Forrester的全球SA&T法规和标准指南揭示了一个更美好未来的动力

25%的安全决策者告诉我们,他们的安全意识和培训(SA&T)项目是由合规性驱动的。最近的一次NIST的研究关于“衡量美国政府安全意识项目的有效性”的调查发现,在领导层中,56%的受访者强烈同意或同意(再次在领导层中)合规性是成功的最重要指标,47%的受访者也强烈同意或同意这一说法。这种情绪驱动了一个基于法规遵循作为策略的项目,而不是真正帮助组织驱动真正的、需要的行为和文化变化。

Forrester确定并研究了全球45个独特的SA&T法规和标准,这些法规和标准跨越行业、国家甚至州访问这里).我们发现这些法规和标准经常过时,令人困惑,并迫使公司将合规作为一种策略。这些标准和规定:

  • 基本上都过时了,很少更新。在我们研究的45项独特法规中,有29项最初是在5年或更长时间前制定的。其中17家是10年或更长时间前创建的,8家是20多年前创建的。甚至有6个是在21世纪之前创建的。在被审查的45项标准和法规中,只有21项自最初制定以来进行了更新,其中4项是对过去五年内制定的法规的更新。
  • 完全错过了目的,很少提及行为和文化的改变。SA&T是一种方法,而不是一种结果,但即使是“行为”这个词也只在三个规定中提到,“文化”这个词也只在为什么要进行培训时提到了两次。
  • 在术语、严格程度和特异性上有所不同。仅对前13个最重要的标准进行评估,就显示出每一项标准在授权对象、时间、级别、原因、方式和内容之间的明显差异,以及安全领导人在需要遵守这些要求时面临的挑战。

一个难以忽视的事实:安全意识和培训是一种方法,而不是结果

为了摆脱作为策略的遵从性,为您的程序设置一个远远超出满足遵从性需求的目标。SA&T项目的目标实际上是积极地影响员工的安全行为,灌输安全文化,并管理人员风险。你可以做以下的事情来关注结果而不是方法:

  • 了解遵从性、完成性和参与度指标的局限性。84%的参与者NIST的研究通过完成率来衡量其安全意识计划的有效性,通过演示钓鱼点击率来衡量72%,通过审计报告和评估来衡量67%。这些指标的问题在于,它们不会向你提供任何迹象,表明特定的数字行为是否会因为完成训练而最终发生变化。这反过来又引出了一个问题:为什么如果不改变人们的行为,我们会培训他们吗?我们如何衡量行为改变呢?
  • 专注于度量安全行为,而不是遵从性度量。SebDB例如,CybSafe的众包数据库包含了70多种需要注意的数字行为的综合列表;它更进一步,还将他们与他们所构成的风险联系在一起。数字行为包括使用VPN、绑定笔记本电脑、锁定设备、更改密码和使用密码管理器。虽然许多培训项目试图就这些行为对人们进行培训,但几乎没有一个项目衡量这些行为是否会对组织构成风险,或者,如果有,培训是否真的改变了这些行为。NIST的研究支持这一点,44%的调查参与者将确定测量什么以及如何测量项目有效性列为非常或中等挑战。
  • 将安全行为的定义扩展到网络钓鱼和事件报告之外。一些组织除了衡量完成率之外,实际上也会衡量行为指标,但这些仍然仅限于报告实际的网络钓鱼(53%)和安全事件报告(54%),这两者都很重要,但只是SA&T应该纠正的70种或更多可能的数字行为中的两种。

从中期来看,人力风险管理将克服SA&T的缺点

二十年来,越来越多地关注安全的人的一面,无意中,善意地创造了一种难以打破的现状。安全和风险领导者必须拒绝他们善意的、普遍接受的意识计划的现状,并专注于管理人为风险。这包括定义您的行为基线和目标状态,基于行为量化人员风险,启动基于风险的干预,并编纂安全文化。

现在开始想象未来:适应性人类保护

在网络安全领域,有一句广为接受的格言是“安全是每个人的责任”,但这应该是吗?当网络安全不是每个人的责任时,它可以让员工继续他们的日常工作,满足他们的数字愿望,同时免受网络威胁,即使他们犯了错误。实现这样的未来可能需要7-10年的时间,因为目前保持不变的吸引力大于改变所需的摩擦力。现在是克服这种摩擦的时候了,是时候让这个行业重新想象一个未来,那时我们因为当时的需要而采用的多余的SA&T可以安全地解决了。

我们将在2022年第四季度发布安全意识和培训研究的未来。我将对我们两家旗舰店的中长期未来进行一次大的披露技术与创新亚太区而且安全与风险分别在悉尼和华盛顿特区举办论坛!