5 Tips for å Lykkes Med Bevissthetstrening

Ismail Özkan
By: Ismail Özkan Bevissthetstrening | 7 desember

Bevissthetstrening er en viktig del av den totale IT-sikkerhetsstrategien til din organisasjon. De fleste sikkerhetsbrudd skyldes ikke tekniske problemer, men menneskelige feil. Cyberkriminelle vet at ansatte i generelt ikke er bevisste nok, og de jobber målrettet mot ansatte for å få tilgang til IT-systemene til en organisasjons, eller for å stjele sensitiv informasjon. Men, på den andre siden kan dine ansatte også være ditt sterkeste forsvar mot cyberangrep. Det er her bevissthetstrening kommer inn – et av dine viktigste verktøy for å styrke organisasjonens IT-sikkerhet er å sørge for at dine ansatte har en høy grad av bevissthet.

 

Men hvordan lykkes du med bevissthetstrening?

Det finnes mange måter å skape bevissthet på. Noen velger å holde heldags-seminarer for alle ansatte en gang i året, mens noen produserer en lang rekke dokumenter, og andre sender kanskje en liten gruppe ansatte på et kurs og forventer at de skal lære opp de andre. Men det er ikke sjeldent at ansatte synes dette blir kjedelig, at de glemmer det de har lært eller at ledelsen kan være usikre på om opplæringen har vært vellykket eller ikke. I denne artikkelen byr vi på 5 konkrete tips som vi har utarbeidet basert på vår lange erfaring med bevissthetstrening. Du kan bruke disse til å forbedre ditt arbeid med IT-sikkerhet i din organisasjon.

Smart CTA_e-book NO

#1: Skap relevant innhold

Opplæringen bør passe alle ansatte i alle avdelinger i organisasjonen din. Du behøver ikke å forklare tekniske detaljer om hvordan datamaskiner fungerer, eller gå dypt inn i regler om informasjonssikkerhet. Du trenger bare å skape innhold som alle ansatte på alle nivåer i organisasjonen din kan forstå. Innholdet må være relevant for arbeidet og den tekniske ekspertisen de har – cybersikkerhet bør ikke være et komplisert tema for dine ansatte, men noe de føler at de forstår.

Prøv å lage kurs som er både lærerike og underholdende. Bruk eksempler for å klargjøre konsepter, og bruk et hverdagslig språk når du forklarer konseptene. Skap kurs som er relevante for de ansatte, ikke for IT-avdelingen din. De ansatte må ikke kjede seg når de tar kursene, de må kunne være interesserte i innholdet. En måte å oppnå dette på er å lage innhold de enkelt kan forstå.

Ett eksempel kan være hvordan man velger å forklare hva et «ransomware-angrep» er, som i bildet under:

ransomware-do-NOransomware-dont-NO

Hvilken måte å forklare ransomware på hadde du foretrukket?

 

 

#2: Del det hele opp i mindre biter

Fra passord til phishing-angrep, og fra GDPR til sosial manipulering – cybersikkerhet er et stort tema. Det er ikke mulig for dine ansatte å ta inn for seg alt dette på en gang – du må skape bevissthet litt om gangen. 

Du kan altså ikke gi de ansatte hele Harry Potter-serien og forvente at de skal lære alt utenatt med det samme.

Derfor bør bevissthetstreningen ta for seg ulike temaer litt om gangen og det bør fordeles over tid – dette kalles mikro-læring.

På denne måten gir du ikke bare dine ansatte  tid til å reflektere, øve og puste, men du vil også sikre at cybersikkerhet står på agendaen i lengre tid. Om du velger å holde et kurs hver måned eller annenhver måned er opp til deg. Du må finne ut av hyppigheten til kursene basert på dine behov og hvor viktig emnet du dekker er for deg. 

Nedenfor er et eksempel på en opplæringsplan, som består av kurs fra vårt eget utvalg. Det er en blanding av kurs om IT-sikkerhet og GDPR, samt faktisk simulering:

kalender-blogpostmateriale-NO

#3: Kommuniser tydelig

Bevissthetstreningen bør ikke være et prosjekt som ansees å være noe IT-avdelingen har funnet på og som de maser på ansatte om å følge. For å lykkes med bevissthetstreningen må det være støtte og tilslutning fra toppledelsen under hele prosessen.

