Contact us: +45 32 67 26 26

Hvad Er Awareness-træning? Og Hvordan Man Implementerer Det Effektivt

Søren Lassen Jensen
By: Søren Lassen Jensen Awareness træning | 26 maj

I dette blogindlæg vil vi lære dig om, hvad awareness-træning er, og hvad man kan bruge det til. Awareness-træning bør ikke bare være et flueben, som du krydser af for at overholde GDPR. Med ordentlig awareness-træning kan du ændre din organisations IT-sikkerhedskultur, og blive opmærksom på den fare, som IT-kriminelle udgør. God awareness-træning vil også reducere menneskelige fejl, som er den mest almindelige årsag til databrud. Læs mere for at lære, hvor vigtig awareness-træning er. 

Indholdsfortegnelse

 

Hvad er awareness-træning? 

Awareness-træning er beregnet til at hjælpe dine medarbejdere med at forstå IT-sikkerhedsrisici, og hvordan de kan modarbejdes. Dette gøres ved at træne og engagere dine medarbejdere i forskellige IT-sikkerhedssituationer. Dette kan gøres online, fysisk eller en blanding af de to. Awareness-træning hjælper dine medarbejdere med at forstå potentielle risici og angreb, som de kan møde i hverdagen. Det træner også dine medarbejdere i at skabe en ordentlig IT-sikkerhedsstruktur i din organisation. 

Awareness-træning vedrører forskellige emner såsom GDPR, juridisk grundlag til behandling af persondata, dataminimering samt kurser i IT-sikkerhed, såsom phishing, IT-kriminalitet, ransomware, adgangskoder og mere. Awareness-træning kan implementeres på forskellige måder og med forskellige former for fokus afhængigt af din organisations behov. 

Fordelene ved awareness-træning 

Ingen organisation er for lille eller for stor til at blive offer for IT-kriminalitet. IT-trusler forsvinder ikke lige foreløbigt, og hackere bliver konstant bedre og bedre til, hvad de gør. Derfor er det vigtigt at være opmærksom. Her er nogle af de fordele, som awareness-træning tilbyder. 

Bedre IT-sikkerhed 

9 ud af 10 sikkerhedsbrud skyldes menneskelige fejl. Med awareness-træning kan du gøre dine medarbejdere til en menneskelig firewall og gøre dem til dit bedste forsvar. 

Organisationer bør derfor være mere opmærksomme på deres ansattes IT-sikkerhedsvaner. Awareness-træning er en effektiv måde at mindske din risiko for at blive offer for et IT-angreb. Awareness-træning hjælper dine medarbejdere med at identificere og spotte potentielle risici og trusler mod din IT-sikkerhed. 

Forbedring af IT-sikkerhedskultur 

Gennem løbende awareness-træning kan du skabe en positiv ændring i din organisations IT-sikkerhedskultur. At træne dine medarbejdere i interne og eksterne sikkerhedstrusler vil derfor gøre din IT-sikkerhedskultur stærkere. 

At have en stærk IT-sikkerhedskultur i din organisation viser dine medarbejdere og dine kunder, at din organisation prioriterer sikkerhed. Det kan sætte høje standarder for dine medarbejdere i praksis, reducere risikoen for databrud og indikere over for dine kunder, at din organisation er til at stole på. Dine medarbejderes adfærd, forståelse, viden ift. sikkerhedsproblemer og aktiviteter vil blive væsentligt forbedret. 

Awareness-træning til overholdelse af GDPR 

Awareness-træning hjælper også din organisation med at overholde GDPR-reglerne, gøre dit hold opmærksom på din organisations processor og deres ansvar ift. din organisations it-sikkerhed, såsom håndtering af personlige data. 

Persondata kan kort beskrives som information, der kan identificere en person. Såsom navn, adresse, telefonnummer, erhverv, fødselsdato med mere. Personlige data kan også kategoriseres som følsomme, såsom helbredsoplysninger, race eller etnisk oprindelse, politisk og religiøs overbevisning og mere. Hvis persondata er kategoriseret som følsomme, kræver GDPR streng korrekt håndtering af disse data. Hvis denne håndtering ikke udføres forkert, kan det medføre bøder. 

