How to Foster Positive Behavioral Change

French | Spanish

While it may be easy to place the blame on people for data breaches and other cybersecurity incidents, the truth is that people are an organization’s first and best line of defense. Instead of viewing people as the victim, or punishing them for risky cyber behavior, it’s time to change the narrative and instead focus on empowering them through a cybersecurity culture that focuses on positive behavioral change.

Where to Start

The first step in fostering positive behavioral change is creating an aware team that cares about cybersecurity. We recommend implementing a metrics-driven security culture that involves gathering information on your team’s existing cybersecurity habits, such as reusing old passwords, analyzing that information and then teaching safe cyber habits in a positive and human focused way. These steps are repeated and modified as your team grows more cyber aware, and training is adjusted to fit your specific cyber landscape.

The next step is to measure individuals’ perceptions on cybersecurity topics. This can be done through a survey that you can then analyze to understand how people feel about certain cybersecurity practices. Some key questions to include are:

1. Do you think you play an important role in protecting your organization from cyberattacks?

2. Do you believe you receive enough training or education to really be involved and make a difference?

3. Is cybersecurity mostly an IT issue?

4. Is your organization a potential target for cybercriminals?

Always remember when analyzing results that this is not a chance to punish folks for risky beliefs or opinions: it’s an opportunity to recognize areas where more training is required to foster a robust and knowledgeable team that cares about cybersecurity.

How Can Positive Behavioral Change be Accomplished?

We have gathered and would like to share with you 3 of the best methods to help create positive behavioral change that are available within the Beauceron Security Platform.

Personal Risk Score: The Personal Risk Score allows users to understand and visualize where they are on their cybersecurity journey. It provides information on what they have been doing well as well as areas that may need improvement.

When a phish is reported, the Personal Risk Score positively decreases, indicating that the user is engaging in safe cyber behavior and is able to recognize cyber risks. If a phish is clicked, the Personal Risk Score negatively increases, indicating that the user needs to work on recognizing cyber risks and remedial training is assigned to help them learn how to recognize those risks.

The Personal Risk Score can also decrease through completing remedial training as well as other courses when they are assigned. Personal Risk Scores are an important part of fostering positive behavioral change as they aren’t stagnant – even if a user clicks on several phishes at the beginning of their cybersecurity journey, if they complete remedial training and begin recognizing phishes and report them, their Personal Risk Score will positively decrease to reward this good behavior.

Remedial Training: Instead of punishing users for clicking on a phish, assigning remedial training allows them to learn from their mistake and how to recognize cyber risks when they occur. Remedial training consists of assigned courses and their quizzes which educate users in areas where they are struggling. It isn’t a punishment; it’s an opportunity to learn how to better protect themselves and their organization from cyber threats. By recognizing and correcting risky behavior, the team as a whole is able to better understand and implement cybersafe behavior without the associated feelings of shame or humiliation.

Gamification: It’s been proven that gamification helps folks learn and be more productive. By turning assigned learning into a game, or simply increasing the visual elements, you can turn learning from a chore into something employees look forward to and are motivated to participate in. Finding a method that engages people and motivates them to want to learn is a great way to provide essential information in a manner that is both informative and fosters a positive cybersecurity culture.

With the competitions option in the Platform, users can engage in fun and competitive competitions with their peers that positively decreases their Personal Risk Score.

If you’re interested in learning more about how positive behavioral change can benefit you and your team, check out our new whitepaper “Creating a Positive Cybersecurity Culture: Effectively Change Behavior.”

Favoriser les changements de comportement positifs

Bien qu’il puisse être facile de blâmer les individus pour les violations de données et autres incidents de cybersécurité, il ne faut pas perdre de vue que les individus sont la première et la meilleure ligne de défense d’une organisation contre ces attaques. Ainsi, au lieu de considérer les individus comme des victimes ou de les punir pour un comportement risqué en ligne, il serait temps de changer le narratif et de se concentrer plutôt sur leur autonomisation grâce à une culture de cybersécurité qui se concentre sur des changements de comportement positifs.

Par où commencer

La première étape pour favoriser un changement de comportement positif consiste à bâtir une équipe sensibilisée qui se soucie de la cybersécurité. Nous vous recommandons de mettre en œuvre une culture de sécurité axée sur des mesures qui impliquent la collecte d’information sur les habitudes de cybersécurité existantes au sein de votre équipe, par exemple la réutilisation d’anciens mots de passe, puis d’analyser ces informations avant d’enseigner des habitudes sécuritaires positive et axée sur l’humain. Ces étapes sont répétées et modifiées au fur et à mesure que votre équipe devient plus conscientisée aux enjeux de cybersécurité. La formation est ajustée à mesure pour s’adapter à la réalité spécifique de votre organisation en matière de cybersécurité.

