Det kan være en udfordring at planlægge awareness-træningen, - det er noget, vi hører hele tiden. Derfor har vi lavet en anbefalet kursusplan for det første år med awareness-træning. Uanset om du allerede er kunde hos CyberPilot eller bare ønsker at komme i gang med awareness-træning, håber vi, at du kan bruge vores vejledning.
Vores anbefalede plan er generelt anvendelig, men vi ved også, at nogle organisationer ønsker at sætte deres eget præg på den. Men hvordan gør man det på den rigtige måde? Hvilke elementer er nøglen til et vellykket awareness-træningsprogram, og hvilke elementer kan du frit lege med? I dette blogindlæg giver vi dig konkrete tips til, hvordan du laver en awareness-træningsplan, der passer specifikt til din organisation.
Vores anbefalede kursusplan for det første år med awareness-træning
Når du skal i gang med awareness-træning i din organisation, spekulerer du måske på, hvad du skal træne dine medarbejdere i, og hvornår. Det kan være en stor opgave at finde ud af den rigtige plan. Hos CyberPilot har vores eksperter i Learning Design lavet en anbefalet kursusplan for det første år med awareness-træning.
Planen begynder med vores startpakke, som giver viden om nogle af de vigtigste emner inden for IT-sikkerhed og GDPR. Derefter veksler vi de følgende måneder mellem vores ekspertanbefalede kurset og nye kurser, der udkommer hver anden måned.
Hvad er resultatet? En årsplan, der etablerer et grundlæggende niveau af viden om forskellige IT-sikkerheds- og databeskyttelsesemner.
Du skal i øvrigt ikke være bekymret, hvis du ikke allerede samarbejder med CyberPilot! Vi vil stadig gerne dele vores plan som inspirationskilde - og vi håber, at den kan hjælpe dig til dit eget arbejde. De kursusemner og den vejledning, vi giver omkring f.eks. hvor ofte man skal træne, kan give dig nogle ideer til at komme i gang, selvom du selv står for træningen.
Her er vores anbefalede plan for træning i sikkerhedsbevidsthed:
| Måned | Kurser |
|
Måned 1 Start pakke |
Awareness Introktion Phishing Person data Passwords |
| Måned 2 | Nyt kursus |
| Måned 3 | Beskyt din arbejdscomputer |
| Måned 4 | Nyt kursus |
| Måned 5 | Tage ansvar for person data |
| Måned 6 | Nyt kursus |
| Måned 7 | To-trins godkendelse |
| Måned 8 | Nyt kursus |
| Måned 9 | Sikkerhedsbrud |
| Måned 10 | Nyt kursus |
| Måned 11 | Opdateringer |
| Måned 12 | Nyt kursus |
Hvorfor virker vores plan
Vores anbefalede awareness-træningsplan understøttes af vores læringsfilosofi. Vi mener, at kontinuerlig træning over tid giver de bedste langsigtede resultater. Hvis du er nysgerrig, taler vi mere om dette i vores blogindlæg om mikrolæring.
At sprede træningen ud over en længere periode løser også udfordringen med at overvælde dine medarbejdere med for mange kurser på én gang. Gennem vores mangeårige erfaring med awareness-træning har vi lært, at det magiske antal kurser er 1-2 kurser enten hver måned eller hver anden måned. Den månedlige læring i vores anbefalede plan er med til at sikre, at IT-sikkerhed altid er på dagsordenen.
Vores plan fungerer også ved at give et grundlæggende kendskab til forskellige emner og derefter bygge videre på den viden over tid gennem gentagelser. Vi bygger elementer af gentagelse ind i alle vores kurser, så gode digitale vaner bliver en selvfølge for vores brugere.
Hvorfor vi anbefaler 1-2 kurser, hver til hver anden måned.
Vores kurser er designet til at tage cirka lige så lang tid, som det tager dig at drikke en kop kaffe (5-7 minutter). De er korte og præcise, fordi vi ønsker, at træningen skal føles som en lille, lærerig pause i arbejdsdagen.
