Hackere målretter deres angreb imod mennesker, ikke computere. De forsøger at udnytte folks adfærd, da mennesker ofte laver svage passwords, deler loginoplysninger med hinanden, downloader usikre programmer og meget mere. Ansatte er derfor en af de vigtigste roller, når det kommer til at sikre persondata og ens it-systemer. Derfor bruger mange virksomheder awareness-træning for at beskytte deres data og være compliant med GDPR.
Men hvor effektivt er awareness-træning egentlig? I dette blogpost vil vi dykke ned i konkrete tips til, hvordan du kan måle effekten af awareness-træningen i din virksomhed. Vi vil også vise, hvordan vi forsøger at måle effekten og hvilke resultater vi ser.
Virker awareness-træning? Videnskaben siger ja!
I en undersøgelse med 2900 medarbejdere havde man implementeret awareness-træning om IT-sikkerhed, hvilket inkluderede kurser om passwords. Blandt 190 tilfældigt udvalgte ansatte kunne man se, at 114 af dem overholdt både politikken for passwords samt de øvrige sikkerhedspolitikker og -procedurer.
Derudover blev der udført en detaljeret statistisk analyse af sikkerhedsniveauet og styrken af passwords. Resultatet af den tekniske gennemgang af passwords viste, at målsætningerne for højere sikkerhed var blevet nået – de overgik endda kontrollanternes forventninger. Resultaterne viste, at brugen af svage passwords før awareness-træningen lå på 35,6%. Efter et års træning var tallet faldet til 6,9%. Dette tal oversteg virksomhedens forventninger og målsætninger. Selvom det måske ikke er muligt for din virksomhed at kontrollere styrken af alle ansattes passwords, er der mange andre måder, hvorpå du kan forsøge at måle effekten af awareness-træning.
Det skal sige, at målingen af passwords styrke selvfølgelig kun er én ud af mange måder hvorpå du kan se, om awareness-træningen har været effektiv. I sidste ende har træningen mange facetter og emner såsom de ansattes tilfredshed med træningen og deres kommunikation omkring sikkerhedsbrud, blot for at nævne nogle få.
Effekten af e-læring
I løbet af det seneste årtis tid er udvalget af e-læring vokset betydeligt, og i dag kan man tage e-kurser i alt – lige fra at tage en universitetsuddannelse til at lære at spille guitar. Det er praktisk, for det betyder, at mange mennesker kan blive undervist når som helst og hvor som helst. E-læring er dog ikke altid den mest effektive undervisningsform. Dette har to hovedårsager:
-
Visse færdigheder kræver fysisk undervisning med praktisk øvelse væk fra computerskærmen, og
-
mange udbydere af e-undervisning kopierer desværre fysisk undervisning direkte til digitalt format, hvilket ikke passer til formatet og derfor ikke er effektivt
Når man lærer at spille guitar, kan alle lære teorien og de basale færdigheder gennem e-læring. Men i takt med at eleven bliver dygtigere, vil det klart være en fordel, hvis læreren sidder ved siden af vedkommende og kan give mere personlig vejledning ud fra elevens styrker og svagheder.
Det er vigtigt at understrege, at awareness ikke er det samme som uddannelse. Awareness betyder blot, at man er opmærksom på en bestemt problemstilling, mens uddannelse antyder, at man træner deciderede kompetencer til at håndtere en lang række situationer. Formålet med awareness-træning er hovedsageligt at hjælpe med at opretholde det rette fokus og derved hjælpe med at undgå fejltagelser. IT-kompetencer er et bredere område som awareness-træning kun er en del af.
Sådan kan effekten af awareness-træning måles
Når man starter et nyt projekt op, er det altid en god idé at måle den effekt, det har på din virksomhed. Hvordan ved du ellers om dit arbejde har båret frugt?
I dette afsnit gennemgår vi et par måder, hvorpå du kan måle effekten af awareness-træning.
Det er dog vigtigt at være opmærksom på, at målingen af awareness-træningens effekt afhænger af din virksomheds målsætninger og kontekst. Her er et par tanker til hvad ens mål kan være:
-
Er målet er blive GDPR-compliant?
-
Er målet at få gennemsigtighed og åben kommunikation om sikkerhedsbrud i ens virksomhed?
-
Er målet at ændre ens medarbejderes adfærd, når de arbejder online?
-
Er målet at ændre kulturen på ens hold, når det kommer til arbejdet med IT?
-
Er målet er blive mindre sårbar over for phishing-angreb / hacking-angreb / malware-angreb?
Andre parametre, såsom din virksomheds størrelse og erfaring inden for IT, er også med til at bestemme hvordan virksomheden vælger at måle effekten. Vi anbefaler, at man bruger cyklussen Plan-Do-Check-Act (PDCA) til at etablere en proces for at få en effektiv informationssikerhed.
Overvåg træningen
Første skridt for at måle effekten af awareness-træningen er at overveje følgende punkter:
-
Hvor mange personer deltager i og gennemfører awareness-træningen?
-
Gennemfører de læringsmodulerne inden for få dage efter, at de har modtaget dem, eller udskyder de dem længe?
-
Mister folk interesse i awareness-træningen med tiden?
På vores security-platform kan du hurtigt få et overblik over jeres awareness-træning. Men du får dog ikke det fulde perspektiv blot ved at se på tallene. Vi anbefaler, at du kombinerer indsigterne fra vores sikkerhedsportal med en eller flere af de nedenstående metoder til måling af effekten.