Uten at toppledelsen aktivt støtter bevissthetstreningen er det ikke sannsynlig at dine ansatte vil være motivert til å sette av tid til treningen, og de vil mest sannsynlig ha reservasjoner mot å delta i treningen.

Sørg for at du har støtte for prosjektet ditt fra toppledelsen, og kommuniser godt med ansatte om hvorfor de skal delta i denne treningen helt fra starten.

For å gjøre dette er det viktig at du og dine ansatte forstår hvorfor din organisasjon trenger bevissthetstrening. Du må forsøke å gjøre opplæringen interessant og noe som dine ansatte faktisk får verdi av å delta på. På denne måten forsøker du å gjøre opplegget til noe dine ansatte ønsker å delta på, istedenfor noe som det er påkrevd at de må gjøre.

Les mer: Slik lager du en IT-sikkerhetspolicy – trinn-for-trinn veiledning med gratis mal.

Smart CTA IT-security-policy NO

#4: Benytt ulike læringsmetoder

Du har fått støtte fra toppledelsen for bevissthetstreningen din, du har kommunisert det til de ansatte, delt opplæringen opp i mindre stykker og gjort det relevant for alle. 

Så hva nå? 

Vel, du er ikke ferdig. Du har faktisk så vidt begynt. 

Bevissthetstrening er en kontinuerlig prosess. Det er viktig å skape bevissthet rundt IT-sikkerhet blant de ansatte, men det er minst like viktig å opprettholde denne bevisstheten også. For å få til dette bør du vurdere å bruke en variasjon av læringsmetoder. Små e-læringskurs er en god ide, men du bør støtte dem med andre læringsformer for å holde bevisstheten oppe. 

Bruk ulike former for kommunikasjon for å formidle læringsinnholdet til dine ansatte. Du kan for eksempel bruke videoer som demonstrerer eksempler, interaktive lysbilder som er både morsomt og som forklarer konsepter på en enkel måte og quizzer som utfordrer dine ansatte i å teste seg selv i det de har lært.

Skap så mange “touchpoints” som mulig for å minne dine ansatte på det de har lært. Dette kan for eksempel gjøres ved å henge opp morsomme plakater om IT-sikkerhet eller ved å kjøre en phishing-simulering.

Disse berøringspunktene vil gjøre det morsommere for dine ansatte å jobbe med IT-sikkerhet og enklere å beholde bevisstheten deres. Det er mange måter å skape og beholde bevissthet på og det er kun fantasien din som setter grenser!

#5: Følg opp dine ansatte

Når du har påbegynt bevissthetstreningen bør du også følge opp dine ansatte fortløpende.

Prøv å få tilbakemeldinger fra dine ansatte om kursene og om bevissthetstreningen i sin helhet. Hva liker dine ansatte ved kursene, og hva liker de ikke? Det er viktig å huske at bevissthetstrening bør være verdiskapende for ansatte. Du kan være sikker på at deltakelsen og gjennomføringen vil gå ned dersom dine ansatte ikke syntes de får verdi av opplæringen.

Bevissthetstrening er en dynamisk prosess – prøv å lære fra dine ansatte og juster opplæringen tilsvarende. Hvis de ansatte ikke tar kursene – hvorfor ikke? Trenger de mer tid til å gjennomføre kursene? Bør innholdet skreddersys enda mer? Prøv å finne årsakene som ligger bak, og handle deretter for å løse problemene. Pass på at bevissthetstrening blir gøy, og noe de ansatte har lyst til å holde på med. Du kan lese mer om hvordan du måler effekten av bevissthetstrening her.

Kort fortalt, handler det om kontinuitet

Det viktigste du kan ta med deg fra denne artikkelen er at du må erkjenne at bevissthetstrening ikke er noe engangsprosjekt, men et stadig pågående arbeid. En “plug-and-play” tilnærming fungerer ikke i bevissthetstrening. Den må tilpasses, følges opp og justeres underveis basert på behovene til organisasjonen og ansatte.

De fem konkrete tipsene vi har gitt deg i denne artikkelen vil hjelpe deg med å nå målene du har satt deg for bevissthetstreningen din. Vi håper denne artikkelen inspirerer deg, og vi ber deg også ta kontakt med ekspertteamet vårt hvis det er noe vi kan hjelpe deg med!