Contact us: +46 10 889 94 99

Är IT-säkerhetsutbildning värt kostnaden?

Sarah Hofmann
By: Sarah Hofmann Medvetenhetsträning | 8 februari

Du kanske undrar vad värdet på utbildning i IT-säkerhet är för din organisation. IT-säkerhetsutbildning lär dina kollegor hur de ska tillämpa goda säkerhetsvanor och minskar risken för säkerhetsöverträdelser. Men i slutändan är det oftast din budget som väljer vilken typ av utbildning du kan ge dina anställda. I det här blogginlägget tar vi hjälp av statistik för att ta förklara varför säkerhetsutbildning är värt den initiala kostnaden. Visste du till exempel att organisationer har 30 % chans att drabbas av en säkerhetsöverträdelse under de kommande två åren? Eller att IT-säkerhetsutbildning minskar säkerhetskostnaden för en anställd med 52 %?

Vi kommer att gå igenom utbildningskostnader, konsekvenserna av säkerhetsöverträdelser och den genomsnittliga avkastningen på IT-säkerhetsutbildning. Trevlig läsning! 

Typer av IT-säkerhetsutbildningar  

Det finns många olika sätt att utbilda dina anställda i IT-säkerhet. Du kan t.ex. genomföra utbildning i IT-medvetenhet genom onlinekurser eller träffar på plats, eller genom att skicka simulerade nätfiskemejl till din personal. Du kan göra allting själv, eller så kan du samarbeta med en utbildningsorganisation, som CyberPilot. Att låta någon annan sköta utbildningen ger dig mer tid till att arbeta med de mer avancerade säkerhetsutmaningar som kräver ditt fokus varje dag. Alla dessa beslut påverkar utbildningskostnaden, utbildningens kvalitet och din egen samt dina kollegors produktivitet. Låt oss börja med att titta närmare på utbildningskostnaderna. 

 

Kostnaden för utbildning i IT-medvetenhet: 680 kr per anställd årligen 

I genomsnitt kostar vår utbildning i säkerhetsmedvetenhet cirka 680 kronor per anställd årligen. Detta är den genomsnittliga kostnaden, men kostnaden varierar beroende på organisationens storlek. För en organisation med 75 anställda är priset per år alltså ca 49 00 kronor. När man tänker efter är 680 kronor, ungefär det samma som kostnaden för att ge en anställd en gåva eller kostnaden för att alla arbetar några timmar extra varje år - det är en relativt liten kostnad.   

Det finns många faktorer som bidrar till den totala kostanden för säkerhetsutbildning. Till exempel är kostnaden per användare vanligtvis lägre ju fler användare du har. Du bör också tänka på andra kostnader, som tid och produktivitet.   

    • Hur mycket tid kommer att tas från din arbetsdag om du ansvarar för all utbildning själv?   
    • Hur mycket tid kommer dina kollegor att förlora från andra arbetsuppgifter för att delta i utbildningen?   
    • Vad innebär detta för din organisations produktivitet?   

Dessa sekundära kostnader är vanliga skäl till att organisationer väljer att samarbeta med externa utbildningspartner. Genom att arbeta med en utbildningsleverantör frigörs IT-avdelningens tid för viktiga säkerhetsuppgifter och överlämnar utbildningen till inlärningsexperter. Detta innebär dessutom att dina anställdas utbildningstid är väl investerad.  

Företag som CyberPilot tar över arbetet med att skapa och administrera IT-säkerhetsutbildning och levererar effektiv utbildning i form a korta kurser som varar mindre än 10 minuter. Detta sparar tid för både IT-teamet och resten av kontoret, vilket håller produktiviteten uppe.

 

Kostnaden för ett dataintrång  

Vi har ett djupgående inlägg om den genomsnittliga kostnaden för ett dataintrång, med information om olika typer av intrång och varför de är så dyra. Nedan har vi samlat några av de viktigaste siffrorna som du bör känna till.   

När man ser på vad det kostar att drabbas av en säkerhetsöverträdelse måste man tänka utanför den ekonomiska boxen. Förutom kostnaden för att reparera system eller få igång organisationen igen har intrång en negativ inverkan på organisationens rykte. Detta leder till förlorat förtroende och i slutändan till förlorade affärer.   

Kostnaderna är naturligtvis olika för stora och små organisationer. Även om nyheterna oftast rapporterar om brott som drabbar stora företag, är brott i mindre företag lika skadliga. De juridiska kostnaderna och skador av varumärket är ofta för stora för mindre organisationer att återhämta sig från.   

 

Kostnaden av att inte göra någonting    

Vi har gått igenom kostnaderna för utbildning och kostnaderna för att drabbas av ett säkerhetsbrott. Vad händer nu? Vi sätter dessa kostnader i perspektiv för att hjälpa dig förstå innebörden för din organisation.  

