Er Awareness Træning prisen værd?

Typer af awareness-træning 

Der er mange måder at træne sin virksomhed i IT-sikkerhed. Eksempelvis kan man køre awareness-træning igennem e-læring eller personlige møder, eller sende phishingtests ud til jeres medarbejdere via e-mail. Du kan vælge at stå for det hele selv, eller at indgå et samarbejde med en virksomhed der, ligesom CyberPilot, udbyder træning. Derved får du mere tid til at arbejde med de komplekse sikkerhedsudfordringer, som kræver dit fokus hver dag. Alle disse beslutninger påvirker prisen for træning, kvaliteten, samt hvor produktive du og dine kollegaer er på arbejdet. Så lad os kigge på prisen for IT-sikkerhedstræning. 

Den gennemsnitlige pris for IT-sikkerhedstræning: €60 per medarbejder om året 

I gennemsnittet koster vores IT-sikkerhedstræning omkring €60 per medarbejder om året. Prisen kan variere alt efter størrelsen på virksomheden, samt hvilken træningsløsning man vælger. Så for en virksomhed med 75 medarbejdere er prisen for et års træning €4308. Så når man tænker over det, svarer €60 i grove træk til at give medarbejderen en gave, eller at alle arbejder et par ekstra timer om året - det er en forholdsvis lille udgift. 

Der er mange faktorer der bidrager til de samlede omkostninger ved træning. Eksempelvis, er det typisk sådan, at jo flere brugere man har tilmeldt til træning, jo mindre bliver prisen derved per medarbejder. Man skal også huske andre omkostninger, såsom tid og produktivitet. 

• • Hvor meget tid vil der blive taget fra jeres arbejdsdag, hvis du selv står for at facilitere træningen? 
  • Hvor meget tid bliver der taget fra dine kollegaers almene arbejdsdag, for at de kan deltage i træning? 
  • Hvad betyder det for din virksomheds produktivitet? 

Ovenstående er sekundære omkostninger, som er typiske årsager til at virksomheder vælger at samarbejde med eksterne træningspartnere. Samarbejde med en træningsudbyder vil frigive IT-afdelingens tid til at håndtere vigtige sikkerhedsopgaver, og videregive træningsstafetten til læringseksperter.

Virksomheder som CyberPilot påtager alt arbejdet med at opsætte og administrere IT-sikkerhedstræning, og tilbyder effektiv træning i sessioner af 10 minutters varighed. Dette sparer tid for IT-holdet og resten af kontoret, samtidig med at produktiviteten ikke mindskes.

Den gennemsnitlige pris for et sikkerhedsbrud

Vi har et dybdegående blogpost om den gennemsnitlige omkostning ved et databrud, som der indeholder informationer om forskellige typer af brud, og hvorfor de er omkostningsfulde. Men for nu holder vi os til de tal, som du har behov for at kende til.

• • Den gennemsnitlige omkostning for et sikkerhedsbrud i 2022 var 29,8 millioner DKK.
  • Tabt arbejde er en af de største udgifter i forbindelse med et brud. Det koster i gennemsnit 9,7 millioner DKK per brud i tabt arbejdsfortjeneste. 
  • Driftstoppet der finder sted under brud forårsaget af malware eller ransomware, leder til en 70% reducering i medarbejderproduktiviteten. Det gennemsnitlige driftstop i denne sammenhæng ligger mellem 9,9-18 timer. 
  • 60% af SME-virksomheder går konkurs indenfor 6 måneder efter at have været udsat for et sikkerhedsbrud. 

Når man tænker over omkostningerne ved sikkerhedsbrud, er man nødt til at tænke ud af den finansielle boks. I tillæg til omkostningerne ved at reparere jeres systemer og få jeres virksomhed online igen, har sikkerhedsbrud en negativ indvirkning på en virksomheds omdømme. Dette leder til et tab af tillid, og i sidste ende tabt forretning.

Omkostningerne er selvfølgelig forskellige, alt efter om virksomheden der rammes er stor eller mindre. Mens man primært hører om sikkerhedsbrud hos større virksomheder i medierne, så er brud i mindre virksomheder lige så skadelige. De juridiske omkostningerne og skader på ens omdømme er oftest for belastende for mindre virksomheder, som derved ender med at dreje nøglen om. 

Omkostningerne ved at gøre ingenting 

Vi har gennemgået prisen for awareness-træning og omkostningerne ved et sikkerhedsbrud. Hvad så nu? Vi vil gerne hjælpe dig med at sætte disse omkostninger i perspektiv, så du kan se hvad de muligvis vil betyde for din virksomhed. 

