Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Awareness är en strategi, inte en teknik
Många har utmaningar inför de hot och risker som finns i dag i vår digitala värld. Det är farliga länkar, svaga lösenord och även informationspåverkan som får individer att ta illa genomtänkta och orationella beslut. Allt detta kan omkullkasta verksamheter och riskera stänga ner IT-systemen. Då många mycket riktigt förstår är individen den svaga länken. Därför har verksamheter pumpat in pengar i Awarenessutbildningar, en billig och lågt hängande frukt vägt mot en ny brandvägg eller dyra säkerhetsverktyg. Man har hanterat awareness som en teknik och inte som den skall hanteras: en strategisk process som skall komplettera det tekniska och processuella skyddet. I klartext IT-säkerhet, informationssäkerhet och personuppgiftsskydd.
Awareness by design
Cybersäkerhet idag är en fråga om harmoni mellan fyra komponenter: IT-säkerhet, Informationssäkerhet, personuppgiftsskydd och säkerhetskultur. Cyberhoten är en för komplex fråga för en IT-avdelning och de kan heller inte lösas med enkom teknik. Per logisk deduktion är alltså inte Awareness ineffektivt utan det används på fel sätt. Mycket enkelt kan man dra en parallell till security by default och security by design. Ett verktyg eller teknik är inte bara att köpa och sen är du skyddad, du måste göra säkerhet genom att anpassa den till din verksamhet för att få effekt. Samma gäller ju med Awareness. Om din utbildning misslyckas är det garanterat för att du inte anpassat den. Och med att anpassa den är det inte att ändra ord eller meningar i innehållet, det är som att byta färg i din mejl och tro att du säkrat den. Du måste definiera målet med utbildningen, se till att pedagogiken är rätt för målgruppen och att innehållet vilar på vetenskapligt pedagogiska grunder med korrekt retorik. Och för att garantera detta går det inte att låta en Awareness-process ansvaras av en tekniker. De är inte beteendevetare, pedagoger eller retoriker. Därför måste alla jobba tillsammans för att få maximal effekt av lärandet.
Awareness-processens ABC
Sammanfattat så kan vi säga för att uppnå en cybersäkerhetshygien med Awareness som en ovärderlig komponent behöver man förstå säkerhetskulturens DNA genom Awareness ABC:
- Awareness – hur lär vi oss och kommer ihåg det vi lärt.
- Behavior – vilka riskbeteende är det vi skall utbilda bort och sen även komplettera med tekniker och processer
- Culture – En säkerhetskultur är en miljö där alla kan och vågar prata säkerhet men också rapporterar avvikelser och inte bara kan identifiera en dålig länk eller ett svagt lösenord
Säkerhet måste vara lätt att göra rätt. Och en väsentlig del i detta är awareness, nu och för alltid.