Du kanske fått höra argumentet att din organisation sannolikt inte kommer att drabbas av ett intrång, så det är inte värt att slösa pengar på säkerhetsåtgärder. Men enligt en studie från 2019, hade företag en  29,6 % chans att drabbas av ett dataintrång under de kommande två åren. Sedan dess har dataintrång bara blivit vanligare och mer sofistikerade. Detta innebär att du har minst en chans på tre att drabbas av ett säkerhetsbrott, vilket enligt uppgifterna kan bli riktigt dyrt eller till och med leda till att ditt företag tvingas lägga ner sin verksamhet.    

Biggest GDPR fines of 2022

Låt oss titta ännu närmare på vad forskningen säger. Utbildning är särskilt viktigt för mindre organisationer eftersom 95 procent av cyberattacker riktar sig mot små och medelstora företag. Visste du att 61 % av små och medelstora företag har upplevt en cyberattack under de senaste 12 månaderna?   

Förutom att använda statistik för att få perspektiv på din organisations sårbarhet kan du också uppskatta sannolikheten för ett intrång genom att utföra nätfiskesimulering eller en riskanalys.  

Simulerat nätfiske  

Att skicka ett falskt nätfiskemejl till dina kollegor är ett sätt att uppskatta hur mottaglig din organisation är för ett dataintrång. Nätfiske är en av de vanligaste metoderna för säkerhetsöverträdelser, och hela 39 % av de anställda luras av simulerade nätfiskemejl. Nätfiske kan vara svårt att upptäcka, speciellt sofistikerade nätfiskemejl. Enligt en undersökning med 19 000 deltagare kan 97 % av människor inte identifiera nätfiskemejl korrekt. 

Resultaten av ett nätfisketest indikerar hur sårbart ditt företag är. Om många av dina kollegor faller för ditt falska nätfiskemejl kommer de förmodligen inte heller kunna upptäcka ett riktigt nätfiskeförsök. Säkerhetsöverträdelser som orsakas av nätfiske är den dyraste typen av överträdelse för organisationer att hantera.    

Riskanalys  

Ett annat sätt att utvärdera dina säkerhetsbrister är att göra en riskanalys. Vår gratis riskanalys mall med guide kan hjälpa dig att komma igång. En riskanalys hjälper dig ta reda på vilka dina största säkerhetsrisker är och hur sannolikt det är att de inträffar. Baserat på resultatet kan du ta fram en plan för vad som behöver göras härnäst för att på ett meningsfullt sätt förbättra din IT-säkerhet. Det är viktigt att vara noggrann med en riskanalys och se till att du inte utelämnar något. Detta innebär att oavsett hur begåvade dina anställda är bör mänskliga misstag som leder till säkerhetsöverträdelser alltid inkluderas som potentiella risker

 

Smart CTA Risk SE

 

Jag har ju redan antivirusprogram och andra tekniska lösningar - behöver jag fortfarande utbildning?   

Med alla tekniska lösningar som finns tillgängliga är det frestande att investera i den senaste programvaran och tänka att arbetet med säkerhet är gjort. Att investera i tekniska lösningar, som antivirusprogram, brandväggar och SIEM är en viktig del av säkerhetsarbetet. Men teknik i sig själv räcker inte till för att lösa alla utmaningar. Vi vet att 9 av 10 säkerhetsöverträdelser sker på grund av mänskliga misstag, och därför anser vi att utbildning är en viktig, om inte den viktigaste delen av säkerhetsstrategin.  

Tänk på utbildning som en försäkring   

På sätt och vis är utbildning för dina anställda ungefär som att köpa en försäkring. Det är en kostnad som kanske inte verkar nödvändig förrän något händer som bevisar dess värde. Att spendera pengar varje månad på försäkringar som t.ex. hemförsäkring kan vara irriterande eftersom du inte omedelbart ser nyttan. Men om du får en vattenläcka i ditt hus och du måste göra en massa reparationer kommer du att vara väldigt glad över att ha försäkringsexperter som hjälper dig att åtgärda problemet. Du kommer också att vara lättad över att dina reparationskostnader kommer att täckas. Att investera i utbildning i IT-säkerhet är mycket likadant. 

Om du inte upplever några säkerhetsöverträdelser kan utbildning i IT-säkerhet verka som slöseri med pengar. Men det faktum att ditt företag inte upplever några dataintrång visar att utbildningen fungerar. Utbildningen i medvetenhet är som att ha en försäkring mot säkerhetsöverträdelser eftersom dina anställda vet hur de ska agera i situationer som verkar riskabla.

 

Bättre att vara på den säkra sidan: IT-utbildning är värt kostnaden  

Vi tycker att utbildning i GDPR och IT-säkerhet är värt kostnaden, och det tycker även våra kunder. Det är mycket billigare att skapa medvetenhet och förebygga brott än att återhämta sig från en incident som redan har inträffat. Särskilt när man tänker på de långsiktiga kostnaderna för ett dataintrång, t.ex. förlust av kunder och skadat varumärke.   

