職場でのサイバーセキュリティトレーニング:従業員に尋ねる7つの質問
世界中の大小の組織は、金銭や貴重な情報を求められることが多いハッカーに標的にされています。したがって、サイバー攻撃の犠牲になった場合の結果は危険です。サイバー犯罪者は、悪意のあるアプリケーションの助けを借りて、またはソフトウェアの脆弱性を悪用してシステムを侵害できることを知っているかもしれません。しかし、私たちの多くは、ハッカーが職場の教育を受けていないメンバーをだますことで侵入できることを忘れています。したがって、専門家は、サイバー攻撃を防止し、その結果、企業の評判を保護し、損失を回避するために、従業員にサイバーセキュリティについて教育することを強く推奨します。もちろん、トレーニングセッションを開始する前に、従業員を教育する方法と、従業員が確実に学習できるようにする方法を知ることが不可欠です。詳細については、ブログ記事全体をお読みください。
FireEye.comが作成したレポートによると、 組織の約51%がサイバー攻撃の準備ができているとは考えていません。それにもかかわらず、2020年にサイバーセキュリティ予算を増やすための調査計画に参加した組織の76%は、有望であると考えています。間違いなく、そのような資金を使用すべき分野の1つはサイバーセキュリティトレーニングです。これは、サイバー攻撃の90%が人為的ミスによるものであると報告書が示唆しているためです。従業員の教育を計画している企業については、生産的なトレーニングセッションの実施に役立つ次の質問と回答を確認することをお勧めします。
Table of Contents
1.サイバーセキュリティトレーニングの重要性を理解していますか?
やる気がなければ何かを学ぶのは簡単ではありません。従業員がサイバーセキュリティについて学ぶ意欲を感じない理由の1つは、サイバーセキュリティがなぜ必要なのか理解できない可能性があるためです。したがって、サイバーセキュリティトレーニング中に得られた知識がどのように企業に役立つか、また、たとえば、労働者が機密情報を誤って漏らしたり、マルウェアを起動した場合に何が起こるかについて話し合うことが重要です。サイバー攻撃を防ぐスキルを身に付けることがなぜ重要なのかを説明することで、モチベーションを高め、サイバーセキュリティトレーニング中に提示された情報を取り入れやすくすることができると考えています。
2.サイバーセキュリティのトレーニング中に議論されていることを理解していますか?
人が熱狂的であっても、トレーニングで使用される特定の用語や表現がわからない場合、すぐに学習意欲を失う可能性があります。間違いなく、サイバーセキュリティトレーニングを担当する専門家は、 RDP (リモートデスクトッププロトコル)接続、 DDoS (分散型サービス拒否)攻撃、 ランサムウェアなど、さまざまな用語を使用する可能性があります。誰もがそのような表現を知っているとは限らず、それが彼らを愚かに感じさせ、結果として興味を失うかもしれません。そのため、各サイバーセキュリティトレーニングセッションの前に新しい用語を定義することが不可欠であると考えています。
3.情報を提示するだけで十分ですか?
サイバーセキュリティの専門家は、さまざまなタイプのフィッシング攻撃を認識する方法、自分がアクセスできるアカウントを安全に保つ方法、会社またはそのクライアントの機密情報を保護する方法、インターネットを安全にサーフィンする方法などを従業員に教えることをお勧めします。ただし、これらのことを説明するだけでなく、デモンストレーションすることもお勧めします。そうすることで、従業員は学んだ知識を実践に移すことができます。たとえば、 スピアフィッシングに特化した最初のトレーニングセッションは理論上のみでしたが、次のセッションでは、前述の攻撃について以前に得た知識を統合するための実践的な演習を編成できます。
4.トレーニング中に学んだことを使用しますか?
労働者がサイバーセキュリティのトレーニングを受けても、その習慣は変わらない可能性があります。組織は、従業員にサイバーセキュリティについて教育するだけでなく、トレーニング中に得た知識を従業員に使用してもらいたいことを明確にする必要があります。たとえば、トピックが強力なパスワードの重要性である場合、従業員は次のトレーニングセッションまで仕事のログイン資格情報を変更するように求められる可能性があります。もちろん、アカウントが多すぎて、一意のログイン認証情報を大量に考えて記憶するのが難しすぎる場合は、専用のパスワードマネージャーが解決策を提供します。さらに、このようなツールは、会社のパスワードの安全性を高めるだけでなく、会社のパスワードの強度を高める可能性があります。
5.サイバーセキュリティの脅威を報告する方法を知っていますか?
従業員は、フィッシングメールを受信した場合に誰に通知すべきかを知っているか、会社のサイバーセキュリティを危険にさらす可能性のある何かに気付く必要があります。あなたの組織がハッカーの監視下にある場合、彼らは複数のことを試みるかもしれず、彼らは長い間あきらめないかもしれません。したがって、従業員がサイバーセキュリティの専門家にすぐに通知して、組織のセキュリティを強化し、職場の他のメンバーに状況を伝え、必要に応じて何をすべきかを訓練することが最善です。
6.サイバーセキュリティトレーニングをどのくらいの頻度で開催する必要がありますか?
実際、サイバー脅威とセキュリティの推奨事項は常に変化するため、従業員にできる限り頻繁にサイバーセキュリティについて教育する必要があります。つまり、数年ごと、または年に1回、トレーニングセッションを行うだけでは、労働者が最新の脅威と安全上の注意事項を確実に把握するには不十分です。
7.サイバーセキュリティトレーニングセッションの間にコンサルティングが必要ですか?
従業員がサイバーセキュリティトレーニングセッション中に提示された情報を取得するのに時間がかかる場合があります。学習後、アクティビティ中に学んだことについて質問があります。また、彼らは実際に新しい知識を適用しようとする際に助けが必要かもしれません。新しいトレーニングセッションを待つのではなく、すぐに質問に答えることができる人がいることで、従業員はよりよく学び、会社をサイバーの脅威からより迅速に保護するのに役立つ変更を実装できます。
全体的に、サイバーセキュリティに関する従業員の教育は不可欠ですが、簡単な作業ではありません。トレーニングを開始する前に、従業員と話をして、学習の動機付けに何ができるのか、どの方法が最適かを理解するのが最善です。提示された質問と回答が、企業が生産的なトレーニングセッションを開催するのに役立つことを願っています。サイバーセキュリティのトレーニングに関する質問や、こうした活動をより効果的にするためのヒントについては、このブログ投稿の最後にコメントを残すことをお勧めします。