Personlige data kan være komplicerede, og du kan ikke forvente, at hele dit hold er eksperter i GDPR. Awareness-træning giver dig mulighed for at forklare disse komplicerede emner på en klar og praktisk måde, som dine medarbejdere vil forstå. En glimrende måde at visuelt demonstrere, hvordan personlige data ser ud, er med plakater. 

Du kan læse mere om brug af opmærksomhedstræning til at opnå GDPR-overholdelse på vores blog. 

Billede af Risiko-analyse skabelon

Hvad dækker awareness-træning? 

Awareness-træning omfatter en række temaer og kategorier, når det kommer til IT-sikkerhed og GDPR. Her er nogle af de kategorier, der normalt indgår i awareness-træning 

GDPR-overholdelse 

GDPR kan være svært at få dine medarbejdere til at bekymre sig om og forstå. Men du kan forbedre opmærksomheden og overholdelsen af GDPR ved at træne dit hold i de vigtigste dele af det. For eksempel kan awareness-træning forbedre beskyttelsen af personoplysninger, GDPR-overholdelse, juridisk grundlag for behandling af data i henhold til GDPR og mere. 

Opmærksomhed på phishing 

Phishing sker hver dag, derfor er det vigtigt, at alle dine medarbejdere er opmærksomme på truslen. Awareness-træning træner også dit hold i at genkende og være opmærksomme på phishing-forsøg. Phishing-opmærksomhed kan omfatte information om tegn, man skal være opmærksomme på i phishing-e-mails og information om de forskellige former for phishing-angreb. 

Sikre adgangskoder 

Awareness-træning kan også være noget så simpelt som at sikre, at alle i din organisation bruger en sikker adgangskode. Dette kan gøres ved at ændre IT-sikkerhedskulturen, så dine medarbejdere ikke genbruger den samme simple adgangskode såsom "kode123" til både deres personlige og deres arbejdskonti. Hvis du vil vide hvordan man laver en stærk adgangskode, kan du læse om det her.  

To-faktor godkendelse 

2-faktor godkendelse hjælper din organisation med at forblive sikker. Alle organisationer er sårbare over for IT-kriminelle, som kan bryde ind i dine systemer for at stjæle dine brugeroplysninger. Brug af to-faktor godkendelse neutraliserer risikoen for kompromitterede adgangskoder og tilføjer et andet lag af beskyttelse. 

Fysisk sikkerhed 

Awareness-træning hjælper også dine medarbejdere med at vide, hvordan de skal forblive sikre i den virkelige verden. Et par emner, der kan dækkes her er, hvordan du forbliver sikker når du arbejder hjemmefra, ikke at efterlade personlige data på dit skrivebord og ikke at skrive din adgangskode på en sticky note ved siden af din arbejdscomputer. 

Hjemmearbejde 

Awareness-træning kan også omfatte, hvad man skal gøre, når man arbejder hjemmefra, så dine medarbejdere holdes sikre på internettet. Det er nemt at glemme gode digitale vaner, når du arbejder hjemmefra, så der er mange ting, man skal være opmærksom på. 

Som du kan se, så kan awareness-træning omfatte mange forskellige emner. Hvis du vil vide mere om, hvilke emner awareness-træning omfatter, så besøg vores kursuskatalog for at se alle de kurser, vi tilbyder i vores awareness-træning her hos CyberPilot. 

Hvordan man implementerer awareness-træning 

For at opnå en stærk IT-sikkerhedskultur er det vigtigt at implementere awareness-træning korrekt. Det er også vigtigt at holde fast i awareness-træningen og gøre den til en løbende læringsproces og ikke bare en engangsting. Hvis du gør det til en engangsting, vil dine medarbejdere glemme det kort efter. 

Hver organisation er forskellig, så du skal overveje de ting, der betyder mest for din individuelle organisation. Du bør identificere, hvilke IT-sikkerheds- og it-emner, der er mest relevante for din organisation, og derefter opbygge et awareness-træningsprogram omkring dem. Såsom hvilken slags organisation er du? Og hvilke udfordringer møder dine medarbejdere fra dag til dag? Hvad er målet med awareness-træningen og hvordan når du det? 