Selvom det kan være fristende at sende alle kurserne ud på én gang og være færdig for en stund, anbefaler vi ikke at tage alle (eller mange) af dem på én gang. Det er der et par grunde til:
- Det eliminerer pointen med kontinuerlig awareness-træning, som er det, hele vores awareness-træning handler om.
- Vi mennesker har korte opmærksomhedsspænd og hukommelser. Det er sandsynligt, at mange medarbejdere et par uger efter træningen allerede har glemt noget af det, de har lært.
Hvis man i stedet tager kurser regelmæssigt i løbet af året, forbliver informationerne friske i alles bevidsthed, samtidig med at det er en overskuelig opgave for medarbejderne at gennemføre.
Det er meget mere værdifuldt for dine medarbejdere og din organisations sikkerhed at sprede awareness-træningen ud over tid.
Hvis du vil have noget specifikt tilpasset til din organisation
Vores anbefalede plan er designet til at være generelt anvendelig. Men vi ved, at vores kunder nogle gange gerne vil sætte sit eget præg på træningsplanen.
Derfor vil vi også nogle retningslinjer, som du kan følge, når du tilpasser vores plan, så den passer til din organisation. Uanset om du laver din træning fra bunden eller bruger vores kurser, kan vejledningen nedenfor hjælpe dig med at finde ud af, hvordan du laver en træningsplan, der fungerer for dig.
Hvad skal du overveje, når du laver en awareness-træningsplan?
Beslutningen om, hvilke kurser du vil sende til dine brugere, afhænger af et par ting:
- Hvor aktiv en rolle ønsker du at spille i udarbejdelsen af kursusplanen og håndplukningen af kurser? Måske vil du holde dig i baggrunden og bare automatisk tilmelde brugerne til vores nye kurser, der udkommer hver anden måned.
- Hvilke sikkerhedstrusler er der størst og mindst sandsynlighed for, at din virksomhed støder på? Hvis f.eks. fjernarbejde ikke er muligt i din organisation, kan du prioritere andre kurser.
- Hvor mange kurser ønsker du, at dine brugere skal have? Baseret på vores anbefaling om 1-2 kurser hver til hver anden måned, kan det være alt fra 6 kurser til 24 kurser om året - det er en stor forskel. At have et generelt tal i tankerne vil hjælpe dig med at planlægge træningen.
Nu hvor du har tænkt over disse spørgsmål, vil vi give dig vores tips til at designe din egen træningsplan til din awareness træning.
Generelle anbefalinger til udarbejdelse af en kursusplan
Hvis du vil lave din egen træningsplan til awarenss-træning, skal du begynde med at se på vores anbefalede plan og beslutte, om du vil tilføje kurser eller bytte kurser ud med andre i vores katalog. Hvis du ikke er kunde, skal du ikke bekymre dig! Vores kursus katalog og anbefalede kursusplan kan give dig ideer til, hvilke emner der er vigtige at dække, når du lige er kommet i gang. Og du kan prøve vores kurser gratis i 14 dage for at få en bedre idé om, hvordan vores træning fungerer.
Når du laver din egen plan, anbefaler vi, at du:
Planlægger fremad
Du bør planlægge mindst 6 måneder frem i tiden. Det vil hjælpe dig med at sprede kurserne ud på en gennemtænkt måde og spare dig for besværet med at skulle træffe store træningsbeslutninger hver måned. Det bør ikke tage for lang tid at planlægge - ikke mere end en time eller deromkring. Og hver gang du laver planen, bliver det nemmere, fordi du har en skabelon at bygge ud fra.
Overhold vores anbefalede kursusfrekvens
Selvom du ændrer, hvilke kurser du sender ud, anbefaler vi, at du holder kursusfrekvensen på 1-2 kurser hver måned eller hver anden måned. Den anbefalede frekvens giver dig et stort spillerum så du kan få det tilpasset til din organisation. Du kan sende 1 kursus ud hver anden måned, 2 kurser hver måned og alt derimellem.
