11 Råd Til At Lykkedes Med Awareness-Træning

Ismail Özkan
By: Ismail Özkan Awareness træning | 25 april

Awareness træning er en vigtig del af en organisations It-sikkerheds strategi. Det er fordi at medarbejdere enten er en organisations største IT-sikkerheds risiko eller deres største forsvar. En af de bedste måder at styrke din organisations IT-sikkerhed på er ved at skabe et højt niveau af awareness mellem dine medarbejdere. Men awareness-træning i IT-sikkerhed kan hurtigt blive en træls byrde på kontoret. I denne blogpost, deler vi derfor vores tips for at skabe et awareness-træningsprogram der faktisk virker - hvilket betyder at dine medarbejdere vil engagere sig med det via langsigtet og kontinuerlig læring. 

Hvorfor skal medarbejdere trænes i IT-sikkerhed? 

Størstedelen af sikkerhedsbrud sker ikke grundet tekniske problemer, men pga. menneskelige fejl. Derfor er awareness-træning en vigtig del af en organisations overordnede IT-sikkerhedsstrategi. Cyberkriminelle går specifikt efter medarbejdere for at få adgang til IT-systemer eller følsomme oplysninger. Dine medarbejdere kan til gengæld også være dit bedste forsvar mod angreb. Det er her, awareness-træning kommer ind i billedet. Et af de bedste værktøjer til at styrke din organisations IT-sikkerhed er sikring af et højt niveau af awareness blandt dine medarbejdere. Awareness-træning er også en vigtig del i at være GDPR-compliant. 

Træning reducere også risikoen for menneskelige fejl. Vores undersøgelse viser nemlig, at under CyberPilots kontinuerlig awareness-træning og phishing-tests, brugere har reduceret deres fejl med 50% under simuleret phishing-angreb.

Phishing effect

Hvordan lykkes I med awareness-træning? 

Der findes mange former for IT-sikkerheds awareness-træning. Nogle organisationer vælger at holde timelange seminarer for alle medarbejdere en gang om året, nogle forbereder en lang række dokumenter med regler, der skal følges, og andre sender måske en lille gruppe udvalgte medarbejdere på kursus og forventer derefter, at de kan undervise resten af deres kollegaer. Awareness træning, kan ske på mange forskellige måder, og det kan være svært at implementere effektivt pga. forskellige grunde. F.eks. kan undervisningen hurtigt blive kedelig, tung eller for uregelmæssig, hvilket kan resultere i, at medarbejdere glemmer, hvad de har lært eller mister motivationen for at lære mere. Det kan skabe tvivl om, hvorvidt træningen overhovedet er indsatsen værd.  

I denne blogpost har vi samlet vores erfaring med awareness-træning i 11 konkrete råd, som du kan bruge til at lave den bedste awareness-træning for dine medarbejdere og øge din it-sikkerhed.  

  1. Start med at få dine medarbejdere ombord

  2. Kommunikér og frem indsatsen

  3. Vis både den personlige arbejdsmæssige vigtighed ved it-sikkerhed

  4. Hold det simpelt

  5. Tilbyd træningen i små stykker

  6. Lav relevant indhold

  7. Lav det interaktivt

  8. Gør det let tilgængelig

  9. Brug forskellige læringsmetoder

  10. Tilbyd kontinuerlig læring

  11. Følg op med dine medarbejdere 
11 tips for sucsessful AWT

#1: Start med at få dine medarbejdere ombord 

De første skridt til at skabe effektiv awareness-træning og få øget awareness om it-sikkerhed er ved at få dine medarbejdere til ikke, at være ligeglad med processen. Det er en god idé at fortælle dine medarbejdere, hvorfor træningen i IT-sikkerhed er værdifuld, og altså ikke bare noget der skal krydses af deres to-do liste. Hvis dit hold forstår meningen bag awareness-træningen, så vil de også være mere engageret i at forbedre sikkerhedskulturen i din organisation. Der vil også være større chance for, at de husker hovedlektionerne fra træningen, hvilket jo er hele pointen! 

#2: Kommunikér awareness-træningen i hele din organisation 

Awareness-træningen bør ikke være et projekt, som kun skubbes ud til medarbejderne fra IT-afdelingen. For at få vellykket awareness-træning, skal det fremmes af den øverste ledelse gennem hele processen. 

At bede medarbejdere om at tage kurser i IT-sikkerhed uden den rigtige støtte fra den øverste ledelse vil sandsynligvis ikke motivere dine medarbejdere til at allokere deres tid til awareness-træning. De vil sandsynligvis også have forbehold omkring kurserne.   

