Comment optimiser la formation de sensibilisation à la sécurité pour différents groupes?

Comment optimiser la formation de sensibilisation à la sécurité pour différents groupes?

La formation de sensibilisation à la sécurité n’est pas une solution unique. Si certaines organisations adaptent leur formation à différents départements ou niveaux d’ancienneté, il n’est pas courant de s’adapter en fonction de la tranche d’âge, par exemple. Étant donné que chaque groupe d’âge apprend à sa manière, l’entreprise devrait peut-être tenir compte de ces données démographiques.

La formation en fonction du groupe d’âge est-elle la solution? Ou d’autres caractéristiques démographiques ou caractéristiques sont-elles plus pertinentes?

Une formation de sensibilisation à la sécurité ne convient pas à tous

Il est rare que les entreprises adaptent des programmes de sensibilisation afin de répondre aux besoins d’apprentissage de données démographiques disparates. Seules les sociétés les plus matures (en termes de sécurité) adaptent leurs programmes de sensibilisation.

De nombreuses entreprises ont adopté une approche unique, qui ne sera pas particulièrement efficace. Nous répondons tous à des problèmes différents en matière de sensibilisation. En particulier lorsque nous communiquons au sujet des menaces, il est essentiel d’indiquer pourquoi la menace est pertinente pour les personnes à qui nous nous adressons. De nombreuses recherches psychologiques montrent que si nous ne le faisons pas, nous perdons des gens.

Mais voyons les choses en face: il n’est probablement pas faisable de séparer les groupes de formation par groupe d’âge.

Peut-être posons-nous la mauvaise question ici, et cela a moins à voir avec l’âge que la personnalité. Selon M. Barker, plus vous pouvez sensibiliser votre public, plus vous aurez de chances de le faire, plus vous aurez de taux de participation élevés. La personnalité n’est peut-être que l’élément manquant de la formation à la sensibilisation à la sécurité.

Lorsque je personnalise mes activités de sensibilisation avec les clients, la plupart divisent l’organisation en fonction des rôles. Des sessions différentes sont donc organisées pour les cadres, assistants personnels, ressources humaines, finances, équipes techniques et autres », a déclaré Barker. “Il s’agit d’une approche judicieuse, car les personnes occupant différents postes sont souvent ciblées par différents types d’attaques en ligne.

Par exemple, les employés des finances sont plus susceptibles d’être victimes de fraudes de PDG, tandis que les professionnels des ressources humaines peuvent être victimes d’un e-mail de spear phishing avec une pièce jointe malveillante se faisant passer pour une candidature à un poste. Le contenu de formation en cybersécurité adapté aux cadres devrait être différent de celui qui intéressera le plus les développeurs. En personnalisant ainsi la formation, les entreprises peuvent mieux prendre en compte les différents niveaux de connaissances techniques et d’expérience de leurs employés.

Concentrez-vous sur la formation de sécurité axée sur l’action et l’autonomisation

Que vous croyiez ou non que des champions peuvent travailler pour votre organisation, ou même que vous puissiez trouver un moyen de former différents groupes, je suis convaincu que la formation en cybersécurité doit être adaptée aux styles d’apprentissage.

Et il existe de nombreux styles d’apprentissage distincts, a expliqué Barker. Certains apprennent mieux en écoutant et en parlant, d’autres en observant, et d’autres encore en essayant de résoudre un problème.

Prendre en compte tous ces différents styles d’apprentissage et en incorporer une combinaison dans votre programme sera le plus efficace. Utilisez tous les canaux à votre disposition. Cela rendra votre sensibilisation plus efficace et plus attrayante.

Malgré cela, de nombreuses stratégies de sensibilisation à la sécurité fonctionnent bien quelles que soient les données démographiques.

Selon mon expérience, l’élément le plus important est de donner la priorité à l’autonomisation », a déclaré Barker.

Il est facile de parler des menaces, mais si nous voulons vraiment changer les comportements, nous devons être orientés vers l’action. Nous ne pouvons simplement pas effrayer les gens pour qu’ils soient plus sûrs nous devons leur montrer comment être plus en sécurité et pourquoi.

Si les employés ne se sentent pas responsabilisés, ils ne seront tout simplement pas investis. Barker a raison de faire peur aux gens; cela peut fonctionner pour certains employés, mais le succès a été minime.

Pourquoi les humains sont de plus en plus la cible des cyberattaques Comment adopter une approche de la cybersécurité axée sur la prévention des menaces