11 Råd For Økt Bevissthet Om IT-sikkerhet i Din Bedrift

Ismail Özkan
By: Ismail Özkan Bevissthetstrening | 1 august

Security awareness training, eller bevissthetstrening, er en viktig del av bedrifters IT-strategi. Det er fordi de ansatte enten kan være bedriftens største IT-sikkerhetsrisiko, eller dens beste forsvar. En av de beste måtene å styrke IT-sikkerheten i din bedrift er å skape et høyt bevissthetsnivå blant dine ansatte. Men, opplæring i IT-sikkerhet kan fort bli sett på som en byrde. I dette blogginnlegget deler vi tips til hvordan du skaper et treningsprogram i IT-sikkerhet som faktisk funker – det vil si et program som engasjerer de ansatte og bidrar til langsiktig læring.  

 

Hvorfor burde de ansatte bli bevisste om IT-sikkerhet?

De fleste sikkerhetsbrudd skyldes ikke tekniske problemer, men menneskelige feil. Cyberkriminelle er klar over mangelen på bevissthet blant ansatte, og de går derfor spesifikt etter de ansatte for å få adgang til bedrifters IT-systemer eller sensitive opplysninger. Men – de ansatte kan også være bedriftens beste forsvar mot digitale angrep, og det er her bevissthetstrening kommer inn i bildet. Med bevissthetstrening kan du fremme gode sikkerhetsvaner på arbeidsplassen, og lære dine ansatte å gjenkjenne potensielle trusler. Bevissthetstrening er også viktig for å overholde personvernsforordningen (GDPR). 

Trening reduserer også sannsynligheten for menneskelige feil. Undersøkelser vi har gjort viser at brukerne våre begikk halvparten så mange feil under simulerte phishing-angrep etter å ha mottatt jevnlig bevissthetstrening og phishing-trening.

Phishing effect

 

Men, hvordan lykkes du med bevissthetstrening? 

Det finnes mange forskjellige former for bevissthetstrening. Noen velger å gjennomføre lange seminarer for hele bedriften en gang om året, noen forbereder en stor bunke dokumenter som de ansatte skal lese gjennom, og andre sender kanskje en liten gruppe ansatte på et kurs og forventer deretter at de kan lære bort det de har lært til resten av bedriften.  

Men, det er flere årsaker til at det kan være vanskelig å lykkes med bevissthetstrening. Undervisningen kan for eksempel bli kjedelig og tung, de ansatte kan glemme det de har lært, og det kan være vanskelig å si hvorvidt man lyktes med bevissthetstreningen eller ikke. I denne artikkelen har vi oppsummert vår erfaring med å tilby bevissthetstrening i 11 konkrete råd som du kan bruke til å lage den beste bevissthetstreningen for dine ansatte og øke bedriftens IT-sikkerhet.  

Smart CTA_e-book NO

#1: Start med å få de ansatte om bord 

Det første steget for å skape en effektiv bevissthetstrening og for å øke bevisstheten om IT-sikkerhet, er å få dine ansatte til å bry seg om prosessen. For at de ansatte skal støtte treningen kan det være nyttig å starte med å forklare hvorfor treningen er verdifull, og ikke bare et gjøremål man skal få unnagjort. Hvis ditt team forstår hensikten med treningen, vil de være mer engasjerte i å forbedre sikkerhetskulturen i bedriften. Det vil også være mer sannsynlig at de husker og bruker det de har lært, hvilket er hele poenget! 

 

#2: Involver hele bedriften i bevissthetstreningen  

Det burde ikke kun være IT-avdelingen som oppfordrer de ansatte til å gjennomføre sikkerhetstreningen. For å få til en vellykket bevissthetstrening er det viktig at den fremmes av ledelsen også gjennom hele prosessen.  

Uten tilstrekkelig støtte og oppfordring fra ledelsen, vil teamet ditt sannsynligvis ikke være motivert til å finne og sette av tid til bevissthetstreningen, og de vil kanskje ha forbehold mot å gjennomføre kursene.  

Det å få lederne og resten av bestyrelsen i selskapet til å promotere IT-sikkerhetstreningen, vil vise de ansatte at alle er ansvarlige for å skape en sikker bedrift – ikke bare sikkerhets- eller IT-avdelingen. Det kan også oppfordre til åpen kommunikasjon rundt treningen og andre emner innen IT-sikkerhet. 

 

#3: Vis at IT-sikkerhet er viktig både på arbeid og privat 

Alle bryr seg mer om ting som kan påvirke dem personlig. Derfor anbefaler vi sikkerhetstreningsprogrammer som lærer bort hvorfor god sikkerhetskultur er viktig både hjemme og på arbeidsplassen.  

