Förra gången vi pratade om informationssäkerhet pratade vi om varför människor visar ett motstånd mot det arbete som behöver göras. Denna gång ska vi titta på hur vi kan hjälpa människor att förstå informationssäkerhetens ”varför” och hur vi kan inspirera till förändring.
"Teaching is more than imparting knowledge; it is inspiring change. Learning is more than absorbing facts; it is acquiring understanding."
—William Arthur Ward
Att lära ut informationssäkerhet till kollegor kan vara utmanande, det kräver ett flexibelt tillvägagångssätt där du inte bara pratar om de tekniska delarna, utan du behöver också lära ut om de grundläggande principerna, bästa praxis (som är olika i olika delar av världen men fortfarande liknande) och den svåraste delen, ändra tankesätten till att ha viljan för kontinuerligt lärande och förståelse för VARFÖR.
Okej, vad kommer härnäst? Du behöver:
Förstå publiken
Vilken publik har du? Har du företagsledningen, det tekniska teamet eller HR framför dig? Börja med att identifiera kunskapen om informationssäkerhet din publik har och varför de är där. Skräddarsy din läroplan och undervisningsmetod efter det.
Bygg en grund
Börja med grunderna, mer detaljerad om den kunskapen är låg och mer som ett sätt att friska upp minnet om kunskapen är högre. Börja med principerna för informationssäkerhet och de vanligaste sårbarheterna och hoten som finns. Se till att publiken förstår dessa grunder innan du går vidare, annars kommer de inte att förstå de mer komplexa delarna. Här kan du också presentera de lagar och regler som är relevanta för publiken (beror på land, sektor och var i organisationen publiken arbetar)
Ge sammanhang
Det är viktigt att ge sammanhang åt de teoretiska delarna av informationssäkerhet. Använd verkliga exempel för att visa vad som kan hända. Genom att använda fallstudier kan du visa konsekvenserna när det skett en informationssäkerhetsincident, men du kan också visa framgångshistorier, t.ex. vad kan du förhindra om du har tillräckligt med säkerhetskontroller.
Gör det roligare
För att vara ärlig, även för oss proffs inom området kan jobbet ibland vara ganska tråkigt. Tänk bara vad en del av publiken kanske tycker, de tar ofta bara kursen / utbildningen för att de måste. Ett sätt att göra det roligare är att göra det interaktivt, uppmuntran till deltagande. Du kan göra det genom workshops, övningar och verkliga simuleringar. När människor tillåts använda den kunskap som erhållits i praktiska scenarier och få problemlösa, tenderar de att förstå hur det fungerar och varför det behövs. Om de misslyckas, t.ex. blir hackad är det viktigt att gå igenom hur det gick till och vad som saknades.
Uppmuntra kritiskt tänkande
Ett sätt att lära sig informationssäkerhet är att tänka kritiskt. Detta hjälper publiken att analysera olika säkerhetsutmaningar ur olika perspektiv. Detta främjar kompetensen kring riskbedömning och hur man kan implementera effektivare säkerhetsåtgärder.
Betona vikten av mjuka färdigheter
Vad som också är viktigt är att betona vikten av mjuka färdigheter relaterade till informationssäkerhet. Informationssäkerhet handlar inte bara om lagar, förordningar och säkerhetsåtgärder. Det handlar också om kommunikation och lagarbete. Om ni inom organisationen inte kommunicerar eller arbetar som ett team kan ni hoppa över kontrollerna relaterade till mänskligt beteende helt och hållet. Det kommer inte att fungera ändå.
Skapa en gemenskap
Sist men inte minst finns det ett stort värde i grupper där anställda kan utbyta kunskap och ställa frågor. Detta uppmuntrar till kunskapssökande och bidrar till att främja kompetens som behövs när man arbetar med säkerhet. Ett råd är att ha olika grupper för olika målgrupper. Till exempel en för säkerhetsproffs där komplexiteten kan vara lite högre och en grupp för verksamheten där man pratar mer om grundläggande säkerhet.
Och en liten påminnelse till dig som lärare, håll dig uppdaterad. Material och metoder inom detta område förändras ständigt och bästa praxis kan förändras även om det bara är en mening i en standard.