Sæt mål for programmet for at bestemme dit fokus 

Forventningsafstem målet med din awareness-træning. Du bør sætte mål for træningen for at bestemme dit fokus. Hvad vil du forbedre i din organisation? Her er et par eksempler til at hjælpe dig med at bestemme dit fokus. 

  • At opnå GDPR-compliance 
  • Gennemsigtighed ift. sikkerhedsrisici 
  • En ændring i organisationskulturen, når det kommer til IT 
  • Bliv mindre sårbar over for hacking forsøg/malware/phishing-angreb 

Typiske problemer med awareness-træning uden fokus 

Hvis du ikke tilpasser programindholdet til din organisations behov, kan du stå over for disse almindelige problemer under awareness-træningen 

  • Dine medarbejdere forstår ikke værdien og formålet med awareness-træningen og mangler motivation 
  • Awareness-træningsprogrammet er tidskrævende og vanskeligt. Det fører til, at awareness-træningen bliver nedprioriteret 
  • Awareness-træningen behandles som noget, der bare skal krydses af, i stedet for en ændring af IT-sikkerhedskulturen 
  • Awareness-træningen er uregelmæssig og glemmes hurtigt, når den er færdig 

Lad os nu tale om, hvordan du bedst implementerer awareness-træning i din organisation, så du undgår disse fejl og kan få succes med din awareness-træning 

Gør det let 

Hold det simpelt. Awareness-træning skal være tilgængelig og egnet for alle medarbejdere i hele din organisation. Du behøver ikke at forklare alle de tekniske dele af et phishing-kit eller de tekniske detaljer om, hvordan ransomware fungerer. Du skal have indhold, som alle kan forstå. Let sprog, eksempler og relevante kurser. 

Gør det kort 

Tid er penge. Awareness-træning bør ikke være unødigt lang. Vil du hellere lave en quiz, der tager 5-10 minutter eller læse mere end 100 sider om IT-sikkerhed? At holde træningen kort og enkel gør det mere mindeværdigt for dine medarbejderne. Medarbejderne kan endda opfatte træningen som en sjov og produktiv afvigelse fra den almindelige arbejdsdag. 

Plakater 

Awareness-træning behøver ikke at være noget stort. Det kunne være en simpel ting såsom plakater, der styrker din organisations syn på IT-sikkerhedskultur. Plakater er en omkostningseffektiv metode til at opnå stærk IT-sikkerhed på, de har en stor indflydelse på din IT-sikkerhedskultur, da de tjener som påmindelser. At have plakater rundt omkring i din organisation kræver ikke meget indsats, men de formidler vigtige budskaber på en enkel måde 

Du kan se og downloade vores gratis GDPR- og IT-sikkerhedsplakater her. 

E-læring vs. Traditionel undervisning

Både traditionel undervisning og e-læring har sine fordele. 

Traditionel læring har den fordel, at hele dit hold samles fysisk i et par timer. Det kan være meget engagerende, da dine medarbejdere kan stille spørgsmål til læreren/eksperten direkte, men antallet af medarbejdere i klasseværelset kan potentielt være for stort, og gruppediskussioner kan risikere at blive til monologer. 

E-læring er meget mere fleksibel end traditionel læring. Det giver dine medarbejdere adgang til en online platform til at lære på, når de vil/har tid til det. Det engagerer og motiverer dine medarbejdere via interaktive værktøjer på en løbende basis. E-læring er også mere omkostningseffektiv end traditionel læring. Det har også en ansvarlighedsfaktor, og du kan spore dine medarbejderes fremskridt ift. at gennemføre kurserne. Du kan læse mere om vellykket online læring på vores blog.  

Kontinuerlig læring 

Så hvad er kontinuerlig læring? Det er processen med at lære nye færdigheder og viden på en løbende basis. Omfavn derfor en kontinuerlig læringsstrategi og gør brug af awareness-træning løbende, så medarbejder holdes opdateret på de nyeste former for IT-angreb. 