L’étape suivante consiste à mesurer les perceptions des individus sur les enjeux de cybersécurité, ce qui peut se faire par le biais d’un sondage que vous pouvez ensuite analyser pour comprendre ce que les gens pensent de certaines pratiques de cybersécurité. Voici quelques-unes des questions clés à inclure :

1. Pensez-vous jouer un rôle important dans la protection de votre organisation contre les cyberattaques?

2. Croyez-vous recevoir suffisamment de formation ou d’éducation pour être en mesure de réellement vous impliquer et faire une différence?

3. La cybersécurité est-elle principalement un problème informatique?

4. Votre organisation est-elle une cible potentielle pour les cybercriminels?

Rappelez-vous toujours lors de l’analyse des résultats qu’il ne s’agit pas d’une occasion de punir les gens pour des croyances ou des opinions qui peuvent les mener à adopter des comportements à risque; c’est plutôt l’occasion de déterminer les domaines où il serait nécessaire d’offrir plus de formation afin de favoriser le développement d’une équipe robuste et bien informée qui se soucie de la cybersécurité.

Comment les changements de comportement positif peuvent-ils se concrétiser?

Nous aimerions partager avec vous 3 des meilleures méthodes que nous avons déterminées pour vous aider à créer un changement de comportement positif. Les outils pour induire ce changement sont tous disponibles via la plateforme de sécurité Beauceron.

Cote de risque personnelle : la cote de risque personnelle permet aux utilisateurs de comprendre et de visualiser où ils en sont dans leur parcours de cybersécurité. Cette cote fournit de l’information sur ce que les individus font de bien ainsi que les zones qui pourraient être améliorées.

Lorsqu’une tentative d’hameçonnage est signalée, la cote de risque personnelle diminue de façon positive, ce qui indique que l’utilisateur adopte un comportement sécuritaire et est en mesure de reconnaître les risques en ligne. Si l’individu clique sur un lien dans une tentative d’hameçonnage, la cote de risque augmente de façon négative, ce qui indique que l’utilisateur doit travailler à reconnaître les risques en ligne. Une formation de rattrapage est alors attribuée pour l’aider à apprendre à reconnaître ces risques.

La cote de risque personnelle peut également diminuer en complétant une formation de rattrapage ou d’autres cours assignés. La cote de risque personnelle fait partie intégrale de la promotion d’un changement de comportement positif, car elle n’est pas stagnante : même si un utilisateur clique sur plusieurs tentatives d’hameçonnage au début de son parcours de cybersécurité, s’il suit une formation de rattrapage, commence à reconnaître les tentatives d’hameçonnage et se met à les signaler, sa cote de risque personnelle diminuera positivement pour récompenser ces bons comportements.

Formation de rattrapage : au lieu de punir les utilisateurs qui cliquent sur des tentatives d’hameçonnage, l’attribution d’une formation de rattrapage leur permet d’apprendre de leurs erreurs et de reconnaître les risques en ligne lorsqu’ils se présentent. La formation de rattrapage consiste en des cours assignés et leurs questionnaires qui offrent une formation supplémentaire aux utilisateurs sur les sujets qui posent des difficultés. Il ne s’agit pas d’une punition, c’est plutôt l’occasion d’apprendre comment mieux se protéger et protéger l’organisation contre les menaces en ligne. En reconnaissant et en corrigeant les comportements à risque, l’équipe dans son ensemble est en mesure de mieux comprendre quels sont les bons comportements à adopter en matière de cybersécurité et de les appliquer sans ressentir les sentiments de honte ou d’humiliation souvent associés à ce type de question.

Ludification : il a été prouvé que la ludification aide les gens à apprendre et à être plus productifs. En transformant un apprentissage assigné en un jeu ou en utilisant simplement plus d’éléments visuels, l’apprentissage passe d’une corvée à quelque chose que les employés attendent avec impatience et qui encourage leur participation. Trouver une méthode qui implique les individus et les motive à vouloir apprendre est un excellent moyen de fournir des informations essentielles d’une manière informative en favorisant une culture de cybersécurité positive.

L’option d’activer des compétitions amicales sur la plateforme permet aux utilisateurs de se mesurer à leurs pairs dans des compétitions amusantes pour diminuer leur cote de risque personnelle.

Si vous souhaitez en savoir plus sur la façon dont un changement de comportement positif peut vous être bénéfique, à vous et à votre équipe, consultez notre nouveau livre blanc « Créer une culture de cybersécurité positive : changer efficacement les comportements ».

Cómo promover un cambio de comportamiento positivo

Si bien puede ser fácil culpar a las personas por violaciones de datos y otros incidentes de ciberseguridad, la verdad es que las personas son la primera y mejor línea de defensa de una organización. En lugar de ver a las personas como víctimas, o castigarlas por un comportamiento cibernético arriesgado, es hora de cambiar la narrativa y, en cambio, centrarse en empoderarlas a través de una cultura de ciberseguridad que se centre en un cambio de comportamiento positivo.