Om din organisation har 100 anställda kan du spendera cirka 68 00 kronor på säkerhetsutbildning varje år, baserat på en genomsnittlig utbildningskostnad på 680 kronor per person och år. Med denna uppskattning och den genomsnittliga kostnaden för en säkerhetsöverträdelse (4,35 miljoner dollar) skulle du behöva betala för utbildning i ungefär 725 år innan det skulle kosta dig det samma att utbilda dina anställda som kostnaden för en säkerhetsöverträdelse. Kanske kan denna siffra hjälpa till att sätta perspektiv på kostnaden för en säkerhetsöverträdelse jämfört med utbildningskostnaden för hela din personal. 

Naturligtvis är denna beräkning förenklad - alla intrång kostar inte 4,35 miljoner dollar och all utbildning kostar inte 680 kronor per anställd varje år. Vi använder dessa medelvärden för att hålla det någorlunda enkelt. Men du kan föreställa dig att kostnaden för ett dataintrång sannolikt är proportionell i förhållande till antalet anställda och företagets årliga intäkter. Så även om större företag förlorar mer pengar vid ett intrång drabbas mindre företag lika hårt.   

Utbildning är betydande! Den har en hög avkastning på din investering, den fungerar för att förebygga säkerhetsfel och har många andra fördelar.

 

IT-säkerhetsutbildningen har hög avkastning på investering 

Forskning visar att avkastningen på utbildning i IT-säkerhet är ganska hög. I mindre företag är den årliga säkerhetsrelaterade kostnaden per anställd 52 % lägre för företag som använder utbildning i IT-medvetenhet. Genom att delta i utbildning i medvetenhet sparar små företag i genomsnitt 149 dollar per år och anställd. I större organisationer resulterar detta i en genomsnittlig avkastning på upp till 562 %. Att investera i utbildning kan faktiskt skapa stora besparingar på lång sikt!   

Ha i åtanke att den avkastning på investering som din organisation kan uppnå genom utbildning i IT-säkerhet beror på flera faktorer, bland annat de anställdas löner, organisationens storlek och hur allvarlig en potentiell överträdelse är. Hälsovårdsföretag är till exempel kända för att drabbas av några av de dyraste dataintrången, så avkastningen på utbildning är förmodligen högre för dessa organisationer eftersom de har mer att förlora.   

 

Utbildning i IT-medvetenhet fungerar  

Mänskliga misstag är den främsta orsaken till säkerhetsöverträdelser. Faktum är att 9 av 10 överträdelser orsakas av mänskliga fel. Men misstag kan minskas genom effektiv utbildning och åtgärder som stärker medvetenheten. Bilden nedan är ett exempel på hur våra kunder gör färre misstag efter att ha deltagit i fortlöpande utbildning i IT-medvetenhet och nätfisketräning. Du kan se att 15 % av användarna föll för det första nätfiskemejlet, medans enbart 6 % föll för det tredje nätfiskemejlet. Mängden misstag minskade alltså med över 50 %. Vilket innebär att de anställda är mycket mindre benägna att falla för nätfiskemejl efter att de deltagit i våran utbildning.  

 

    Resultaten av nätfisketräning visar att det lönar sig att utbilda de anställda.

Dessutom behöver utbildningen inte vara tidskrävande. Våra kurser lär ut viktiga IT-säkerhetsbegrepp på mindre än 10 minuter varannan månad, så att det inte blir någon produktivitetsförlust. I jämförelse med flera timmar till veckor av stillestånd på grund av en säkerhetsöverträdelse, verkar den tid som går förlorad till utbildning betydelselös.    

 

Ytterligare fördelar med utbildning i IT-säkerhet och nätfisketräning 

Förutom hög avkastning på investering och möjligheten att minska de misstag som leder till säkerhetsöverträdelser kan utbildning i IT-säkerhet ha andra positiva effekter på din organisation. Att ha ett kontinuerligt utbildningsprogram för medvetenhet kan till exempel hjälpa dig att efterleva GDPR och andra ramverk för IT-säkerhet  

Att ha säkerhetscertifikat visar dina kunder att man kan lita på din organisation, vilket kan gynna din verksamhet och ditt rykte. Det kan få potentiella kunder att vilja göra affärer med dig. Det kan också hjälpa dig undvika GDPR böter.  

Slutligen kan IT-säkerhetsutbildning förbättra din organisations säkerhetskultur och föra dina kollegor samman med ett gemensamt mål att förbättra säkerheten.    

Vi hoppas att den här artikeln har varit till nytta för dig. Om du vill se vad utbildning i IT-medvetenhet kan göra för din organisation är du välkommen att prova vår kostnadsfria 14-dagars provperiod eller ta kontakt med vårt team. 

 

Smart CTA_e-book SE