How to Implement Consequences and Rewards in Your Security Awareness Program

Your security awareness program can’t be based on just consequence or rewards – it needs to incorporate both. Understanding how to implement both consequences and rewards into your program can feel like a balancing act, so we’ve broken down how both work and can be easily incorporated into your existing security awareness program.

Consequences

Falling for a phishing simulation or engaging in other risky cyber behavior is associated with a sense of shame, so you should be cautious how consequences are dealt. Consequences should be used to create instant behavior change.  If someone clicks on a phishing simulation, an automated email notifying them of this and having them complete remedial training is a consequence.

If you never reward employees for engaging in good cyber behavior and only provide consequences for risky cyber behavior, employees will associate cybersecurity only with consequences and it will have a negative connotation for them. Because of this, it’s important to give employees a chance to redeem themselves and reward them for completing remedial training and engaging in cyber safe behavior.

Rewards

Positive reinforcement or rewards can be used to create long-term behavioral change. They’re used to inspire employees by reinforcing good cybersecurity behaviors continuously so that employees are motivated to report phish and engage with your security awareness program to protect their organization.

After an employee completes remedial training they should be rewarded to encourage them to continue practicing good cyber behavior. Rewards shouldn’t be used sparingly like consequences. If an employee reports a phish, completes a course or survey, or anything else you want to encourage them to do again, positive reinforcement with rewards is an excellent way to motivate employees to continue the desired behavior.

 In the next section we’ll break down different ways that you can reward employees for engaging in good cybersecurity behavior through positive reinforcement.

Types of Rewards

There are 2 types of rewards: intrinsic and extrinsic.

Intrinsic

Intrinsic rewards include forms of recognition, points, scores, titles, badges, certificates or other mostly intangible rewards. Often considered “feel good” rewards, they have a lasting impact on the employee and can become an integral part of your cybersecurity awareness program to reward good behavior like completing a survey, training or reporting a phish.

Extrinsic

Extrinsic rewards include gift cards, prizes and other tangible rewards. These rewards have a short-term impact but are a great way to initially increase engagement and can be awarded for the same achievements as intrinsic rewards.

Many organizations use intrinsic rewards all year and only use extrinsic rewards once or twice a year to continue to boost engagement. Cybersecurity Awareness Month is an excellent opportunity to use extrinsic rewards to place more of a focus on security in your organization.

Comment mettre en place un système de conséquences et de récompenses dans votre programme de sensibilisation à la sécurité

Votre programme de sensibilisation à la sécurité ne devrait pas utiliser uniquement un système de conséquences ou de récompenses : il doit intégrer les deux. Comprendre comment mettre en œuvre des conséquences comme des récompenses dans votre programme peut sembler être un exercice d’équilibriste délicat, c’est pourquoi nous décrivons comment utiliser efficacement ces deux éléments ainsi que comment les intégrer facilement à votre programme de sensibilisation à la sécurité existant.

Conséquences

Se faire attraper par une simulation d’hameçonnage ou s’engager dans d’autres cybercomportements à risque est associé à un sentiment de honte, vous devez donc être prudent dans la façon dont les conséquences sont traitées. Les conséquences doivent être utilisées pour créer un changement de comportement instantané. Par exemple, obtenir une notification par courriel automatisée et devoir effectuer une formation de rattrapage lorsqu’une personne clique sur un courriel de simulation d’hameçonnage est une conséquence.

Si vous ne récompensez jamais les employés qui adoptent un bon comportement en ligne et ne distribuez que des conséquences pour les cybercomportements à risque, les employés n’associeront la cybersécurité qu’aux conséquences et celle-ci aura alors une connotation négative pour eux. Pour cette raison, il est important de donner aux employés une chance de se racheter et de les récompenser pour avoir suivi une formation de rattrapage et avoir adopté un comportement cybersûr.

Récompenses

Le renforcement positif ou les récompenses peuvent être utilisés pour créer un changement de comportement à long terme. Les récompenses sont utilisées pour inspirer les employés en renforçant continuellement les bons comportements des employés en matière de cybersécurité afin que ceux-ci soient motivés à signaler les hameçonnages et qu’ils s’impliquent dans votre programme de sensibilisation à la sécurité pour protéger l’organisation.

Une fois qu’un employé a terminé sa formation de rattrapage , il devrait être récompensé pour l’encourager à continuer à adopter un bon comportement en ligne. Contrairement aux conséquences, les récompenses ne doivent pas être utilisées avec parcimonie. Si un employé signale un hameçonnage, termine un cours ou un sondage, ou effectue toute autre action que vous voulez l'encourager à faire à nouveau, le renforcement positif par des récompenses est un excellent moyen de motiver les employés à continuer d’adopter le comportement souhaité.

 Dans la section suivante, nous allons expliquer les différentes façons dont vous pouvez récompenser les employés lorsqu’ils adoptent un bon comportement de cybersécurité grâce au renforcement positif.

