Bruk Bevissthetstrening For Å Overholde GDPR Og Styrke IT-Sikkerheten

Gillian Loones
By: Gillian Loones Bevissthetstrening | 11 august

Selv om personvernforordningen (GDPR) har eksistert i noen år nå, strever fortsatt mange bedrifter med å finne den beste måten å opplære ansatte i personvern og IT-sikkerhet på. GDPR har noen krav til opplæring som gjør det nødvendig for de ansatte å gå gjennom “awareness training” (bevissthetstrening). Men det er mange måter å gjennomføre GDPR-bevissthetstrening på. Skal det f.eks. gjøres online, fysisk eller som en kombinasjon av de to? Og så gjenstår det en lang rekke emner å velge mellom.  
I dette blogginnlegget forklarer vi hvorfor bevissthetstrening er viktig både for bedriftens sikkerhet og for å overholde GDPR, og vi viser hvordan opplæring av de ansatte kan hjelpe deg med å overholde GDPR og andre rammeverk innen IT-sikkerhet. 

 

Innholdsfortegnelse


Opplæring i personvern kan tette kunnskapshull 

Personvernforordningen (GDPR) ble innført i EU i mai 2018 (og noe senere i Norge) for å opplyse forbrukere om hvordan deres persondata brukes, og for å sikre bedre datahåndtering og -beskyttelse i bedrifter.  

GDPR innførte mange nye regler for håndtering av persondata og forhindring av databrudd, i tråd med de 7 prinsippene for databeskyttelse. Disse reglene håndheves med trusselen om store pengebøter til bedriftene som ikke overholder forordningen.  

Selv om det har blitt normalt å jobbe med GDPR nå, er det vanlig å være usikker på hva som skal til for at ens bedrift skal overholde reglene. Eksempelvis kan rollene til dataansvarlige og –behandlere, hvordan man håndterer utveksling av data utenfor EU , og til og med hva som regnes som persondata være emner det er vanskelig å forstå.  

 

Smart CTA Risk NO

 

GDPR-trening av ansatte gjør sikkerhet til alles ansvar

Hele bedriften har ansvar for datasikkerhet, ikke bare IT-avdelingen. Det er også et emne som både små og store bedrifter burde ta seriøst. Men, de fleste ansatte har lite tid til overs til å nærlese GDPR. Derfor er GDPR-opplæring av ansatte viktig for å bygge en sikker og bevisst bedrift. Gjennom GDPR-bevissthetstrening kan du blant annet hjelpe dine ansatte med å forstå hvordan de skal håndtere data i hverdagen, samt få din bedrift tettere på å oppnå GDPR-compliance.  

 

Vanlige emner i GDPR-trening 

Det er mye teamet ditt burde kjenne til innen GDPR og IT-sikkerhet. Et populært emne for kurs i GDPR er persondata, siden dette er noe som forvirrer mange ansatte. Det er veldig viktig at alle ansatte forstår hvordan de skal håndtere persondata, da mange av de vanligste bruddene på personvernforordningen  skyldes feil håndtering av slik data.  

Noen andre emner å dekke i din GDPR-trening kan være: 

Du er også mer enn velkommen til å ta en titt i vår kurskatalog, hvor du finner eksempler på bevissthetstreningskurs som vi tilbyr for øyeblikket. Det som er viktig er at kunnskapen om IT-sikkerhet ikke bare ligger i IT-avdelingen, men at resten av de ansatte i din bedrift også er bevisste om emnet. Men, det kan være vanskelig for de ansatte å holde seg oppdatert på datalover på egenhånd. For å illustrere viktigheten av dette, kan vi ta en titt på hva som kan skje hvis man ikke har god nok forståelse for trygg datahåndtering. 

En kvinne tar gratiskurs i cybersikkerhet på sin bærbare datamaskin

De fleste sikkerhetsbrudd skyldes menneskelige feil – men det trenger ikke være slik 

Et sikkerhetsbrudd betyr stort sett at noen av eller alle personopplysningene bedriften håndterer har blitt lekket, enten ved et uhell eller cyberangrep.  