Du render måske ind i et argument om, at sandsynligheden for at din virksomhed vil blive udsat for et sikkerhedsbrud er lille, hvorfor det derfor ikke er værd at bruge penge på awareness-træning. Men forskning viser at virksomheder i 2019 havde en 29,6% risiko for at blive ramt af et sikkerhedsbrud i de efterfølgende to år. Dette betyder at der er en 1 ud af 3 chance for at man selv kommer til at opleve et sikkerhedsbrud, som data samtidig viser, kan være en rigtig dyr affære og i værste tilfælde lede til konkurs. 

Lad os nu gå et spadestik dybere i forskningen. Træning er især vigtigt for mindre virksomheder, da 95% af cyber-angreb rammer SME virksomheder. Vidste du eksempelvis at 61% af SME-virksomheder oplevede et cyber-angreb de sidste to år? 

I sammenhæng med at overveje hvor sårbar din virksomhed er, holdt op imod disse statistikker, kan du med fordel beregne sandsynligheden for at I vil komme til at opleve et sikkerhedsbrud. Dette kan I gøre ved at køre en phishing simulation, eller gennemføre en risikoanalyse. 

Phishing simulation 

Falske phishing e-mails er en metode man kan bruge til at teste, hvor udsat ens virksomhed er overfor sikkerhedsbrud. Phishing er en af de mest almindelige metoder til at gennemføre et sikkerhedsbrud, da op til 39% af medarbejdere falder i phishing-fælden. Phishing e-mails kan være svære at spotte og hele 97% af mennesker kan ikke gennemskue en sofistikeret phishing e-mail. Resultaterne fra en phishing simulation kan fortælle dig noget, om hvor udsat din virksomhed er. Hvis mange af dine medarbejdere falder i fælden ved en falsk phishing e-mail, så vil de højst sandsynligt også falde i fælden, hvis der lander en ægte phishing e-mail i deres indbakke. Sikkerhedsbrud forårsaget af phishing forsøg, er en af de dyreste former for sikkerhedsbrud en virksomhed kan stå overfor. 

Risikovurdering

En anden måde man kan undersøge og evaluere på ens sårbarhed overfor et sikkerhedsbrud, er ved at gennemføre en risikovurdering. Vi har en gratis skabelon, som kan hjælpe dig i gang med dette. En risikovurdering kan hjælpe dig til at finde frem til og forstå, hvor I er mest udsat, og hvor sandsynligt det er at I vil blive udsat for et brud på disse områder. Herfra er det muligt for jer at lave en plan for hvad det næste skridt skal være, i forhold til at optimere jeres sikkerhedsniveau på en meningsfyldt måde. Dette betyder i bund og grund at uanset, hvor dygtige dine medarbejdere er, så skal menneskelige fejl altid indberegnes som en potential risici, da disse er med til at forårsage sikkerhedsbrud. 

Men jeg har allerede opsat firewalls og andre løsninger - har jeg stadig behov for træning?

Med alverdens tekniske løsninger tilgængelige, så kan man fristes til at tro at investeringer i den nyeste software er med til at klare jobbet. Vi støtter fuldt ud investeringer i nye tekniske løsninger, såsom antivirusprogrammer, firewalls og SIEM, men vi ved at disse teknologier ikke kan stå på mål alene. Vi ved at 9 ud af 10 sikkerhedsbrud sker på baggrund af den samme menneskelige fejl, hvorfor vi tror på at træning af medarbejdere er en essentiel del af alle sikkerhedsstrategier. 

Tænk på det som en form for forsikring

På en måde svarer træning af medarbejdere til at købe en indboforsikring. Det er en udgift, som øjensynligt måske ikke lader til at være det værd, indtil der sker noget som beviser dets værd. En månedlig udgift til at forsikre dit hjem kan måske virke irriterende, fordi du ikke med det samme ser fordelen. Men hvis et rør sprang og du fik slemme vandskader, som vil forårsage dyre reparationer, så vil du være glad for at have forsikringseksperter til at hjælpe dig med at udbedre skaderne. Du vil også være glad for at de værste omkostninger vil være dækket. Investeringen i IT-sikkerhedstræning af medarbejdere, svarer lidt til at forsikre sit hjem. 

Hvis du ikke oplever nogen sikkerhedsbrud, kan det måske virke som penge ud ad vinduet. Men det faktum at din virksomhed ikke oplever nogle brud er tegn på at træningen virker. Awareness-træning svarer lidt til at have en forsikring mod sikkerhedsbrud, da det hjælper dine medarbejdere til at forstå, hvordan de skal agere, hvis en situation ser eller føles lidt forkert. 

Hellere være på den sikre side: Træning er pengene værd 

Vi synes at træning er pengene værd, og det samme gør vores kunder. Det er markant billigere at opbygge en god IT-sikkerhedskultur og derved undgå sikkerhedsbrud, end at skulle komme sig over et brud der allerede har fundet sted. Specielt hvis du medregner de langsigtede omkostninger ved et brud, såsom mistet forretning og skade på virksomhedens omdømme. 

