誰しも経験があると思いますが、新しい仕事を始めると、次々とオンボーディングプレゼンテーションを受けることになり、その多くは日々の職務とは関係がありません。しばらくすると飽きてしまい、ノイズに埋もれて重要な情報がわからなくなってしまいます。
中でもセキュリティ意識向上のトレーニングは特にこのような問題を抱えており、従来の方法では効果的に実施することが極めて困難です。まれにしか行われないセッションは画一的な方法で行われ、セキュリティチームは従業員が資料をどの程度理解したかを測定する方法がありません。同時に、セッションが終了した後、従業員にはその資料へのアクセス方法がわからないことがあります。
要するに、従来のセキュリティ教育は破綻しているのです。また、フィッシングやランサムウェア攻撃による脅威がかつてないほど明確になっている現在、企業はより良い対応を迫られています。幸いなことに、従業員のセキュリティトレーニング体験や知識の定着を根本的に最適化するためのツールは存在します。そのソリューションは、適切なデジタルアダプション戦略から始まります。
1. 適切なタイミング、適切な場所で
チームのセキュリティ意識向上トレーニングを最適化するための最初のステップは、その方法を根本から再考することです。学習教材やガイドを置く場所として、従業員に習熟してもらいたいプログラムの中ほど最適な場所はありません。そのことを念頭におくと、セキュリティチームは、トレーニングをSlackチャンネルに固定されたZoom録画やドキュメントから、トレーニングしたいアプリ自体の中に移行する必要があります。アプリ内のセキュリティガイダンスを正しく利用することで、従業員は機能やベストプラクティスを直接、簡単に調べることができ、同時にセキュリティチームは、新しい情報が利用可能になったり、新しい手法が適用されたりすると、すぐにそのトレーニングに修正を加えることができるようになります。
2. 理解しやすいコンテンツにする
セキュリティトレーニングをアプリ内に移動すれば、従業員が内容を理解するのも簡単になります。Zoomセッションに参加したり、ビデオを見たりするために1時間を確保する必要はなく、アプリ内のガイドに数分目を通すだけで新しいソフトウェアを使いこなすための新しい情報を得ることができるのです。これにより、従業員は無駄な時間がなくなり、重要な情報が隅に押しやられることもなくなります。
3. リアルタイムに脅威を無効化するダイナミックなアップデートを提供する
セキュリティを維持するということは、脅威を特定し、できるだけ早くチームに警告することを意味します。情報セキュリティ最高責任者(CISO)が最も避けたいことは、フィッシング詐欺が見過ごされることです。フィッシングのメールがフラグなしで従業員の受信トレイに届くたびに、疑いを持たないチームメンバーがメールを開いてしまう可能性が高くなり、災難につながる可能性があります。
メールやSlackで送信された警告は、受信トレイや通知に埋もれてしまう危険性があります。しかし、アプリ内ガイダンスを利用することで、セキュリティチームはフィッシング詐欺やその他の不審な行動についてリアルタイムで警告を発信することができます。その際、問題のメールがどのようなものかを示すスクリーンショットを添付することで、脅威に対して注意を喚起することができます。また、アプリ内メッセージは、このような悪意のある行為を報告する最良の方法を知らないユーザーに対して、即座にヘルプを提供し、次のステップを説明することができます。
4. 個人に合わせてトレーニングをカスタマイズする
チーム内の各役割には、さまざまなセキュリティリスクが伴います。ソフトウェアエンジニアと営業担当者がまったく同じセキュリティトレーニングを受けることは、ほとんど意味がありません。さまざまな分野で働く人々は、情報セキュリティに関するさまざまなレベルの知識を持ち、さまざまな種類の脅威にさらされます。CISOは、トレーニングへのアプローチにおいてこれらの違いを念頭に置く必要があります。デジタルアダプションプラットフォームを使用して特定のアプリ内で役割に基づいてユーザーをセグメント化し、カスタマイズされたトレーニング体験を提供することで、これを行うことができます。また、Pendoのようなデジタルアダプションプラットフォームでは、セキュリティチームがトレーニングの修了が遅れているユーザーをセグメント化してリマインダーを送信したり、過去にメールの脅威を認識できなかったユーザーを対象に特別なガイダンスを提供したりすることができます。
5. 効果を測定する
最終的に、セキュリティトレーニングは、その実施によって初めて効果を発揮します。従業員がガイドラインをどれだけ順守しているかを測定する手段がなければ、情報セキュリティチームは自分たちがどれだけ良い仕事をしているのかがわからなくなってしまいます。Pendoのデジタルアダプションプラットフォームのようなツールを使用すると、ガイダンスの明確さに関するフィードバックを求めるだけでなく、ミニクイズやその他のアプリ内評価を通じて、従業員の継続的なセキュリティコンピテンシーをテストすることもできます。
セキュリティの脅威と、それらに対する従業員の習熟度は常に変化しています。チームを最新かつ安全な状態に保つ最善の方法は、デジタルアダプションツールを活用して新たな脅威が出現したときに対処し、最も重要な時に重要な場所で従業員とコミュニケーションを取ることです。