Awareness-træning der er baseret på kontinuerlig læring og som er let at fordøje, vil hjælpe med at styrke din organisations niveau af it-sikkerhed. Hvis dit hold kun modtager træning én gang og så glemmer det kort efter, har du ikke gjort store fremskridt. Derfor skal din awareness-træning være en kontinuerlig læringsproces, så hele dit hold kan se fordelene ved træningen løbende.


Vores undersøgelser viser også, at kontinuerlig læring virker. Efter kontinuerligt, at være en del af CyberPilots awareness-træning og phishing-tests, brugere har reduceret deres fejl med 50% under simuleret phishing-angreb. Grafikken herunder viser, hvor effektivt det kan være, at foretage træningen regelmæssigt.

Phishing effect

Hvor ofte bør du foretage awareness-træning? 

Awareness-træningen skal være så ofte, at dine medarbejdere husker sikker praksis, men ikke så ofte, at det bliver en belastning. Du skal ikke presse dine medarbejdere til at lave alle kurser på én gang, men i stedet dele træningen op over en længere periode. Ved at dele træningen op over en længere periode, vil det give dine medarbejdere tid til at reflektere over træningen samt slappe af. Et månedligt program kunne være en god idé eller hver anden måned. Du bør derfor identificere den træningsintensitet, der passer til din organisations behov. 

Vi har lavet en anbefalet kursusplan for at give dig lidt inspiration til, hvordan du strukturerer din awareness-træning. 

Så nu ved du, at awareness-træning ikke bare er et flueben, der skal krydses af, men en kontinuerlig proces. Den skal struktureres og tilpasses til dine medarbejdere og din organisation, så du får det maksimale ud af det. 

Hvis du vil vide mere om, hvordan du implementerer awareness-træning ordentlig, kan du læse om vores 11 råd til hvordan du lykkedes med awareness-træning 

Hvordan man måler effekten af awareness-træning 

Der er mange måder at måle effektiviteten af awareness-træning på, og der er mange facetter, når det kommer til IT og sikkerhed. Du bør derfor sikre dig, at du taler med dine medarbejdere om deres tilfredshed med awareness-træningen og den måde, de kommunikerer sikkerhedsbrud på. 

Kig tilbage på dine oprindelige mål, når du evaluerer programmets succes. I hvilket omfang har du opnået eller forbedret dem? 

Hver organisation er forskellig 

Der er mange måder at måle effekten af awareness-træning på. Hvordan din organisation måler effekten af træningen på dine medarbejdere, afhænger også af, hvilken slags organisation du er, størrelsen på din organisation, samt målet med din awareness-træning. Du bør overvåge læringsaktiviteterne og bede dine medarbejdere om feedback. Du kan læse mere om, hvordan man måler effekten af awareness-træning på vores blog. 

Konklusion 

Vi håber, du har lært, hvad awarenes-træning er. Dit holds viden, adfærd og omhu er af afgørende betydning for din organisations IT-sikkerhed. Vi håber derfor, at du har lært om de ting, som awareness-træning omfatter, de forskellige måder du kan implementere awarenes-træning på i din organisation, samt hvordan du kan måle succesen af din awareness-træning. 

Pointen med dette blogindlæg er vigtigheden og den forskel, som awareness-træning kan gøre i din virksomhed. Forbedring af din organisations IT-sikkerhedskultur, opnåelse af et højere sikkerhedsniveau på tværs af hele din organisation, samt sikring af et stærkt fundament for overholdelse af GDPR. Der er mange forskellige måder, hvorpå awareness-træning kan udføres. Implementering af awareness-træning handler om at sætte de rigtige mål for din organisation og vurdere den bedste måde at gøre det på, uanset om det er online eller offline eller en blanding af begge. Awareness-træning er ikke kun noget for store organisationer. Både små og mellemstore organisationer kan også have stor gavn. 

Nogle organisationer laver deres egne awareness-træningsprogrammer, mens andre foretrækker at arbejde med en ekstern træningspartner. Der er fordele ved begge dele, og det er derfor vigtigt, at du overvejer den tid, det kan tage dig at udvikle, implementere og vedligeholde et træningsprogram, når du beslutter dig for, om du vil arbejde med en træningsudbyder eller ej. 

Du kan prøve vores awareness-træning gratis i 14 dage, hvis du er interesseret i at implementere awareness-træning i din organisation