Types de récompenses

Il existe 2 types de récompenses : intrinsèques et extrinsèques.

Intrinsèque

Les récompenses intrinsèques comprennent les formes de reconnaissance, les points, les scores, les titres, les badges, les certificats ou d’autres récompenses principalement intangibles. Souvent considérées comme des récompenses « pour se sentir bien », celles-ci ont un impact durable sur l’employé et peuvent devenir une partie intégrante de votre programme de sensibilisation à la cybersécurité pour récompenser les bons comportements comme répondre à un sondage, suivre une formation ou signaler une tentative d’hameçonnage.

Extrinsèque

Les récompenses extrinsèques comprennent des cartes-cadeaux, des prix et d’autres récompenses tangibles. Ces récompenses ont un impact à court terme, mais sont un excellent moyen d’augmenter l’engagement initial, et elles peuvent être attribuées pour les mêmes réalisations que les récompenses intrinsèques.

De nombreuses organisations utilisent des récompenses intrinsèques toute l’année et n’utilisent des récompenses extrinsèques qu’une ou deux fois par an pour continuer à stimuler l’engagement. Le Mois de la sensibilisation à la cybersécurité est une excellente occasion d’utiliser des récompenses extrinsèques pour mettre davantage l’accent sur la sécurité dans votre organisation.

Cómo implementar consecuencias y recompensas en su programa de concientización sobre seguridad

Su programa de concientización de seguridad no puede basarse solo en consecuencias o recompensas, sino que debe incorporar ambas. Comprender cómo implementar tanto las consecuencias como las recompensas en su programa podría sentirse como andar en la cuerda floja, por lo que hemos desglosado cómo funcionan ambas y cómo se pueden incorporar fácilmente a su programa de concientización de seguridad existente.

Consecuencias

Caer en una simulación de phishing o participar en otro comportamiento cibernético arriesgado se asocia con una sensación de vergüenza, por lo que debe tener cuidado con las consecuencias. Las consecuencias deben usarse para crear un cambio de comportamiento instantáneo. Si alguien hace clic en una simulación de phishing, una consecuencia puede ser un correo electrónico automatizado que le notifique de lo sucedido y que le inste a realizar la capacitación correctiva.

Si nunca recompensa a los empleados por participar en un buen comportamiento cibernético y solo proporciona consecuencias por el comportamiento cibernético arriesgado, los empleados asociarán la ciberseguridad solo con las consecuencias y tendrá una connotación negativa para ellos. Debido a esto, es importante darles a los empleados la oportunidad de redimirse y recompensarlos por completar la capacitación correctiva y participar en un comportamiento ciberseguro.

Recompensas

El refuerzo positivo o las recompensas se pueden utilizar para crear un cambio de comportamiento a largo plazo. Se utilizan para inspirar a los empleados reforzando continuamente los buenos comportamientos de ciberseguridad para que los empleados estén motivados para informar sobre el phishing y participar en su programa de concientización sobre seguridad para proteger su organización.

Después de que un empleado complete la capacitación correctiva, deberá ser recompensado para alentarlo a continuar practicando un buen comportamiento cibernético. Las recompensas no deben usarse con moderación como consecuencias. Si un empleado reporta un phishing, completa un curso o encuesta, o cualquier otra cosa que esté pensada para alentarlo a seguir haciéndolo, el refuerzo positivo con recompensas es una excelente manera de motivar a los empleados a continuar con el comportamiento deseado.

 En la siguiente sección, desglosaremos las diferentes formas en que se puede recompensar a los empleados por participar en un buen comportamiento de ciberseguridad a través del refuerzo positivo.

Tipos de recompensas

Hay 2 tipos de recompensas: intrínsecas y extrínsecas.

Intrínsecas

Las recompensas intrínsecas incluyen formas de reconocimiento, puntos, puntuaciones, títulos, insignias, certificados u otras recompensas en su mayoría intangibles. A menudo consideradas recompensas para "sentirse bien", tienen un impacto duradero en el empleado y pueden convertirse en una parte integral de su programa de concientización sobre ciberseguridad para recompensar el buen comportamiento, como completar una encuesta, capacitarse o denunciar un phishing.

Extrínsecas

Las recompensas extrínsecas incluyen tarjetas de regalo, premios y otras recompensas tangibles. Estas recompensas tienen un impacto a corto plazo, pero son una excelente manera de aumentar inicialmente el compromiso y se pueden otorgar por los mismos logros que las recompensas intrínsecas.

Muchas organizaciones usan recompensas intrínsecas todo el año y solo usan recompensas extrínsecas una o dos veces al año para continuar aumentando el compromiso. El Mes de Concientización sobre la Ciberseguridad es una excelente oportunidad para utilizar recompensas extrínsecas a fin de centrarse más en la seguridad de su organización.

Previous
Previous

Phishing Deep Dive: How to Effectively Phish Employees

Next
Next

The Fundamentals of a Security Awareness Program