Du kan se, at vores anbefalede plan sender et kursus ud om måneden. Vi har fundet ud af, at det er en god frekvens for de fleste organisationer, især fordi kurserne tager så kort tid at gennemføre. Du kan overveje at sende flere eller færre kurser ud end dette, afhængigt af f.eks. hvor opmærksom du mener, din organisation allerede er, deres skemaer/arbejdsbyrde og de sikkerhedsrisici, du ønsker at lære dem om med det samme.
Vi udgiver et nyt kursus hver anden måned, så det er en naturlig måde at opfylde vores anbefalede minimum på. Hvis du vil give din organisation mere awareness-træning, kan du parre dette nye kursus med op til 3 andre kurser i løbet af 2 måneder. Bare sørg for at:
- Vente mindst 2 uger mellem kurserne for at undgå redundans.
- Der ikke går 3 måneder uden at sende et kursus ud.
Du kan også afvige helt fra vores anbefaling, men vi kan ikke stå inde for resultaterne. Når det er sagt, så kender du din organisation bedst. Så du kan tilpasse vores anbefaling til dine behov og din organisationsstruktur. For eksempel er der måske nogle måneder, hvor dine kolleger har særligt travlt og kun skal have 1 kursus. Eller måske vil du planlægge, at de aldrig behøver at tage et kursus i juli, hvor mange mennesker er på ferie. Beslutningen er op til dig.
Balancere opbygning af awareness med dine medarbejdernes opgaver og opmærksomhed
Det er vigtigt at finde den rette træningsbalance, så medarbejderne gennemfører træningen og får noget ud af det. Hvis du sender for mange kurser ud for ofte, risikerer du at miste dine medarbejderes opmærksomhed og vilje til at gennemføre træningen. Hvis du ikke sender nok kurser ud, eller der går for lang tid mellem dem, risikerer du, at læringsmålene ikke sidder fast, som du gerne vil have dem, fordi påmindelserne kommer for spredt.
Det er noget, du bør tænke over, når du beslutter, hvor mange kurser dine medarbejdere skal tage hvert år.
Overvej din egen arbejdsbyrde
Hvis du er ansvarlig for uddannelsen, er du måske også bekymret for, hvor lang tid det vil tage dig at planlægge pensum og sende kurser ud. Du kender dig selv, og du ved, hvor meget tid du har til at dedikere til træningen.
Måske ønsker du en mindre hands-on tilgang. Så kan du automatisk sende vores nyeste kursus ud hver anden måned og ikke gøre andet. Måske vil du håndplukke kurset/kurserne hver gang, hvilket betyder, at du vil være mere involveret i at vælge, hvornår og hvilke kurser der sendes. Det er helt op til dig.
Giv plads til gentagelse af emner
Vores kurser er designet til at blive brugt løbende, så brugerne kan opbygge bevidsthed over tid. Gentagelser med mellemrum hjælper med at fastholde læring, og det er meget lettere at huske noget, hvis man hører det igen. Derfor har kurserne gentagelser, og det kan føles overflødigt at tage dem alle på én gang.
Vi anbefaler, at du spreder de kurser ud, som dækker det samme emne, ud over en længere periode i stedet for at samle dem. Det vil holde vigtige sikkerhedsemner i frisk erindring hos dine medarbejdere. Du bør også udsende en blanding af kurser om cybersikkerhed og GDPR-emner for at holde opmærksomheden høj året rundt.
Hvis du f.eks. kun taler om phishing i begyndelsen af året, kan din organisation allerede have glemt det et par måneder senere. Du kan endda få din organisation til at gentage gamle kurser efter behov med aktuelle begivenheder og sikkerhedsrisici.
Overvej at parre kurser der supplerer hinanden
Hvis du sender mere end ét kursus ud om måneden, kan det være nyttigt at sende supplerende kurser ud. Kig på kursuskataloget og overvej, om der er kurser, der vil være gode at parre sammen. Du kan f.eks. sende vores kurser om tofaktorgodkendelse og adgangskoder ud i samme periode, eller vores kurser om beskyttelse af din arbejdscomputer og mobilsikkerhed i samme periode.
