Lunedì, a InfoSec World 2020, Rex Sarabia, responsabile del programma di sensibilizzazione sulla sicurezza di Lululemon, ha guidato la sessione "Costruire un programma di sensibilizzazione sulla sicurezza aziendale da zero".
SC Media ha intervistato Sarabia sulla sua presentazione per saperne di più sulle maggiori sfide di Sarabia, i suoi consigli per i professionisti della sicurezza che avviano i propri programmi e su come "gamify" la formazione per dipendenti e dirigenti.
Grazie per esserti unito a noi, Rex. La tua sessione di InfoSec World spiega come hai creato un programma di sensibilizzazione sulla sicurezza da zero presso Lululemon, un rivenditore di abbigliamento per "attività sudate", mentre lo descrivi.
Sicuro. Quindi dovrei chiarire spiegando che anche se prima di me non c'era un ruolo formalizzato, c'era sempre qualcuno o un gruppo di persone che avevano le stesse responsabilità – non sono partito da una lista completamente vuota. La sfida era quindi che la responsabilità [della mia predecessore] per la consapevolezza della sicurezza era più … "lato del banco" nella sua responsabilità in relazione alle loro responsabilità primarie e fondamentali del loro ruolo. Penso che molte persone sarebbero d'accordo sul fatto che la sensibilizzazione alla sicurezza è già una sfida da attuare efficacemente a causa delle sfide intrinseche alla sensibilizzazione per qualsiasi causa. Questo livello di difficoltà si moltiplica solo in qualsiasi organizzazione grande e complessa.
Fortunatamente, le priorità sono cambiate laddove è stato deciso che era necessaria una posizione dedicata, "single throat to choke". È stato fantastico! Per la direzione raggiungere quella svolta e ovviamente per me essere nel posto giusto al momento giusto, non posso lamentarmi lì! Vorrei che arrivassimo al punto in cui, se si verifica un incidente, una domanda che viene sollevata nell'ambito del post-mortem è: “Che tipo di formazione / istruzione ha ricevuto questa persona? Esiste una correlazione tra il loro comportamento che ha causato l'incidente e il loro profilo di rischio? C'è un vuoto qui che la consapevolezza della sicurezza può affrontare? "
Qual è stato l'aspetto più impegnativo nel ricoprire un ruolo mai esistito prima nell'azienda e nel costruire un tale programma da zero? O per dirlo in termini di Lululemon, quale aspetto del lavoro finora è stato il tuo più sudico inseguimento?
Stranamente, prima di ricoprire questo ruolo, se mi avessi fatto la stessa domanda, intuitivamente avrei ragionato che "far muovere le cose" o "toglierlo dal terreno" sarebbe stata la risposta naturale. È fisica, vero? Ci vuole più sforzo per far muovere qualcosa da uno stato di riposo di quanto non faccia per mantenere questo slancio. Ma, abbastanza sorprendentemente, questa non è stata la mia esperienza … Siamo passati dal non avere un modo globale e scalabile per fornire formazione che sia anche verificabile, al lancio di una formazione basata sul web a oltre un centinaio di dipendenti per soddisfare i requisiti di conformità PCI in meno di tre mesi. Realisticamente, sono stati meno di due mesi se hai sottratto il tempo "mia moglie è andata in vacanza" e "i giorni che ho trascorso a bordo per un nuovo orientamento al noleggio". Quella velocità di cambiamento può essere inerente alla nostra identità aziendale – penso di essere ancora troppo nuovo per dirlo definitivamente, ma si può sempre speculare …
Quindi, per farla breve, penso che finora in questo viaggio, la mia ricerca più rapida sia stata in realtà gli sforzi per sostenere. Di 'se, nella fretta di decollare, di andare avanti, forse non hai portato tutte le cose che vorresti avere. Ora che sei completamente via, sei in volo, hai dimenticato qualcosa di importante, ma non immediatamente necessario, come il tuo paracadute. Bene, va bene. Perché ora il tuo obiettivo è quello di far volare l'aereo. Rimani in aria fino a quando non sai cosa fare dopo. Se riesci a volare abbastanza a lungo, puoi imparare come atterrare e a quel punto hai già capito come navigare in modo da poter volare in un posto dove puoi atterrare per ottenere quel paracadute e tutto ciò di cui hai bisogno, ma non è stato quando sei partito inizialmente. Non sono un pilota ma "costruire un aereo a mezz'aria" è una metafora aziendale comune, giusto? I primi dodici mesi sono stati molto impegnativi, ma sono stati anche molti i primi, alcuni per me e altri per l'organizzazione e altri per entrambi. Quindi quel trambusto iniziale si perpetua, alimentando il proprio slancio, la propria energia. Va bene andare a noia piena a 100 mph perché è eccitante.