Det kan f.eks. skje hvis en ansatt klikker på en phishing-e-post, ved et uhell laster ned skadevare eller løspengevirus, sender persondata via e-post til feil mottaker, eller bruker en usikker offentlig Wi-Fi-tilkobling 

Når folk tenker på sikkerhetsbrudd, forestiller de seg gjerne ondsinnede dyktige hackere som angriper bedriftens IT-systemer og stjeler data.  

Men, sikkerhetsbrudd skyldes ofte menneskelige feil. Dette problemet er todelt. På den ene siden begår man kanskje feil eller er uforsiktig med databehandling fordi man mangler kunnskap om viktigheten av sikker databehandlingspraksis. For eksempel:

  • En e-post sendes til feil mottaker 
  • Opplysninger blir vist til uautoriserte personer 
  • Opplysninger etterlates uten tilsyn 
  • Feil datatilgang gis 
  • Data lagres på feil måte 
  • En enhet (f.eks. en datamaskin) blir stjålet eller delt 
  • Dokumenter med sensitive opplysninger blir skrevet ut på feil måte eller glemt igjen i printeren 
På den annen side er man mer utsatt for cyberangrep når man mangler viten om IT-sikkerhet. Dette skyldes at de fleste hackerangrep er rettet mot mennesker, og ikke IT-systemer. Dermed har man større sjanse for å bli offer for sosial manipulering (social engineering), slik som phishing-e-poster, som kan føre til databrudd. Det er derfor viktig å trene ansatte i å gjenkjenne kjennetegnene på phishing-e-poster.

 

Tekniske verktøy er ikke nok alene

Teknisk IT-sikkerhet forblir nødvendig for å holde din bedrift trygg. Ulike tekniske verktøy, som Mobile Device Management (MDM) eller SIEM og Log Management, kan brukes til å redusere risikoen for sikkerhetshendelser. Andre tekniske løsninger er:  

Forskjellige tekniske sikkerhetstiltak vist på en PC-skjerm

Men, selv om tekniske verktøy helt sikkert lykkes med å være komplekse, er de ikke 100% effektive til å holde alle trusler ute. De utgjør kun halve forsvaret, og kan ikke forbedre:  

  • Personalatferd: en brannmur hindrer f.eks. ikke personalet i å gi datatilgang til feil mennesker 
  • Uklare prosesser for håndtering av persondata 
  • Mangel på kunnskap om IT-sikkerhet 

Dette er ting som personalet selv kan fikse og forhindre. Og alle de ansatte er heldigvis i stand til dette, gitt riktige verktøy og trening. 

Ditt beste forsvar mot sikkerhetsbrudd er et bevisst personale og klare retningslinjer for datahåndtering. Derfor er det helt nødvendig å øke bevisstheten gjennom GDPR-trening.

 

GDPR-trening: gjør dine ansatte til ditt beste forsvar 

Bevissthetstrening er ett av verktøyene bedriften din kan bruke for å betydelig forbedre personalets kunnskap om IT-sikkerhet og trygg databehandling. Det er også nødvendig for å overholde kravene i personvernforordningen (GDPR): 

  • Artikkel 39 krever at ditt personvernombud øker bevisstheten til og gir opplæring av de ansatte som håndterer data. 
  • Artikkel 43 krever at de ansatte som har permanent eller midlertidig tilgang på persondata blir opplært i databeskyttelse. 

Persondata kan være komplisert, og du kan ikke forvente at alle dine ansatte er eksperter i GDPR. Derfor kan det være til stor hjelp med et GDPR-treningsprogram som jevnlig gir dine ansatte tydelige, enkle og praktiske forklaringer og eksempler på hvordan man trygt håndterer persondata.  

Når de ansatte er bevisst på hvilke farer de cyberkriminelle utgjør, er de også i stand til å oppdage phishing-angrep og begå færre feil, slik som å lagre data feil eller for lenge.  

I tillegg til å være bevisste om IT-sikkerhet og viktigheten av trygg datahåndtering, må de ansatte også være bevisst på de spesifikke retningslinjene og ansvarsområdene vedrørende IT-sikkerhet i din bedrift.  