Du skal have ledelsen og resten af bestyrelsen til at støtte op om awareness-træningen, da det vil vise dine medarbejdere at alle er medansvarlige for at skabe en sikker organisation – ikke bare sikkerheds eller IT-afdelingen. Det kan også opfordre til åben kommunikation om træningen og andre emner i IT-sikkerhed 

Studerende sidder på bøger og prøver kurser gratis

#3: Vis både den personlige og arbejdsmæssige vigtighed ved it-sikkerhed 

De fleste går mere op i ting der påvirker dem personligt. Derfor anbefaler vi awareness-træning programmer, der underviser i gode sikkerhedsprakssiser og hvorfor det er vigtigt både personligt og i arbejdet. 

Siden persondatabrud kan påvirke både medarbejdere og organisationen, så er det en god idé at vise dine medarbejdere, hvad de personligt kan risikere ved et databrud, da det kan få dem til at tage træningen mere seriøst. 

Ved at fokusere på det personlige aspekt i datasikkerhed, så træner du også dine medarbejdere i at praktisere god it-sikkerhed, både derhjemme og på arbejde. På den måde, så bliver de gode vaner en standard praksis i deres liv, i stedet for noget de bare skal huske at gøre, mens de er på arbejde. 

#4: Hold det simpelt 

Et af vores vigtige tips for succesfuld awareness-træning er at lave indholdet relaterbart og nemt at forstå. Husk, at de fleste af dine medarbejdere ikke har en teknisk baggrund, og at de nemt kan blive afskrækket af træningen, hvis man skal google hver andet ord. 

Fancy jargon kan også få medarbejdere til at føle sig distanceret fra It-sikkerheds verdenen. Hvis de ikke forstår hvad risikoen er, så vil de ikke være i stand til at beskytte dem selv eller virksomheden fra trusler. 

Så, du burde altså forklare emnerne på et helt normalt sprog. Det vil øge indlæringen og gøre dine medarbejdere mere tilbøjelige til at deltage i træningen, hvilket er essentielt for et succesfuldt projekt. Uden medarbejdere, ingen awareness-træning. 

Husk også, at du ikke behøver at dække alt der er at vide om et bestemt emne i en lektion. Ved at bryde lektionen op i mindre stykker, kan du øge din medarbejderes viden langsigtet, uden at overbelaste dem med information. 

#5: Tilbyd træningen i små stykker  

Fra adgangskoder til phishing-angreb og fra GDPR til social engineering – IT-sikkerhed er et bredt område. Det er dog umuligt for dine medarbejdere at blive fortrolige med alle informationer fra alle emner på én gang.   

Du kan ikke give dine medarbejdere alle Harry Potter-bøger på én gang og forvente, at de husker dem udenad en uge efter. 

Derfor skal awareness-træning gives i små stykker over en lang periode. På den måde får du dine medarbejdere til at reflektere og praktisere over hvad de har lært, mens du holder it-sikkerhed på agendaen over en længere periode. Vi anbefaler selv kortere trænings lektioner på 5-10 minutter. 

Et træningsskema kunne se ud som nedenstående, som indeholder kurser fra vores katalog. Det er et miks af it-sikkerhed og GDPR. 

Aarlig-kalender
 
Vi har også en anbefalet træningsplan for det første år, som du kan tjekke ud.

#6: Lav relevant indhold 

Træningen skal passe til alle medarbejdere i alle afdelinger i organisationen. Du behøver ikke gå ned i de tekniske detaljer om, hvordan computere fungerer eller dykke ned i lovene omkring informationssikkerhed. Du skal derimod skabe indhold, som kan forstås af alle medarbejdere på alle niveauer i din organisation. Indholdet skal være relevant for deres arbejde og tekniske niveau. IT-sikkerhed bør ikke være et komplekst emne for dine medarbejdere, men i stedet være noget, som de forstår. 

Prøv at skabe kurser, som er både uddannende og underholdende. Brug eksempler til at forklare koncepter og brug et letforståeligt sprog, når du forklarer koncepterne. Skab kurser, der er relevante for dine medarbejdere, ikke din IT-afdeling. Dine medarbejdere bør ikke kede sig, når de tager kurset, men bør i stedet været interesserede i det. Én måde at opnå dette på er ved at skabe indhold, som de nemt kan forstå. 

Det kan for eksempel illustreres ved, hvordan man vælger at forklare et begreb som Ransomware. Herunder ser du to eksempler på dette, hvor det ene er et svært og teknisk sprog, imens det andet er med simplere termer i et let forståeligt sprog.

Awareness-træning om ransomware Awareness-træning om ransomware 2

Som det kan ses, er der langt større chance for, at man forstår eksemplet til venstre, og det er derfor også lettere at huske.