Spørg ind til kollegaers feedback og tilfredshed
Når alle sidder begravet i deres daglige opgaver, møder og tidsfrister, er det fristende at prøve at undgå at tale direkte med ens hold om awareness-træningen, da man ikke vil forstyrre og tage deres tid. Men selvom det kræver en indsats at bede om feedback, så vil den indsigt, du får ud af det, være det hele værd, og det behøver ikke at være så svært.
Her er nogle af de spørgsmål du kan stille dine kollegaer:
-
Har de tid til at gennemføre awareness-træningen i deres daglige arbejde?
-
Har de en bedre forståelse af koncepterne inden for IT-sikkerhed?
-
Føler de, at de er bedre rustet til at stå i nye situationer, f.eks. når de håndterer personlige data?
-
Ved de hvem de skal kontakte i tilfælde af sikkerhedsbrud eller phishingangreb?
En metode, som man kan bruge er, at sende et spørgeskema ud for at få ens ansattes feedback. På den måde har du chance for at få så mange svar som muligt. Vi har en skabelon, som du kan downloade her.
Vi har bedt om feedback fra nogle brugerne af CyberPilots awareness-træning. 849 brugere* besvarede vores spørgeskema, og de sagde følgende.
Vi anbefaler også, at man taler med sine medarbejdere over en hurtig kop kaffe eller et kort online opkald for at høre, hvad de synes om awareness-træningen. Du kan lære ting, som du ikke vidste, at du ikke vidste.
Phishing-træning kan bruges til at måle effekt af awareness-træning
Phishing er en af de største trusler inden for it-sikkerhed, især fordi it-kriminelle bliver bedre og bedre til at udvælge og narre os. Én måde hvorpå du kan måle effekten af awareness-træning er at måle, hvor godt forberedt dit team er på phishing. Det kan gøres ved udsætte dem for phishing-simulationer gennem phishing-træning. Hvis man både laver en phishing-simulation før og efter Awareness-træning, kan man sammenligne resultatet.
Vi laver phishing-kampagner for virksomheder, hvor vi sender falske mails til deres medarbejdere. Kampagnerne sendes ud som e-mails og har ofte et lokkende emne, som opfordrer de ansatte til at klikke på et link. Når de har åbnet linket, vil de blive bedt om at ”logge ind” for at få adgang til oplysningerne. Det er sådan it-kriminelle får e-mailadresser og passwords, som giver dem adgang til virksomhedens systemer. For at måle hvor godt forberedt dine ansatte er, kan du se på nedenstående resultater:
-
Om e-mailen er åbnet. Dette er som regel ikke farligt i sig selv
-
Om links er blevet klikket på
-
Om der bliver indsendt data i form af loginoplysninger på den efterfølgende landingsside
I vores phishing-case (kan hentes på denne side) kan man se, hvordan medarbejdere har klaret sig mod vores phishing-mails. Spoiler: ud fra vores undersøgelser er medarbejdere meget mindre tilbøjelige til at oplyse deres personlige data efter at have deltaget i awareness-træning.
Det er en stor forbedring! Du kan også se resultatet fra nogle af vores phishing-mails i dette blogpost.
Kommunikation om sikkerhedsbrud kan bruges som måling
Det er ikke kun vigtigt for dine medarbejdere at undgå trusler såsom phishing eller malware. De er også nødt til at fortælle deres kollegaer og den IT-ansvarlige om de sikkerhedshændelser, som de oplever. GDPR lægger vægt på vigtigheden af at dokumentere sikkerhedsbrud og hændelser. I denne dokumentation skal man uddybe, hvordan sikkerhedsbruddet blev rapporteret eller opdaget.
I forbindelse med vores awareness-træning gør vi det klart, at vi der er vigtigt, at medarbejdere føler sig trygge i at fortælle om sikkerhedshændelser, da det ikke gavner noget at holde hemmeligt.
Hvis du er databeskyttelsesansvarlig, og du ved med sikkerhed, at der er sket et data- eller sikkerhedsbrud, men ingen har gjort dig opmærksom på det, er du nødt til at adressere dette på en konstruktiv måde, så medarbejdere ikke bliver hængt ud. Man kan altså også måle awareness-træningens effekt på, hvor mange medarbejdere, der fortæller om sikkerhedshændelser. Har de set mistænkelige mails, har de oplevet persondata, der ikke blev håndteret ordentligt og lignende.
Her er et par ting du kan gøre og være opmærksom på, hvis du vil måle kommunikationen omkring sikkerhedsbrud i din virksomhed:
-
Før en logbog over de uformelle samtaler du har, via chat eller personligt, angående sikkerhed. Det behøver ikke at kræve den store indsats, men det er en god måde at huske dine samtaler på, så du kan reflektere over dem
-
Snakker medarbejdere generelt mere om sikkerhed?
-
Stiller folk spørgsmål når de er i tvivl?
Vi vil gerne høre fra dig
I dette blogindlæg har vi beskrevet de måder hvorpå, du kan måle effektiviteten af awareness-træning i din virksomhed. I den forbindelse har du måske talt med dit team om hvad de synes om vores awareness-træning. Er der noget vi kan gøre bedre? Er der noget der vil gøre jeres oplevelse bedre? Fortæl os om det på info@cyberpilot.io
Hvis du ikke har prøvet vores awareness-træning, så kan du prøve det gratis her.