Det er IT-avdelingen og bestyrelsen sin oppgave å lage klare retningslinjer som de ansatte kan følge, og å utnevne noen som de ansatte kan komme til med spørsmål om GDPR og IT-sikkerhet. Det kan f.eks. være deres personvernombud. Slike typer prosesser kan blant annet beskrives i deres IT-sikkerhetspolitikk og retningslinjer for IT-bruk. 

Organisasjonen må sørge for: 
  • Tydelige retningslinjer for datahåndtering, slik at de ansatte alltid handler med IT-sikkerhet i bakhodet.  
  • En person som er ansvarlig for GDPR og IT-sikkerhet, som kan hjelpe de ansatte og som fungerer som et kontaktpunkt vedrørende sikkerhetshendelser.  
 Personalet må være bevisst om:  
  • IT-sikkerhet og truslene cyberkriminelle utgjør.  
  • Retningslinjene for datahåndtering i bedriften og i personvernforordningen (GDPR). 
  • Viktigheten av å rapportere mulige sikkerhetsbrudd og å søke hjelp fra den GDPR-ansvarlige når de er usikre eller mistenksomme. 

Bevissthetstrening hjelper deg oppnå GDPR-compliance og andre sertifiseringer innen IT-sikkerhet 

De fleste bedrifter har “GDPR-compliance” som en førsteprioritet. Å være “GDPR-compliant” vil si at man overholder kravene i personvernforordningen (GDPR). Det finnes mange forskjellige rammeverk som bedrifter bruker til å oppnå og dokumentere GDPR-compliance. Noen av dem er f.eks. bransjespesifikke, og andre landsspesifikke. Det er ikke alle rammeverk for IT-sikkerhet som sikrer GDPR-compliance, men noen av rammeverkenes krav overlapper med GDPR, og mange rammeverk krever bevissthetstrening.  

Nedenfor kan du se noen av de ekstra rammeverkene for IT-sikkerhet som bedrifter bruker i deres arbeid med GDPR, og hvordan bevissthetstrening passer inn i hvert av dem.

 

Rammeverk: ISO 27701

Beskrivelse

En utvidelse av ISO 27001, som er en internasjonal standard for IT-sikkerhetspraksis.  

ISO 27701 har tilleggskrav om persondata som sikrer GDPR-compliance 

Krav om bevissthetstrening 

Klausul 7.2.2 krever at alle de ansatte (inkludert innleid personale) får bevissthetsopplæring og -trening. 

Rammeverk: ISAE 3000 GDPR

Beskrivelse

En spesifikk versjon av ISAE 3000 som inkluderer krav om GDPR-compliance. Avhengig av mengden persondata din bedrift behandler, skal du enten overholde ISAE 3000 High (for store mengder persondata) eller ISAE 3000 Low (for mindre mengder persondata).

Krav om bevissthetstrening

Krever relevant opplæring av personalet 

Rammeverk: CIS (Center for Internet Security Critical Security Controls)

Beskrivelse

Retningslinjer for best IT-sikkerhetspraksis med en liste over handlinger som bedrifter burde gjennomføre for å forhindre angrep.

Krav om bevissthetstrening

Kontroll 14 krever at et bevissthetsprogram om sikkerhet blir opprettet og vedlikeholdt 

Rammeverk: ISO 27001 og 27002

Beskrivelse

Internasjonal standard med retningslinjer for best praksis innen styringssystemer for IT-sikkerhet 

Krav om bevissthetstrening

Klausul 7.2.2 krever at alle ansatte og innleid personale mottar bevissthetsopplæring- og trening

Rammeverk: NIST

Beskrivelse

USA-basert rammeverk med retningslinjer for IT-sikkerhet som bedrifter som driver forretninger med de amerikanske myndighetene må overholde.  

