La sensibilisation à la sécurité doit toujours conduire à des changements de comportement

La sensibilisation à la sécurité doit toujours conduire à des changements de comportement

Lorsque vous vous efforcez de réussir, vous devez avoir un objectif précis: une priorité absolue pour l’obtention de résultats. En ce qui concerne la sécurité de l’information et plus particulièrement la sensibilisation et la formation des utilisateurs, quel est l’objectif principal?

S’agit-il de former tout le monde au plus haut niveau pour qu’il puisse faire partie de la solution de sécurité? C’est peut-être pour préparer votre entreprise au succès en contrôlant les actions des utilisateurs au moyen de politiques et de technologies? C’est peut-être pour vérifier la case de formation à la sécurité que les auditeurs recherchent? Quel que soit le résultat de l’analyse, une multitude de méthodes et de programmes de sensibilisation à la sécurité et de formation sont proposées: un changement de comportement.

Il existe de nombreuses entreprises qui suivent le mouvement de la formation en cybersécurité, mais elles ont peu de résultats. Bien sûr, la case est cochée, mais les gens cliquent toujours sur des liens malveillants, ouvrent des pièces jointes à des courriels et tombent dans le piège des vieux trucs que les ingénieurs sociaux nous ont imposé depuis des décennies. Si un message de phishing est suffisamment convaincant, plus de la moitié (parfois davantage) des utilisateurs ciblent les pièces jointes ouvertes, cliquez sur les liens et indiquez leurs identifiants de connexion réseau lorsque vous y êtes invité. C’est un exploit simple mais dérangeant qui se produit partout dans le monde, y compris votre entreprise, tous les jours.

Trouvez les lacunes dans votre programme de sensibilisation à la sécurité

Avec les changements de comportement en tant que composante principale, votre programme de sensibilisation à la sécurité est-il axé sur les éléments appropriés, à savoir ceux qui vous permettront d’atteindre vos objectifs généraux? Ou faites-vous des choses qui vous éloignent de l’endroit où vous devez être?

Y a-t-il des angles morts en termes de contrôles techniques? Peut-être devez-vous repenser vos politiques? Des problèmes de réputation ou de crédibilité peuvent vous empêcher de vendre la sécurité à ceux qui en ont le plus besoin. Des évaluations de sécurité approfondies, impartiales et continues peuvent permettre de découvrir ces éléments et d’améliorer la situation. Le problème est que les évaluations de sécurité ne sont souvent pas approfondies, impartiales ou en cours, de sorte que les problèmes de sécurité se perpétuent.

Quelles sont les lacunes et les opportunités dans vos initiatives de sensibilisation et de formation à la sécurité? Il y en a beaucoup si vous regardez honnêtement. Est-ce que forcer davantage de séances de classe ou de vidéos abrutissantes en classe engagerait plus de personnes dans la sécurité? Ou une approche plus créative, comme celle d’avoir un entraîneur professionnel extérieur, serait-elle meilleure? Demandez à vos utilisateurs ce qu’ils aimeraient apprendre et comment ils aimeraient l’apprendre. En dehors du monde de l’informatique et de la sécurité, de nombreuses personnes intelligentes peuvent fournir un excellent retour d’informations. Il est donc préférable de les avoir à vos côtés. Considérez ceci comme commençant avec une ardoise vierge et en améliorant la sécurité au niveau local plutôt que de haut en bas.

Il y a souvent un écart dans les attentes. Si vous demandiez à des employés aléatoires de votre entreprise s’ils pouvaient expliquer ce que l’on attend d’eux en termes d’utilisation d’ordinateur et d’Internet, pourraient-ils vous le dire? Essayez et voyez ce que vous découvrez. Pendant que vous y êtes, demandez-leur comment l’informatique et la sécurité peuvent faciliter leur travail. Vous entendrez de bonnes idées. Notez ces idées et mettez-les en œuvre. Lorsque les utilisateurs s’aperçoivent que leurs idées sont utilisées, ils acceptent et travaillent à apporter encore plus d’améliorations à l’ensemble de l’organisation.

Ensuite, comment les mauvais choix des employés sont-ils gérés? Est-ce un simple rappel par email? Peut-être une reprise inutile d’un module de formation en cybersécurité? Un responsable s’assoit-il et parle-t-il de ce qui s’est passé et de la manière dont il doit être traité différemment? Ou est-ce le travail de l’informatique ou de la sécurité de réprimander les employés qui font des erreurs? C’est souvent ce que l’on voit et c’est une approche totalement erronée. La sensibilisation à la sécurité et la formation sont des fonctions de gestion des ressources humaines que les professionnels de l’informatique et de la sécurité ont à cœur d’aider.

Au lieu de vous opposer à un scénario, assurez-vous que la direction et votre comité de sécurité participent au processus. Aussi étrange que cela puisse paraître, les employés adultes ne sont pas si différents des jeunes enfants en matière de discipline. Plutôt que d’être réprimandés et embarrassés, s’ils veulent apprendre de leurs erreurs, ils doivent savoir pourquoi ils n’auraient pas dû faire ce qu’ils ont fait (leur impact sur l’entreprise) et comment ils peuvent mieux gérer les choses la prochaine fois.

Faire les changements nécessaires plus tôt que prévu

Que ce soit dans les affaires, dans votre vie personnelle ou dans la sécurité de vos informations, vous obtenez ce sur quoi vous vous concentrez. Les employés doivent être configurés pour réussir. Dans un monde idéal, cela signifierait qu’ils ne permettaient même pas de prendre des décisions en matière de sécurité. Les contrôles techniques peuvent aider à cela, mais seulement dans une certaine mesure. Éventuellement, les employés se verront présenter d’importants choix de sécurité. Vos efforts actuels de sensibilisation et de formation vont-ils les mener dans la bonne voie? Vous ne saurez jamais jusqu’à ce que vous scrutiez ce que vous faites.

Reconnaître que l’un des résultats essentiels de la sensibilisation à la sécurité et des efforts de formation doit être de changer les comportements. Amenez les bonnes personnes à définir les attentes, puis faites ce qu’il faut pour atteindre votre cible aujourd’hui – et continuez à l’atteindre au fil du temps. C’est la même vieille approche pour minimiser les risques de sécurité liés aux employés, mais c’est celle qui fonctionne.