Hvis din virksomhed har 100 medarbejdere, bruger du måske en total på €6000 på IT-sikkerhedstræning per år, baseret på en træningspris svarende til €60 per medarbejder, per år. Ved at bruge denne beregning, sammenlagt mod de gennemsnitlige omkostninger for et sikkerhedsbrud på €3,9 millioner, svarer det til at du vil skulle betale for awareness-træning i ca. 725 sammenhængende år, før at udgiften til træning matcher udgiften for et gennemsnitligt sikkerhedsbrud. Måske hjælper denne beregning med at sætte værdien af træningen i perspektiv. 

Dette er selvfølgelig en forsimplet beregning – ikke alle sikkerhedsbrud koster €3,9 millioner og det er ikke al awareness-træning der koster €60 per medarbejder, per år. Vi benytter os af gennemsnittet i denne sammenhæng, for at stille det så simpelt, som muligt op. Men du kan forestille dig at omkostningerne ved et sikkerhedsbrud er proportionel til antallet af medarbejdere i virksomheden, og virksomhedens samlede årlige omsætning. Så selvom at større virksomheder har flere penge at tabe i forbindelse med et sikkerhedsbrud, så lider mange mindre virksomheder på samme måde. 

Awareness-træning giver mening. Det har en høj investeringsafkast, som hjælper med at forebygge og forhindre sikkerhedsfejl, og har desuden en masse andre fordele. 

Investeringsafkastet på awareness-træning er høj

Forskning viser at investeringsafkastet på awareness-træning er ret højt. For mindre virksomheder er den årlige omkostning per medarbejder (i forbindelse med IT-sikkerhed) 52% billigere, når virksomheden benytter sig af awareness-træning. Ved at bruge awareness-træning, kan SME –virksomheder i gennemsnit spare omkring lidt over 1000DKK ($149) om året per medarbejder. En investering i træning kan faktisk lede til langsigtede besparelser! 

Hav i mente at det investeringsafkast, som I muligvis opnår igennem awareness-træning er betinget af flere faktorer, såsom lønudgifter til jeres medarbejdere, størrelsen på jeres virksomhed og sværhedsgraden af et potentielt sikkerhedsbrud. Eksempelvis er sundhedsselskaber kendt for at opleve nogle af de mest omkostningsfulde sikkerhedsbrud, hvilket betyder at investeringsafkastet sandsynligvis er højere her, fordi de har mere at miste. 

Træning virker

Menneskelig adfærd er den førende årsag bag IT-sikkerhedsbrud. Faktisk er 9 ud af 10 brud forårsaget af menneskelige fejl. Men omfanget af fejl kan nedbringes med god awareness-træning og andre tiltag til at fremme en god IT-sikkerhedskultur. For eksempel, kan du se på billedet herunder se, hvordan vores kunder begår færre fejl efter at have gennemført kontinuerlig awareness- og phishing-træning. Det kan ses hvordan der ved den tredje test er en over 50% reducering af fejl, hvilket betyder at disse medarbejdere er mindre tilbøjelige til at falde for phishing e-mails.

Derudover tager træningen ikke lang tid. Vores kurser underviser i vigtige IT-sikkerhedskoncepter på under 10 minutter hver anden måned, så der ikke sker et dyk i produktiviteten. Sammenlign dette med flere timer til ugers driftstop grundet et sikkerhedsbrud - så virker 10 minutters træning ikke, som det store i tidsregnskabet. 

Yderligere fordele ved awareness- og phishing-træning

Udover investeringsafkastet og evnen til at reducere antallet af fejl, som der leder til sikkerhedsbrud, så kan træning i IT-sikkerhed have andre positive påvirkninger på din virksomhed. Eksempelvis kan et implementeret kontinuerligt fast awarenes-træning program hjælpe jeres virksomhed til at overholde GDPR og andre IT-sikkerhedsrammer. 

At være i besiddelse af sikkerhedscertificeringer viser jeres kunder at de kan stole på jer, hvilket kan påvirke jeres forretning og omdømme positivt. Det kan bidrage til at potentielle kunder gerne vil gøre forretning med jer. Det kan også hjælpe jer til at undgå GDPR bøder.

Afslutningsvist, kan awareness-træning være med til at forbedre jeres virksomheds IT-sikkerhedskultur, og give jeres medarbejdere et fælles mål om at ville forbedre sikkerhedsniveauet.

Vi håber at du har fundet denne blogpost brugbar. Hvis du gerne vil se hvordan awareness-træning kan hjælpe din virksomhed, så er du mere end velkommen til at teste vores awareness-træning gratis i 14 dage, eller kontakte vores team.