mungkin lebih disukai daripada perusahaan yang lebih kecil, sementara perusahaan yang lebih besar lebih mungkin memiliki kapasitas untuk tim internal, yang memungkinkan mereka memperoleh manfaat dari proses berkelanjutan. peningkatan kesadaran dunia maya.

Namun, bahkan dengan pendekatan yang terakhir, beberapa tingkat keahlian eksternal biasanya diperlukan – untuk menghasilkan ide-ide baru untuk interaksi, misalnya – serta memastikan kemajuan dalam industri pelatihan dimasukkan ke dalam program.

Perlu diingat juga bahwa melibatkan penyedia outsourcing yang akan menyesuaikan kampanye dengan kebutuhan spesifik organisasi memungkinkan penyertaan nilai tambah layanan seperti intelijen ancaman dunia maya, atau menargetkan pengguna aplikasi penting s – elemen yang dapat dilewatkan dengan tim internal sepenuhnya.

Mitra eksternal juga sering kali dapat melibatkan banyak bagian bisnis, menjembatani kesenjangan antara fungsi SDM, manajemen risiko, dan keamanan informasi untuk mencapai integrasi – misalnya, dengan manajemen identitas dan akses (IDAM) – yang tidak dapat dilakukan oleh program internal.

Pelatihan sebagai layanan – menemukan penyedia yang tepat

Memberikan pelatihan sebagai layanan tidak berbeda dengan membeli layanan lain dari pihak ketiga. Pembeli perlu memahami bagaimana penyedia dapat memenuhi persyaratan organisasi mereka, dan ini dapat diklarifikasi dengan pertanyaan di sepanjang baris berikut:

• Pengetahuan: Apakah pemasok memiliki pengetahuan khusus tentang industri tempat perusahaan beroperasi?
• Penyesuaian: Sejauh mana program pelatihan dapat disesuaikan dalam hal konten, penjadwalan, frekuensi, dan lokalisasi?
• Tingkat layanan: Apakah penyedia menawarkan tingkat layanan berjenjang sehingga dapat berukuran tepat untuk perusahaan yang bersangkutan?
• Format: Format pelatihan apa yang tersedia (secara langsung, video, slide deck, poster, game, dll), dan pada perangkat apa peserta dapat mengakses program (komputer, ponsel, tablet)?
• Cakupan: Apa ruang lingkup layanan? Apakah penyedia terlibat dalam memutuskan konten terbaik untuk pelatihan? Dan apakah mereka akan memberikan laporan yang diperlukan jika peraturan dan standar kepatuhan perlu dipenuhi?
• Manajemen akun: Dalam hal mengelola layanan, akankah ada menjadi satu titik kontak antara organisasi dan penyedia layanan?
• Relevansi: Bagaimana pemasok menjaga pengetahuan pelatihannya tetap mutakhir ?

Komitmen terhadap budaya

Tujuan akhir dari setiap program pelatihan kesadaran keamanan adalah untuk menumbuhkan budaya berbasis keamanan di dalam organisasi. Dilihat dari arah lain, perusahaan yang berkomitmen tinggi untuk membangun keamanan di setiap aspek kehidupan bisnis kemungkinan akan menjalankan program pelatihan yang efektif – terlepas dari apakah itu disediakan di dalam perusahaan atau dialihdayakan.