The Fundamentals of a Security Awareness Program
Whether you’re just getting started and don’t have a security awareness program in place, or you’re looking to build on to an existing program, for cybersecurity awareness month this year we’re bringing it back to the basics and covering the fundamentals of a security awareness program.
What is a Security Awareness Program?
A security awareness program is a way for you to protect your organization from cyber risk. It should consider your technological security, physical security and human security. While all 3 components are essential to a well-rounded cybersecurity awareness program, in this blog we’ll be focusing on human security.
Human Security
Organizations are starting to invest more in human security by training and educating their employees on the important role they play in protecting the organization. Although we can put physical and technological controls in place, cybercriminals are going to continue to target people in ways that physical and technological security will not always catch. This is why it’s so important to empower your employees to be in control of the technology they use everyday.
When communicating the important role employees play in their organization’s cybersecurity efforts, remember not to use FUD: Fear, Uncertainty and Doubt in your security awareness program. While stressing the multiple avenues of attack and the risks associated with cybersecurity are important, overwhelming employees with potential breaches and other statistics can cause fear and make them afraid to even open emails containing a link. Instead, make them feel empowered and confident in their ability to recognize and report cyber risks.
To empower your employees to be your organization’s best first line of defense against cyber threats, we’ve provided the baseline for how to start measuring the success of your security awareness program.
Creating a Baseline to Measure Success
1. Create a Survey
Create a survey with questions related to an employee’s contribution to protecting their organization and focus on how they feel about cybersecurity. By analyzing these results, you can gain a good understanding of how different departments and employees feel about cybersecurity and the role they play in protecting their organization. You can use this survey to identify any gaps in understanding and create training to address those gaps. To measure your program’s success, have employees complete this survey on an annual basis and compare the results to see which areas have improved and which may need further attention.
2. Deliver Educational Training
Training is a key component to a security awareness program and should not be considered done after it’s initial completion. Training should occur at a frequent and regular basis so that cybersecurity becomes an integral part of your organization. Incorporate basic cybersecurity training into your onboarding process and continue to train employees on a frequent basis in short sessions to maintain attention and engagement. Consider delivering training that is consistent with real threats your organization is facing so your employees can be prepared to recognize and report suspected threats.
3. Send Phishing Simulations
After initial training, continue to phish your employees regularly. We recommend phishing employees on a monthly basis in order to best track individual, departmental and organizational improvement. An important component of phishing is rewarding employees for recognizing and reporting phish. This can be as simple as following up with them to congratulate them on catching the phish, giving them a shout out in your communications tool or providing some other reward such as a certificate or other prize. By rewarding employees for reporting phish, you are encouraging them to continue this good cyber behavior.
Les principes fondamentaux d’un programme de sensibilisation à la sécurité
Cette année, pour le Mois de la sensibilisation à la cybersécurité, nous revenons à l’essentiel et couvrons les principes fondamentaux d’un programme de sensibilisation à la sécurité, ce qui vous sera utile que vous commenciez tout juste votre parcours de cybersécurité et que vous n’ayez pas de programme de sensibilisation à la sécurité en place, ou que vous cherchiez à améliorer un programme existant.
Qu’est-ce qu’un programme de sensibilisation à la sécurité?
Un programme de sensibilisation à la sécurité est un moyen de protéger votre organisation contre les risques en ligne. Il devrait tenir compte de votre sécurité technologique, de votre sécurité physique et de votre sécurité humaine. Bien que ces 3 composants soient essentiels à un programme de sensibilisation à la cybersécurité bien équilibré, nous nous concentrerons sur la sécurité humaine dans ce billet de blogue.
Sécurité humaine
Les organisations commencent à investir davantage dans la sécurité humaine en formant et en éduquant leurs employés sur le rôle important qu’ils jouent dans la protection de l’organisation. Peu importe les contrôles physiques et technologiques que nous mettons en place, les cybercriminels continueront à cibler les gens d’une manière que la sécurité physique et technologique ne permettra pas de détecter, c’est pourquoi il est si important de permettre à vos employés de contrôler la technologie qu’ils utilisent quotidiennement.
Lorsque vous communiquez le rôle important que jouent les employés dans les efforts de cybersécurité de leur organisation, n’oubliez pas de ne pas utiliser PID, soit la peur, l’incertitude et le doute, dans votre programme de sensibilisation à la sécurité. Bien qu’il soit important de souligner les multiples possibilités d’attaques et les risques associés à la cybersécurité, accabler les employés avec une foule d’information sur des violations potentielles et d’autres statistiques peut causer de la peur et leur faire craindre d’ouvrir le moindre courriel contenant un lien. Au lieu de cela, adoptez une approche qui les fait sentir responsabilisés et confiants dans leur capacité à reconnaître et à signaler les cyberrisques.
Pour permettre à vos employés d’être la meilleure première ligne de défense de votre organisation contre les cybermenaces, nous avons fourni une base de référence pour commencer à mesurer le succès de votre programme de sensibilisation à la sécurité.
Création d’une base de référence pour mesurer le succès
1. Créer un sondage
Créez un sondage avec des questions liées à la contribution d’un employé à la protection de son organisation et concentrez-vous sur ce qu’il pense de la cybersécurité. En analysant ces résultats, vous pourrez mieux comprendre ce que les différents services et employés pensent de la cybersécurité et du rôle qu’ils jouent dans la protection de leur organisation. Vous pouvez utiliser ce sondage pour identifier les lacunes dans la compréhension de la cybersécurité et créer une formation pour combler ces lacunes. Pour mesurer le succès de votre programme, demandez aux employés de répondre à ce sondage sur une base annuelle puis comparez les résultats pour examiner les domaines qui se sont améliorés et ceux qui pourraient nécessiter une attention supplémentaire.