Por dónde empezar

El primer paso para fomentar un cambio de comportamiento positivo es crear un equipo consciente que se preocupe por la ciberseguridad. Recomendamos implementar una cultura de seguridad basada en medidas que implique recopilar información sobre los hábitos de ciberseguridad existentes de su equipo, como reutilizar contraseñas antiguas, analizar esa información y luego enseñar hábitos cibernéticos seguros de una manera positiva, humana y centrada. Estos pasos se repiten y se modifican a medida que su equipo se vuelve más consciente de la ciberseguridad y la formación se ajusta para adaptarse a su panorama cibernético específico.

El siguiente paso es medir las percepciones de las personas sobre los temas de ciberseguridad. Esto se puede hacer a través de una encuesta que luego puede analizar para comprender lo que la gente piensa sobre ciertas prácticas de ciberseguridad. Estas son algunas de las preguntas clave a incluir:

1. ¿Cree que juegas un papel importante en la protección de su organización contra ciberataques?

2. ¿Cree que está recibiendo suficiente formación o educación para involucrarse realmente y marcar la diferencia?

3. ¿Es la ciberseguridad principalmente un problema de TI?

4. ¿Es su organización un objetivo potencial para los ciberdelincuentes?

Recuerde siempre al analizar los resultados que esta no es una oportunidad para castigar a las personas por creencias u opiniones arriesgadas: es una oportunidad para reconocer áreas donde se necesita más formación para fomentar un equipo robusto y conocedor que se preocupe por la ciberseguridad.

¿Cómo se puede lograr un cambio de comportamiento positivo?

Nos hemos reunido y nos gustaría compartir con usted 3 de los mejores métodos para ayudar a crear un cambio de comportamiento positivo que están disponibles dentro de la Plataforma de Seguridad Beauceron.

Puntuación de riesgo personal: La puntuación de riesgo personal permite a los usuarios comprender y visualizar en qué punto de su viaje de ciberseguridad se encuentran. Proporciona información sobre lo que han hecho bien, así como las áreas que pueden necesitar mejoras.

Cuando se informa de phishing, la puntuación de riesgo personal disminuye positivamente, lo que indica que el usuario está participando en un comportamiento cibernético seguro y es capaz de reconocer los riesgos cibernéticos. Si hace clic en un gancho de phishing, la puntuación de riesgo personal aumenta negativamente, lo que indica que el usuario necesita trabajar para reconocer los riesgos cibernéticos y se le asigna formación correctiva para ayudarlo a aprender a reconocer estos riesgos.

El puntaje de riesgo personal también puede disminuir al completar la formación correctiva, así como otros cursos que se le asignan. Los puntajes de riesgo personal son una parte importante de la promoción de un cambio de comportamiento positivo porque no están fijos: incluso si un usuario hace clic en múltiples ganchos al comienzo de su viaje de ciberseguridad, toma formación correctiva y comienza a reconocer ganchos y reportarlos, su puntaje de riesgo personal disminuirá positivamente para recompensar ese buen comportamiento.

Formación correctiva: En lugar de castigar a los usuarios que hacen clic en ganchos de phishing, al asignarles formación correctiva pueden aprender de su error y reconocer los riesgos cibernéticos cuando ocurren. La formación correctiva consiste en cursos asignados y cuestionarios que educan a los usuarios en áreas que se les dificultan. No es un castigo; es una oportunidad para aprender a protegerse mejor a sí mismos y a su organización de las amenazas cibernéticas. Al reconocer y corregir los comportamientos de riesgo, el equipo en su conjunto puede comprender e implementar mejor los comportamientos de ciberseguridad sin los sentimientos asociados de vergüenza o humillación.

Gamificación: Se ha demostrado que la gamificación ayuda a las personas a aprender y ser más productivas. Al convertir el aprendizaje asignado en un juego, o simplemente aumentar los elementos visuales, puede convertir el aprendizaje de una tarea en algo que los empleados esperan y que les motiva. Encontrar un método que involucre a las personas y las motive a querer aprender es una excelente manera de proporcionar información esencial de una manera que sea informativa y fomente una cultura de ciberseguridad positiva.

Con la opción de concursos en la plataforma, los usuarios pueden participar en concursos divertidos y competitivos con sus compañeros que disminuyen positivamente su puntuación de riesgo personal.

Si desea obtener más información sobre cómo el cambio de comportamiento positivo puede beneficiarlo a usted y a su equipo, consulte nuestro nuevo documento técnico "Creación de una cultura de ciberseguridad positiva: cambio efectivo del comportamiento".