Quindi quello è stato il primo anno. Ora siamo quasi a metà del secondo anno – e che anno pieno di eventi è stato finora, eh? Quelle cose che sono state divertenti ed eccitanti l'anno scorso, che tutti hanno adorato e che vorresti farti fare di nuovo quest'anno – beh, è sicuramente molto più facile la seconda volta, ma c'è ancora molto lavoro che deve essere svolto almeno per mantenere, soddisfare le stesse aspettative dell'anno scorso. Per non parlare del fatto che non tutto è andato perfettamente bene, superstar (mi riferisco a me stesso qui). Ci sono ancora molte "opportunità di miglioramento" che richiedono altrettanto, se non di più, anche il tuo tempo e la tua attenzione. Oh sì, e comunque, dal momento che anche il comportamento umano è fluido e la tecnologia è in continua evoluzione, anche quei cattivi attori là fuori si adattano e trovano sempre nuovi modi in modo che la tua formazione, i contenuti e l'approccio esistenti, mentre siano pertinenti e adatti potrebbe essere necessario aggiornare anche l'anno scorso. Un viaggio di mille miglia inizia con un passo, ma dopo quel primo passo c'è ancora un sacco di passi da fare dopo quello.
Esiste una certa libertà che costruisce un programma del genere da zero invece di modificare o ricostruire un programma già esistente?
C'è sicuramente la libertà di ricominciare da capo rispetto a modificare un programma esistente. Ma anche vincoli e limitazioni possono essere abilitanti. La paralisi dell'analisi è una vera preoccupazione. Quindi, è vero, la mia risposta è una risposta "senza risposta". La situazione di ognuno cade da qualche parte in quello spettro tra l'avvio di nuovi e la trasformazione / miglioramento di un programma esistente. La consapevolezza della sicurezza è tanto importante in uno scenario quanto nell'altro. Il nostro valore aggiunto come evangelisti della sicurezza è nella nostra capacità di o apprendere come adattarsi alla situazione in cui ci troviamo, capire cosa funziona per il nostro popolo, in modo che il messaggio delle buone pratiche di sicurezza continui e venga messo in pratica da il nostro pubblico.
Per le organizzazioni che tentano la stessa impresa, cosa consiglieresti di dare la priorità prima di definire un piano di esecuzione?
La pianificazione è un buon esercizio purché non ritardi l'esecuzione effettiva. Fare qualcosa di buono oggi è meglio che fare qualcosa di perfetto domani – non è sempre un facile equilibrio da mantenere – ci saranno sempre dei compromessi, quindi spero che tu sia abile nel realizzarli. E poiché nessun piano sopravvive al primo contatto con il nemico, penso che sia molto importante progettare un piano con la mentalità di sapere che è altamente probabile che dovrà cambiare comunque. Almeno in questo modo, qualsiasi piano che ti verrà in mente avrà una capacità di recupero.
Se la vostra azienda non è richiesto esplicitamente di eseguire la formazione di sensibilizzazione alla sicurezza, quindi trovare qualcosa la vostra azienda ha bisogno di rispettare e di vedere se è possibile sfruttare off che; può almeno indirizzarti nella giusta direzione. Con ogni probabilità la tua azienda ha una sorta di PII, quindi collabora con i tuoi colleghi legali-legali (queste persone sono i tuoi alleati più vicini ai tuoi colleghi di sicurezza) poiché la privacy e la sicurezza sono in realtà due facce della stessa medaglia.
Esistono molti modi per comprendere i rischi ovunque tu sia. Ci vuole solo un po 'di empatia e immaginazione per vedere cosa potrebbe andare storto e quindi fare del proprio meglio per applicare la probabilità che si verifichino quegli eventi e infine moltiplicarlo per l'entità del suo impatto. Pezzo di torta. Il mio background è Big Four [contabilità], quindi la mia naturale reazione istintiva a una domanda sulle "priorità" è quella di adottare un approccio basato sul rischio. Ci sono molti framework di rischio là fuori e molte aziende che ti forniranno il loro migliore approccio per loro. Ovvio, vero?
