オンラインセキュリティトレーニングは効果的ですか?
すべての従業員に1時間のオンラインサイバーセキュリティトレーニングを毎年受けることを要求している組織を探しています(ビデオを見て、クイズを受けます。これは、 SANSのエンドユーザーセキュリティ意識トレーニングを使用して作成されたようです )。
これが効果的であるか、そしてどれほど効果的であるかについての証拠はありますか?たとえば、この種のオンラインサイバーセキュリティ意識向上トレーニングがセキュリティインシデントを削減したり、他の測定可能な方法で結果を改善したりする方法や評価はありますか?セキュリティの妥協が5%減少することを期待するべきでしょうか? 50%削減? 0%削減?
私はSANSの Securing the Human サイトを確認しました。証拠や定量的なデータがある場合は目立つように表示されますが、何も言われていないようです。
ユーザーの行動に影響を与える年間1時間のオンラインビデオシリーズの効果は非常に低いです(業界の統計は行動の0〜5%の変化です-おそらく統計的に取るに足らない)コンプライアンスは、トレーニング後の数日でより高くなりますが、その後急速に低下します。このタイプのトレーニングは、結果を表示するために他のサポートと組み合わせる必要がありますが、この種のトレーニングの特定の補足により、最大70%(ターゲット行動の一貫した採用)で肯定的な結果が得られる可能性があります。トレーニングとサポートの繰り返しとフォローアップは、知識の伝達そのものよりもおそらく重要です。
補足については、最も効果的な方法には、行動の定期的なプロンプトと、提示された動作の正確性に関するユーザーへの即時フィードバックの提供が含まれます。これの最も一般的な形式はシミュレートされたフィッシングですが、組織が望むany動作を含めることができます。
一部のフィッシングシミュレーションプログラムでは、メールのリンクをクリックするユーザーが最大70%減少したことが調査で示されています。これには通常、定期的なテストが必要であり、ユーザーは時間をかけて何をすべきかをゆっくりと学習します。重要なのは、規則性と即時のフィードバックです。
これと同じアプローチを、パスワードポリシー、追尾、コンピュータのロック、インシデントレポート、USBデバイスの処理などに対して行うことができます。
意識は意識です。知識の伝達は知識の伝達です。しかし、行動の変化は別の球技です。知識から(時には)始まりますが、次に行動に移る必要があります。そして、それは5分のビデオではできません。
(私は 本 をこのまさにトピックについて書いています)