Siden persondatabrudd kan påvirke både de ansatte og bedriften negativt, kan det å vise dine ansatte hva de personlig risikerer ved et databrudd få dem til å ta treningen mer seriøst.  

Det å snakke om det personlige aspektet av datasikkerhet trener også dine ansatte i å jevnlig praktisere god netthygiene, både hjemme og på jobb. Disse gode vanene vil dermed bli standard praksis i livene deres, og ikke bare noe de må huske på når de er på jobb.  

 

#4: Hold det enkelt 

Et av våre viktigste tips for vellykket bevissthetstrening er å gjøre innholdet relaterbart og lett å forstå. Husk at de fleste av dine ansatte ikke har teknisk bakgrunn, og at det er lett å bli demotivert hvis man må slå opp annethvert ord.  

Avansert fagspråk kan få de ansatte til å føle seg enda mer distansert fra IT-sikkerhetsverdenen. Hvis de ikke forstår hva risikoene er, vil de ikke være i stand til å beskytte seg selv eller selskapet mot trusler.  

Når du forklarer emner, burde du altså bruke et normalt språk – tenk deg at det du skriver skal kunne sies muntlig. Det vil øke læringsutbyttet og gjøre dine ansatte mer entusiastiske til å delta i sikkerhetstreningen, hvilket vil føre til et vellykket treningsprogram over lengre sikt. 

Husk også at du ikke trenger å dekke alt innenfor ett emne i én leksjon. Ved å dele opp leksjonene i mindre deler, kan du utvide dine ansattes kunnskap over tid, uten å overbelaste dem med informasjon.  

 

#5: Bryt treningen opp i mindre deler

Fra passord til phishing-angrep, og fra GDPR til sosial manipulering – det er mye å lære om IT-sikkerhet! Men, det er umulig for dine ansatte å lese, fordøye og huske all den informasjonen på en gang.  

Man kan ikke gi noen alle bøkene i Harry Potter-serien, og forvente at de skal lese dem i løpet av en dag og deretter huske hele handlingen.  

Derfor burde IT-sikkerhetstrening gis i mindre deler, over en lengre periode. Da gir du dine ansatte tid til å reflektere, øve og puste, mens IT-sikkerhet blir holdt på agendaen over lengre tid. Vi anbefaler korte treningsleksjoner på 5-10 minutter.  

En treningsplan kan se ut som bildet nedenfor, som viser en blanding av kurs i IT-sikkerhet og GDPR fra vår egen katalog.   

kurskalender for bevissthetstrening

 

#6: Ha relevant innhold

Bevissthetstreningen burde passe for alle de ansatte i alle avdelinger i selskapet ditt. Du trenger ikke å forklare tekniske detaljer om hvordan datamaskiner fungerer eller dykke ned i IT-sikkerhetslovverket; du trenger kun å lage innhold som kan forstås av alle. Da kan de ansatte sitte igjen med en følelse av trygghet, og ikke fortvilelse, etter endt trening.  
Forsøk å lage kurs som er både læringsrike og underholdende, og som er skreddersydd de ansatte, ikke IT-avdelingen. For å unngå at noen kjeder seg når de gjennomfører kursene kan du bruke dagsaktuelle eksempler til å klargjøre konsepter og vise hvordan sikkerhetsfeil forekommer. Enkelt, lett forståelig innhold fungerer også bra.  

Bildet nedenfor viser to eksempler på hvordan man kan forklare hva et løspengevirus er: 

eksempel på god sikkerhetstrening om løspengeviruseksempel på dårlig sikkerhetstrening om løspengevirus

Hvilken av tekstene ville du foretrukket å lese? 

 

#7: Gjør treningen interaktiv 

En enkel måte å holde bevissthetstreningen interessant på er ved å inkludere interaktive elementer. Du kan for eksempel gi dine ansatte en kort quiz i hovedpunktene fra kurset etter treningen. En slik quiz tjener flere formål: den holder dine ansatte engasjert i sikkerhetstreningen, og den gjør det mulig for deg å måle læringsutbyttet deres. Interaktive metoder sikrer at dine ansatte forblir aktive deltakere i ditt treningsprogram om IT-sikkerhet. Jo mer dine ansatte deltar i læringsprosessen, jo mer vil de forstå den viktige rollen de har i å holde bedriften trygg.

 

#8: Det skal være lettvint 

Bevissthetstreningen er en ekstra oppgave som du ber dine ansatte utføre. Derfor burde de ikke måtte bruke tid på å finne ut av hvor treningen ligger eller hvordan man får tilgang til den.  

Det er ofte hjelpsomt å lage en ressursbank for bevissthetstreningen, kanskje i en delt mappe eller på en plattform som dine ansatte har tilgang på. Her kan dine ansatte finne alt det gode innholdet du har om IT-sikkerhet.  