Va bene. Quindi, qualcosa che può essere reso operativo domani? Sintonizzati su tutti i tuoi canali di comunicazione interni. Non solo i metodi ufficiali, ma anche quelli informali – l'esempio più applicabile e intelligente che io cito anche nella presentazione di [InfoSec World] – è quello di aggiungere una nota nella tua firma e-mail. Tale spazio può essere utilizzato per commercializzare eventi o menzionare una breve sicurezza IT "best practice of the day". Sai, va bene essere banali perché abbiamo buone intenzioni. I messaggi possono avere diversi obiettivi e significati per diversi segmenti del tuo pubblico. Quanto più naturale stai lavorando efficacemente all'interno di quei canali per diffondere il messaggio, non ti metterà mai in svantaggio. Il miglior consiglio di sicurezza al mondo non fa bene a nessuno se viene urlato nel vuoto. L'insegnamento è fondamentalmente una forma superiore di comunicazione, quindi è logico che le tue abilità di insegnante siano limitate dalla tua capacità di comunicare. Inoltre, troppo ovvio.
Inizia l'allenamento. La formazione può manifestarsi in modo molto diverso in base al contesto. Può essere semplice come tenere il pranzo e apprendere tutto l'anno su vari argomenti di sicurezza o forse hai bisogno della scala e della responsabilità che solo una LMS aziendale, la piattaforma di formazione può offrire. Lo stai già facendo? È fantastico! Pubblica o aggiorna la tua base di conoscenza interna sulle buone pratiche di sicurezza, mantieni il materiale fresco e pertinente con aggiornamenti regolari e aggiornati agli eventi recenti. Quando COVID iniziò davvero a guadagnare terreno negli Stati Uniti, era l'inizio di marzo. Ci sono stati molti primi rapporti sulle truffe in corso. Così ho scritto un articolo di blog interno sulla disinformazione, le truffe, ecc. Che i nostri dipendenti potrebbero trarre immediatamente vantaggio oltre la loro vita lavorativa. Gran parte era semplice e di buon senso, ma c'è molto rumore là fuori, quindi fornire un segnale attraverso comunicazioni interne attendibili ha fornito alla nostra gente una scorciatoia per l'intelligence fruibile. Inizia a fare qualcosa.
Infine, per coloro che hanno superato le basi, voglio fare un esempio di "prossimo passo". Riunire un gruppo di consiglieri ed evangelisti. L'anno scorso abbiamo creato il nostro gruppo di lavoro "Security Champions". Questo gruppo è una rappresentazione interfunzionale della nostra impresa. Iniziamo in piccolo all'inizio, ma alla fine l'obiettivo è quello di avere un gruppo in ciascuno dei nostri mercati principali. È assolutamente fondamentale che questo includa rappresentanti esterni all'IT, come la contabilità, per migliorare la diversità delle prospettive. Ci incontriamo mensilmente per discutere delle esigenze di formazione e feedback sulle iniziative passate, per annunciare le imminenti iniziative di sicurezza o per servire come focus group per le dimostrazioni dei fornitori. Avere un pool di opinioni di cui ti fidi, prontamente disponibile, è indispensabile per portare il tuo programma di consapevolezza della sicurezza al livello successivo poiché nessuno ha il monopolio delle buone idee e la sicurezza non esiste solo nel vuoto.
La presentazione include una sequenza temporale che va dal primo giorno di lavoro da marzo 2019 a maggio 2020. Scegli un momento saliente lungo questa sequenza temporale che ritieni sia una pietra miliare / risultato chiave e spiega perché.
Ci sono due momenti dell'anno passato che risalta. In primo luogo, e probabilmente meno interessante, è stata la prima campagna di formazione davvero grande (almeno per me, al momento) che è stata lanciata a tutta la nostra più grande popolazione aziendale, con sede in tutto il Nord America. Fu allora che arrivai a quel tipo di realizzazione "Oh, lo sto davvero facendo ora / sono quel ragazzo".
Il più divertente di cui parlo brevemente nella presentazione è il nostro vertice annuale sulla leadership. È stato piuttosto intenso per me. Avevamo deciso di partecipare e [partecipare] entrambi forse un mese o due prima. Altre squadre che erano presenti in questa conferenza probabilmente hanno tempi di pianificazione più vicini al doppio. E con tutto ciò che stava succedendo in quel momento, tutto doveva davvero riunirsi nelle ultime due, tre settimane prima dell'evento, al fine di ottenere un discreto successo. Quindi è stato stressante, ma è stato anche molto divertente e gratificante per me. La mia parte più affezionata di quel ricordo era la quantità e la varietà di persone che dovevano fare le loro parti individuali perché qualcuno di loro potesse davvero staccarsi. È stato uno dei miei migliori esempi di lavoro di squadra e collaborazione di tutti i tempi. Abbiamo già iniziato a pianificare il prossimo e come possiamo farlo meglio.