2. Offrir une formation éducative
La formation est un élément clé d’un programme de sensibilisation à la sécurité et ne devrait pas être considérée comme terminée après son achèvement initial. La formation devrait avoir lieu de façon fréquente et régulière afin que la cybersécurité fasse partie intégrante de votre organisation. Intégrez une formation de base sur la cybersécurité dans votre processus d’accueil et continuez à former les employés sur une base régulière à l'aide de courtes sessions pour maintenir l’attention et l’engagement. Envisagez d’offrir une formation cohérente sur les menaces réelles auxquelles votre organisation est confrontée afin que vos employés soient prêts à reconnaître et à signaler les menaces présumées.
3. Envoyer des simulations d’hameçonnage
Après la formation initiale, continuez d'envoyer régulièrement des simulations d’hameçonnage vos employés. Nous recommandons d’envoyer des simulations aux employés sur une base mensuelle afin de mieux suivre les améliorations individuelles, par département et à l’échelle de l’organisation. Un élément important de l’hameçonnage est de récompenser les employés pour la détection et le signalement de l’hameçonnage. Ce peut être aussi simple que de faire un court suivi pour les féliciter d’avoir signalé une tentative d’hameçonnage, de souligner publiquement ce qu’ils ont fait dans votre outil de communication, ou encore de leur donner une autre récompense telle qu’un certificat ou un autre prix. En récompensant les employés qui signalent les tentatives d’hameçonnage, vous les encouragez à continuer d’adopter de bons comportements en ligne.
Los fundamentos de un programa de concientización sobre seguridad
Ya sea que apenas esté comenzando y no tenga un programa de concientización de seguridad implementado, o que esté buscando construir uno a partir de un programa existente, para el mes de concientización sobre ciberseguridad este año queremos volver a lo básico y cubrir los fundamentos de un programa de concientización de seguridad.
¿Qué es un programa de concientización sobre seguridad?
Un programa de concientización sobre seguridad es una forma de proteger a su organización del riesgo cibernético. Debe considerar su seguridad tecnológica, física y humana. Si bien los 3 componentes son esenciales para un programa completo de concientización sobre ciberseguridad, en este blog nos centraremos en la seguridad humana.
Seguridad humana
Las organizaciones están comenzando a invertir más en seguridad humana al capacitar y educar a sus empleados sobre el importante papel que desempeñan en la protección de la organización. Aunque podemos implementar controles físicos y tecnológicos, los ciberdelincuentes continuarán atacando a las personas de maneras que la seguridad física y tecnológica no siempre detectarán. Por eso es tan importante capacitar a sus empleados para que tengan el control de la tecnología que usan todos los días.
Al comunicar el importante papel que desempeñan los empleados en los esfuerzos de ciberseguridad de su organización, recuerde no usar miedo, incertidumbre y duda en su programa de concientización sobre seguridad. Si bien es importante enfatizar las múltiples vías de ataque y los riesgos asociados con la ciberseguridad, abrumar a los empleados con posibles infracciones y otras estadísticas puede causar miedo y hacer que tengan miedo incluso de abrir correos electrónicos que contengan un enlace. En cambio, haga que se sientan empoderados y confiados en su capacidad para reconocer y denunciar los riesgos cibernéticos.
Para capacitar a sus empleados para que sean la mejor primera línea de defensa de su organización contra las amenazas cibernéticas, hemos proporcionado la línea de base sobre cómo comenzar a medir el éxito de su programa de concientización sobre seguridad.
Creación de una línea de base para medir el éxito
1. Crear una encuesta
Cree una encuesta con preguntas relacionadas con la contribución de un empleado a la hora de proteger su organización y céntrese en cuáles son los sentimientos que tiene en torno a la ciberseguridad. Al analizar estos resultados, puede obtener una buena comprensión de qué sienten los diferentes departamentos y empleados en lo que respecta a la ciberseguridad y el papel que desempeñan en la protección de su organización. Puede usar esta encuesta para identificar cualquier laguna en la comprensión y crear capacitación para abordar estas lagunas. Para medir el éxito de su programa, haga que los empleados respondan esta encuesta anualmente y compare los resultados para ver qué áreas han mejorado y cuáles pueden necesitar más atención.
2. Impartir formación educativa
La capacitación es un componente clave para un programa de concientización de seguridad y no debe considerarse concluida después de la capacitación inicial. La capacitación debe realizarse de manera frecuente y regular para que la ciberseguridad se convierta en una parte integral de su organización. Incluya capacitación básica en ciberseguridad en su proceso de incorporación y siga capacitando a los empleados con frecuencia en sesiones cortas para mantener la atención y el compromiso. Considere la posibilidad de impartir capacitación que sea consistente con las amenazas reales que enfrenta su organización para que sus empleados puedan estar preparados para reconocer y denunciar amenazas sospechosas.
3. Enviar simulaciones de phishing
Después de la capacitación inicial, siga exponiendo a los empleados a intentos de phishing regularmente. Recomendamos que enfrente a los empleados a intentos de phishing mensualmente para realizar un mejor seguimiento de las mejoras individuales, departamentales y organizativas. Un componente importante del phishing es recompensar a los empleados por reconocer y denunciar phishing. Esto puede ser tan simple como hacer un seguimiento con ellos para felicitarlos por identificar el intento de phishing, mencionarlos en su herramienta de comunicación o proporcionar alguna otra recompensa, como un certificado u otro premio. Al recompensar a los empleados por denunciar intentos de phishing, los estará alentando a continuar con este buen comportamiento cibernético.