Prioriter nye kurser, når det er muligt
Hvis det passer med dine træningsmål, er det en god idé at sende alle nye kurser ud, når vi udgiver dem (hver anden måned). Det kan du gøre ved at udfylde de mellemliggende måneder med et ældre kursus eller to. Vi anbefaler altid at sende vores nye kurser ud for at sikre, at din organisation er opdateret med de seneste sikkerhedsrisici derude.
En trin-for-trin-guide til at lave din egen plan for awareness-træning
Når du har tænkt over ovenstående emner, er du nu klar til at gå i gang med at lave din egen uddannelsesplan. Uanset om du er kunde hos CyberPilot eller ej, vil øvelsen hjælpe dig med at lave en træningsplan, der passer til din organisation. Så lad os komme i gang!
- Først skal du identificere smertepunkterne i din organisation - og være specifik.
- Brug vores anbefalede kursusplan som en guide.
- Hold frekvensen og antallet af kurser på samme niveau som den anbefalede kursusplan.
- Behold startpakken.
- Derudover kan du udskifte eller tilføje kurser, som du vil.
1. Identificer de vigtigste IT-sikkerhedsudfordringer
Først og fremmest skal du vide, hvad du forsøger at ændre. Du er nødt til at identificere de største problemer eller bekymringer i din organisation, som du ønsker, at awareness-træningen skal hjælpe med.
Hvad kæmper din organisation med i forhold til IT-sikkerhed eller persondata? Vær specifik. Er det papirarbejde med personlige data, der ligger på folks skriveborde, når de går til frokost? Bruger de ofte gratis Wi-Fi på deres arbejdsenheder, når de er ude at rejse?
Når du har et konkret overblik over, hvad du ønsker at løse, kan du vælge kurser, der dækker disse smertepunkter.
2. Brug vores anbefalede kursusplan for det første år som en guide
De vigtigste elementer i vores anbefalede plan for det første år er hyppigheden og antallet af kurser, du sender ud.
3. Beslut, hvor mange kurser du vil sende ud, og følg vores anbefaling
Vi anbefaler, at du udsender 1-2 kurser hver eller hveranden måned. Så du kan sende alt fra 6-24 kurser ud hvert år. Beslut dig for, hvor mange kurser du vil have dine brugere til at tage, og tag udgangspunkt i det.
4. Behold startpakken
Du kan udskifte andre kurser i vores anbefalede plan, men vi råder dig til at lade startpakken (Awareness Intro, Passwords, Phishing and Personal Data) stå urørt. Den er beregnet til at blive sendt ud som den første runde af kurser, så den er bevidst udvalgt af vores læringsdesigneksperter til at give din awareness-træning en stærk start. Du vil gerne have Awareness Intro til at sætte scenen for, hvad der vil ske, og hvorfor din organisation laver awareness-træning. De tre andre kurser er beregnet til at give en kort og præcis introduktion til tre af de mest grundlæggende søjler inden for IT-sikkerhed og persondata.
5. Tilpas din kursusplan til din organisations sikkerhedsprofil
I bund og grund står det dig frit for at udskifte eller tilføje kurser til vores anbefalede kursusplan. Du kender din organisation, og hvis du har identificeret nogle vigtige bekymringer i din organisation, som ikke er dækket nok i vores foreslåede plan, så er du velkommen til at lave en ny. Vi anbefaler, at du beholder den overordnede ramme (hyppighed og antal kurser) og startpakken, som den er, men derudover kan du helt sikkert lave din egen plan.
Afhængigt af om du vil tilmelde brugerne automatisk til et nyt kursus hver anden måned, vil du have flere eller færre kurser at vælge imellem til din organisation. Det er her, det er op til dig at beslutte, hvad din organisation kan få mest ud af, og hvor mange kurser du vil give dem.
Nogle eksempler på, hvilke kurser der skal byttes ud:
- Hvis din organisation har en anden udbyder af GDPR-relaterede emner, kan du udskifte GDPR-kurserne (f.eks. Protect Personal Data) fra CyberPilot og bruge nogle af vores andre kurser i stedet.