Essere presenti all'evento è stato davvero divertente. Penso che, anche per i momenti più brevi nelle nostre interazioni durante la conferenza, abbiamo avuto un sacco di persone interessate alla sicurezza dove altrimenti non sarebbero state … Il nostro breve tavolo da otto piedi aveva tre demo. Erano tutti pratici e tutti specificamente progettati per essere rilevanti per il lavoro quotidiano e la vita personale dei partecipanti. Penso che sia stato uno dei veri punti di svolta per me nell'apprezzare il valore del processo di apprendimento, per le persone coinvolte fisicamente nella lezione che viene insegnata. Avevamo dei pad PIN dimostrativi presi in prestito dal nostro laboratorio IT per mostrare quali sovrapposizioni di skimmer per carte sembrano effettivamente sul nostro hardware e come rilevarli! Mi sembra che l'esperienza di apprendimento sia impossibile da replicare sullo schermo di un computer come nella vita reale. L'intera settimana è stata un vero turbinio e, se lasciata sola, poteva andare in giro.
Un aspetto chiave della tua presentazione sembra essere che l'esperienza dell'utente è importante perché "divertente = efficace". Significa che sei un fan della gamification quando si tratta di programmi di sensibilizzazione sulla sicurezza?
Sì, sicuramente. Per me è ovvio: sono un giocatore. Uh, non sono molto bravo – ho iniziato troppo tardi nella vita per quello – ma comunque. Non devi essere bravo in qualcosa per divertirti ancora, giusto? Quindi la gamification è stato il mio approccio predefinito per rendere divertente l'allenamento. Non è sempre possibile o necessariamente appropriato, ma se ti trovi in una posizione che ti consente di cavartela con la sicurezza del gioco, perché no? Non penso che sia necessariamente unico per la nostra organizzazione, ma in generale penso sia sicuro dire che di tanto in tanto ci godiamo una piccola competizione amichevole. Secondo me, la gamification è sinonimo di concorrenza. Quindi, è facile per me dire "Sì, è ovvio", soprattutto quando vedo i dirigenti esultare a vicenda su chi ha completato prima la formazione sulla consapevolezza della sicurezza.
Come si rende divertente l'apprendimento in Lululemon?
Rendere divertente la sicurezza non è facile, ma è un obiettivo che vale la pena perseguire.
Il divertimento, di per sé, può essere difficile, quindi rendere divertente la sicurezza deve essere uno sforzo davvero intenzionale poiché non si svolge da solo. L'anno scorso è stato un sacco di capire cose e vedere cosa si attacca. A tutti piacciono cose diverse e il buon design del gioco è una disciplina a sé stante, quindi non credo di aver ancora trovato un modo per "giocare a casa" su tutti i fronti. Ma una delle iniziative più divertenti che abbiamo fatto l'anno scorso è stata per il National Cybersecurity Awareness Month, quando tenevamo concorsi settimanali, sfide. Queste sfide potrebbero essere state un mini-gioco o rispondere a un breve quiz. Se hai completato la sfida settimanale, sei entrato in una lotteria per un premio. L'idea era di interessarli e quindi limitare la loro attenzione a 10-15 minuti al massimo, come fare una pausa caffè per conoscere la sicurezza.
È un argomento ricorrente, a questo punto, ma al Vertice della leadership, abbiamo anche organizzato una lotteria per i partecipanti. La lotteria ha richiesto ai partecipanti di "studiare" una postazione irta di no di sicurezza e di presentare i loro risultati in un acquario. Prima della fine del summit, abbiamo estratto a sorte i vincitori, controllato a posto il loro lavoro e quindi lasciato loro scegliere dal nostro montepremi della lotteria. Abbiamo stampato solo un numero sufficiente di righe vuote su un lato del foglietto illustrativo, ma alcune persone hanno continuato a scrivere altri elementi con bandiera rossa anche fino a scrivere sul retro del foglietto.
Vorrei spostare l'ago in avanti ed espandere da "premiare l'individuo" a "premiare il gruppo" perché nulla rafforza l'apprendimento e motiva i comportamenti meglio di ascoltarlo dai tuoi coetanei.
Quest'anno, rafforzare i nostri processi Secure SDLC [Ciclo di vita di sviluppo di sistemi / software] è una delle nostre priorità, in particolare nel gruppo di sviluppo / ingegneria, i nostri programmatori. Stiamo prendendo l'iniziativa per la sicurezza di "spostarsi a sinistra" – che è un punto tangibile per iniziare, ma l'obiettivo è quello di rendere la sicurezza integrata, per esistere continuamente durante il processo SDLC.