Krav om bevissthetstrening

For å overholde rammeverket bedriftens ledere, systemadministratorer og systembrukere være bevisste om sikkerhetsrisikoer. Bevissthetstreningen burde dekke hvordan man gjenkjenner og rapporterer trusler

Rammeverk: CMMC

Beskrivelse

Erstatter snart NIST i USA. Gjelder for de som gjør forretninger med amerikanske myndigheter. 

Krav om bevissthetstrening

Det er flere nivåer for compliance. Nivå 2 og oppover, som indikerer minimum en middels IT-hygiene, krever bevissthetstrening.  

Rammeverk: ISRS 4400

Beskrivelse

Minner om ISAE 3000, men ISRS 4000 er kun basert på kriteriet som revisoren blir bedt om å bekrefte.  

Krav om bevissthetstrening

Krever relevant opplæring av personalet.  

 

GDPR-bevissthetstrening kan innføres en rekke måter

Å komme i gang med bevissthetstrening er enklere enn du tror. Det går i bunn og grunn ut på å gi de ansatte kunnskap om persondata og IT-sikkerhet på en måte som er lett å forstå og huske.  

Det er derfor en god ide å spre denne kunnskapen på forskjellige måter gjennom en rekke kanaler, for å skape størst mulig oppmerksomhet. 

 Du kan for eksempel kombinere e-læring med fysisk undervisning. E-læring kan hjelpe deg med å oppnå en viss kontinuitet i undervisningen og oppmuntre de ansatte til å lære i sitt eget tempo. Fysisk undervisning kan øke utvekslingen av ideer, samt omsette viten til praksis.  

Det er mange muligheter for å organisere et godt bevissthetstreningsprogram. Vi har satt sammen noen tips til hvordan å skape et vellykket treningsprogram. Du kan være så kreativ du vil!

Ulike læringsmetoder for GDPR-bevissthetstrening 

Noen eksempler på læringsformater for GDPR-trening er: 

GDPR-trening på nett: Korte e-læringsmoduler som består av videoer, tekst, quizer, m.m.  

Fysisk undervisning: Lengre leksjoner gitt av en instruktør. Dette kan oppmuntre til diskusjoner eller gi deg muligheten for å invitere en ekspert.  

Simuleringer: Phishing-simuleringer og andre IT-sikkerhetssimuleringer gir de ansatte mulighet til å bruke sin kunnskap i realistiske situasjoner.  

Workshops: Dette kan være en workshop hvor de ansatte skal sette seg inn i hjernen til en cyberkriminell og lære å forstå hvordan cyberkriminelle tenker. 

Fritt tilgjengelige materiale på nett: Det finnes mange gratis læringsressurser og annet materiale tilgjengelig på nett. Dette kan være alt fra YouTube-videoer til offentlige kampanjer eller plakater og diagrammer du kan henge opp på kontoret.  

Det europeiske byrået for nettverks- og informasjonssikkerhet (ENISA) har gratis materiale til å promotere IT-sikkerhet. I tillegg har United States National Cyber Security Alliance (NCSA) en gratis videoserie som du kan dele med dine ansatte.  

Gruppeaktiviteter og spill: Disse kan være i en rekke formater, f.eks. et Escape Room eller et Cluedo-lignende scenario hvor teamet må finne ut av hvordan og av hvem bedriften ble angrepet. 

 

GDPR-trening for ansatte øker bevisstheten om IT-sikkerhet og hjelper deg med å være GDPR-compliant

Utover det vi allerede har nevnt, er det mange andre måter å organisere bevissthetstrening på. Du kan velge de formatene som best passer behovene i din bedrift, og måle effekten av treningen på dine ansatte. Et godt bevissthetstreningsprogram er et program som de ansatte ikke ser på som en byrde, men som de faktisk kanskje ser fram til.  

Vellykkete teknikker for bevissthetstrening fører til et bevisst personale som er intuitivt klar over hva de må gjøre i sin jobbhverdag for å overholde GDPR, samt en forbedring av den generelle IT-sikkerheten i bedriften. I siste ende kan bevisste ansatte vise seg være ditt sterkeste IT-sikkerhetsforsvar. 

En kvinne tar gratiskurs i cybersikkerhet på sin bærbare datamaskin