Du kan også gjøre treningen mer lettvint for dine ansatte ved å sende dem en e-post med link til den spesifikke treningen du vil at de skal gjennomføre. 

Det å gjøre treningen lett å gjennomføre er ikke et stort tiltak, men det vil øke deltakelsen i treningsprogrammet ditt om IT-sikkerhet, og det vil vise dine ansatte at du verdsetter tiden deres.  

 

#9: Bruk varierte læringsmetoder 

Bevissthetstrening er en løpende prosess. Det er viktig å bruke forskjellige læringsmetoder for å holde dine ansatte engasjerte.  

I tillegg kan til små e-læringskurs, kan du f.eks. bruke videoer til å illustrere eksempler, interaktive lysbilder til å forklare konsepter og quizzer til å teste kunnskapen til dine ansatte.  

Du kan også holde sikkerhet friskt i minne ved hjelp av ekte phishing-simuleringer eller ved å henge plakater eller infografikk opp på kontoret.  

Disse kontaktpunktene vil gjøre det morsommere for dine ansatte å jobbe med og opprettholde bevisstheten deres om IT-sikkerhet. Det er mange måter å skape og vedlikeholde bevissthet på – kun fantasien din setter grenser.  

 

#10: Tilby kontinuerlig læring  

Det viktigste å huske fra denne artikkelen er at bevissthetstrening ikke er et engangsprosjekt, men en vedvarende innsats. Treningen burde bli tilpasset, overvåket og skreddersydd underveis etter behovene til din bedrift og dine ansatte.  

Selv om treningen burde være kontinuerlig, bør du unngå å vise de samme videoene og gi de samme presentasjonene år etter år. Da vil de ansatte fort kjede seg! Du burde i stedet variere det du lærer bort i bevissthetstreningen. Vår kurskatalog har flere eksempler på forskjellige emner du kan opplære bedriften din i over tid. Det vil alltid være nye eksempler eller historier fra virkeligheten som du kan inkludere i treningen. Dette er viktig, for de cyberkriminelle tilpasser seg også. Sikkerhetstrening fra et par år tilbake vil simpelthen ikke være tilstrekkelig for årene som kommer.  

Nye ansatte trenger også trening! 

Det er viktig at prinsippet om kontinuerlig trening også gjelder for dine nye ansatte, siden de er de mest sårbare for angrep. Nye ansatte kan være den største risikoen, da de ikke er kjent med hvilke typer e-poster det er normalt å motta i bedriften, og de vil gjerne gjøre et godt førsteinntrykk. Derfor kan de være litt for raske til å åpne en phishing-e-post fra en «kollega» som ber om en tjeneste som haster. Pass på at du finner en god balanse mellom det å holde de nye ansatte oppdatert på sikkerhetstreningen, og å lage nye treningsopplegg for resten av selskapet.  

 

#11: Følg opp dine ansatte 

Når du har innført sikkerhetstreningen, bør du jevnlig overvåke fremgangen til dine ansatte, slik at du kan måle hvor effektiv treningen er.  

Prøv å få tilbakemeldinger fra de ansatte om kursene og den overordnete bevissthetstreningen. Hva likte de ansatte med kursene, og hva likte de ikke? Bevissthetstrening i IT-sikkerhet burde være verdifullt og nyttig for dine ansatte. Hvis teamet ditt ikke liker treningen, vil det kunne ses på resultatene.  

Bevissthetstrening er en dynamisk prosess – du burde prøve å lære fra teamet ditt og justere treningen deretter. Hvis dine ansatte ikke tar kursene, hva skyldes det? Trenger de mer tid på å gjennomføre dem? Burde innholdet skreddersys enda mer? Du bør prøve å finne ut årsakene bak, slik at du kan løse problemene. Sørg for at bevissthetstrening er gøy og noe dine ansatte har lyst til! 

 

Trenger du hjelp med din bevissthetstrening? 

Å kontinuerlig tilby opplæring i IT-sikkerhet kan ta mye tid, derfor velger noen å samarbeide med en profesjonell tilbyder av sikkerhetstrening. Digitale kurs kan hjelpe deg med å opplære dine ansatte uten at du selv må bruke for mye tid og krefter på å utvikle nytt treningsmateriale. Slik e-læring er populært, siden det krever mindre koordinering enn fysisk trening og gjør at folk kan gjennomføre treningen når det passer dem.  

Vi håper at rådene i denne artikkelen hjelper deg med å oppnå dine sikkerhetstreningsmål. Du er velkommen til å kontakte vårt ekspertteam hvis det er noe vi kan hjelpe med.