Ci sono ancora molti dettagli che devono essere approfonditi sul programma generale, ma l'idea generale è che l'allenamento durante tutto l'anno culmina in un esercizio pratico di fine anno in cui i nostri sviluppatori possono agire come hacker "black hat" per un giorno e segnare punti identificando e sfruttando le vulnerabilità comuni, come OSWAP Top 10, in un ambiente sandbox controllato. Se qualcuno ha già eseguito un esercizio come questo prima, suonami! Di tutti i venditori con cui ho parlato, descrivendolo, ho l'impressione che il concetto di un programma globale come questo programma non sia così comune come avrei pensato.
Una delle tue ultime diapositive offre un'anteprima del futuro del tuo programma. Parli della creazione di percorsi / programmi di apprendimento più specializzati o mirati per dipendenti e dirigenti ad alto rischio. Che tipo di formazione comporterà e in che misura utilizzerai dati / analisi per valutare i livelli di rischio di ciascun dipendente per determinare se hanno bisogno di questo livello più elevato di formazione?
C'è molto da scompattare in questa domanda. Chiunque abbia già finito di leggere così lontano dovrebbe essere lodato. Lo dico in modo significativo perché, come ho dedotto, un efficace programma di sensibilizzazione sulla sicurezza sarà sempre uno sforzo su più fronti. Perché i nostri affari sono le persone. E le persone sono diverse. Quindi è ovvio che anche il nostro approccio al modo in cui educiamo le nostre persone dovrebbe essere diverso. Ognuno impara al meglio in modo diverso. Ognuno ha vincoli diversi che possono [relegare] la sicurezza alle spalle della propria mente. È un comportamento umano naturale sottovalutare i rischi. Ecco perché siamo qui – per rendere ciò che sembra scoraggiante e complesso facile e consumabile da tutti.
… Inizia con le metriche che altri team stanno già producendo. Per SDLC, ciò potrebbe essere dovuto al programma di ricompensa dei bug del team di sicurezza dell'applicazione o alle vulnerabilità derivanti dalla scansione del codice o dalla quantità di tempo o punti di storia spesi dal team di sviluppo per correggere bug o problemi di sicurezza.
Uno dei vantaggi aggiuntivi della gamification è che ci saranno sempre statistiche e metriche che ne derivano. Mi piacerebbe arrivare a un punto in cui posso premiare la% delle e-mail di phishing simulate segnalate in una squadra, dipartimento, ufficio, ecc. In una competizione giocosa e dallo spirito amichevole. Finora, siamo sull'obiettivo di migliorare le nostre campagne di phishing simulate dello scorso anno automatizzando il ciclo di "formazione sul phishing-catching" menzionato nella diapositiva 20.
Certo, non ho approfondito i dati quanto voglio. Se il modello di maturità delle capacità può essere paragonato alla gerarchia dei bisogni di Maslow, concettualmente posiziono i dati / le analisi più in alto, da qualche parte vicino all'autorealizzazione. Le piattaforme tecnologiche di base genereranno un sacco di dati sui tuoi metodi di allenamento – almeno per le tue campagne online – quindi se ce l'hai allora avrai un sacco di metriche per iniziare. Con ogni probabilità si tratterà di una combinazione dell'autorità e dei privilegi dell'individuo, della sua probabilità di futuro e storia di incidenti prevenibili (ad es. Perdita di un telefono, clic su un collegamento, download di un allegato, ecc.) E il grado di formazione che essi ' ho ricevuto.
… La vera domanda per un programma di sensibilizzazione sulla sicurezza è a quale scala ea quale livello è possibile offrire formazione specializzata a tutti i dati demografici del pubblico. Saranno sempre necessari concetti di sicurezza di base (consumo di massa) come phishing o tailgating. Speriamo che col tempo queste lezioni possano essere relegate in promemoria amichevoli.
La formazione specializzata dovrebbe essere qualunque sia la più pertinente, la più specifica per l'individuo. E più un allenamento diventa rilevante, più è probabile che rimanga fedele allo studente. Se potessi semplificare il mio modello mentale di CMM per la consapevolezza della sicurezza, sono tre semplici livelli. Livello 1, lo sanno. Livello 2, lo fanno. E livello 3, dicono ad altre persone di farlo. Portare tutti al livello 3, indipendentemente da dove si trovino nell'organizzazione, è la missione.
Il post di Lululemon, Rex Sarabia, crea un sudore costruendo da zero un programma di sensibilizzazione sulla sicurezza apparso per primo su SC Media .