- Hvis du er el-udbyder og derfor en vigtig organisation for dit land, kan du måske bytte et af de anbefalede kurser ud med Ransomware-kurset.
- Hvis du kæmper med specifikke IT-sikkerhedsproblemer som sociale medier, så prioriter at sende Hacking on Social Media eller Posting Pictures and Videos Online.
Næste gang viser vi dig nogle eksempler på, hvordan en skræddersyet kursusplan kan se ud.
Eksempel #1: Skræddersyet plan til en virksomhed med fokus på følsomme data
Organisationen er lige begyndt på awareness-træning for første gang. Det er noget nyt, så IT-chefen ønsker ikke at overvælde sine brugere med en masse kurser, der skal gennemføres. De vil starte med at bruge den anbefalede plan med nogle små justeringer. Så de har besluttet at tage et kursus hver måned, inklusive CyberPilots nye kurser.
Organisationen er et lille advokatfirma, så de har naturligvis mange følsomme data. IT-chefen ønsker at fokusere træningen på de små ting, som medarbejderne skal gøre for at holde disse data så sikre som muligt. Her er en mulig plan for dem:
| Måned | Kurser |
|
Måned 1 Startpakke |
Awareness Introduktion Phishing Person data Passwords |
| Måned 2 | Pause (De har lige taget 4 kurser, så lad os tage en pause) |
| Måned 3 | Beskyt din arbejdscomputer |
| Måned 4 | Nyt kursus |
| Måned 5 | Hvordan man håndtere en phishing mail |
| Måned 6 | Nyt kursus |
| Måned 7 | To-trins godkendelse |
| Måned 8 | Nyt kursus |
| Måned 9 | Mobilsikkerhed |
| Måned 10 | Nyt kursus |
| Måned 11 | Opdateringer |
| Måned 12 | Nyt kursus |
Eksempel 2: Skræddersyet plan til et rekrutteringsfirma, der vil sikre sig, at vores nye kurser passer til deres uddannelsesprioriteter
Den IT-ansvarlige i denne virksomhed kan se, at CyberPilot allerede har et bredt udvalg af kurser i vores katalog, og det vil de gerne udnytte fuldt ud! Derfor vælger de løbende, om de vil sende vores nyudgivne kurser ud, eller om noget fra kataloget passer bedre til den pågældende måned. For at gøre dette har de lavet en liste over prioriterede kurser fra kataloget, som de kan bytte et nyt kursus ud med, hvis de finder det passende.
De vil gerne sende to kurser ud hver anden måned. De er et rekrutteringsfirma, så det meste af deres arbejde foregår via e-mail, LinkedIn og video-/telefonopkald med kandidater. Det er de områder, de ønsker at fokusere mest på i deres træning.
| Måned | Kurser |
|
Måned 1 Startpakke |
Awareness Introduktion Phishing Person data Passwords |
| Måned 3 | Nyt kursus/kursus fra prioritetslisten Social Engineering |
| Måned 5 | Nyt kursus/kursus fra prioritetslisten Hvordan man håndtere en phishing mail |
| Måned 7 | Nyt kursus/kursus fra prioritetslisten To-trins godkendelse |
| Måned 9 | Nyt kursus/kursus fra prioritetslisten Mobilsikkerhed |
| Måned 11 | Nyt kursus/kursus fra prioritetslisten Videosikkerhed |
Liste over prioriterede kurser (hvis du ikke sender det nye kursus den måned):
- E-mail og personlige data
- Hacking på sociale medier
- At arbejde hjemmefra
- Telefonsvindel
Som konklusion
Det var vores anbefalede træningsplan for awareness-træning! Vi håber, at vores plan og vejledning til at lave din egen træningsplan hjælper dig med at få en idé om, hvilke emner der er vigtige at dække i træningen, hvor ofte du bør træne, og hvad du skal overveje, når du laver en træningsplan. Hvis du har spørgsmål, er du velkommen til at kontakte os på info@cyberpilot.io.