#7: Gør det interaktivt 

En god måde at gøre awareness-træning interessant på, er ved at tilføje interaktive metoder. F.eks., kan du give dine medarbejdere en kort quiz på hovedlektioner af et kursus efter awareness-træningen. Brugen af quizzer tjener mange formål: Det holder dine medarbejdere engagerede i awareness-træningen, og giver dig en måde at måle indlæringen på. Interaktive metoder sikrer, at dine medarbejdere forbliver aktive deltagere i dit IT-sikkerheds træningsprogram. Jo flere medarbejdere der deltager i læringsprocessen, jo flere vil forstå hvor vigtig deres rolle er i at holde din organisationen sikker. 

#8: Gør det let tilgængeligt 

 Awareness-træningen er en ekstra opgave, som du spørger dine medarbejdere om at udføre. Af denne grund, så burde de ikke bruge tid på at finde ud af, hvor man finder træningen eller hvordan man får adgang til det. 

Det er tit en stor hjælp at lave en awareness-trænings ressource lokation. Måske i en delt mappe, eller på en platform, hvor dine medarbejdere har adgang. Her, kan dine medarbejdere finde alt det fantastiske indhold du har om IT-sikkerhed. 

En anden måde, at gøre træningen så nem som mulig for dine medarbejdere er, at sende dem en e-mail med et link til den specifikke træning, som du gerne vil have at de udfører. 

At gøre træningen nem at udføre er et simpelt skridt, det vil også forbedre deltagelsen i din awareness-træning, samt vise dine medarbejdere at du sætter pris på deres tid. 

#9: Brug forskellige læringsmetoder 

Awareness-træning er en løbende proces. For at holde dine medarbejdere engageret, så er det vigtigt at bruge forskellige læringsmetoder. 

Brug videoer til at vise eksempler, brug interaktive slides til forklaring af koncepter og udfordr dine medarbejdere med quizzer, så de kan teste deres viden.   

Skab så mange kontaktpunkter du kan for konstant at minde dine medarbejdere, om det de har lært – dette kan f.eks. være gennem phishing-simulationer eller ved at hænge plakater på kontoret. 

Disse kontaktpunkter vil gøre det sjovere for dine medarbejdere at arbejde med IT-sikkerhed og vedligeholde deres awareness. Der er utallige måder at skabe og vedligeholde awareness på – kun din fantasi sætter grænserne. 

#10: Tilbyd kontinuerlig læring 

Det vigtigste, du skal huske fra blogposten er, at du skal huske, at awareness-træning ikke er et engangsprojekt, men i stedet en løbende indsats. En plug-and-play-tilgang fungerer ikke for awareness-træning. Det skal tilpasses, overvåges og tilpasses igen undervejs baseret på behovene i din organisation og dine medarbejderes behov. 

Bare fordi awareness-træningen er kontinuerlig, så burde du undgå at vise de samme videoer og præsentationer år efter år. Det er den hurtigste måde at kede dine medarbejdere på! I stedet burde du ændre, hvad du dækker i din awareness-træning. Vores kursus katalog har nogle eksempler på forskellige emner, som du kan undervise din organisation i. Der vil også altid være nye casestudier eller eksempler du kan have med i din træning. Det er vigtigt, da cyberkriminelle også udvikler sig. Awareness-træning fra nogle år tilbage, er måske ikke nok i fremtiden. 

Nye medarbejdere skal også have træning! 

Det er også vigtigt at bruge det kontinuerlige læringsprincip til nye ansatte, da de er mest sårbare overfor potentielle angreb. Nye ansatte kan altså være den største risiko, da de måske ikke er vant til den interne kommunikation i organisationen, og som regel også gerne vil lave et godt indtryk. Derfor kan de måske godt være lidt for hurtige til at klikke på en phishing e-mail fra en “kollega”, hvor der bliver anmodet om en hurtig betaling. Sørg for at du finder en god balance mellem at få nye medarbejdere med på træningen, og at lave nye awareness-trænings kurser for resten af din organisation. 

Billede af Risiko-analyse skabelon

#11: Følg op med dine medarbejdere 

Når du har udrullet din awareness-træning, skal du periodisk overvåge fremgangen af dine medarbejdere, så du kan måle, hvor effektiv awareness-træningen er 

Prøv at spørge om feedback fra dine medarbejdere angående kurser og den overordnede awareness-træning. Hvad kunne dine medarbejdere lide ved kurset, og hvad kunne de ikke lide? Det er vigtigt at bemærke, at awareness-træningen skal være værdifuld og fordelagtig for dine medarbejdere. Du kan vide dig sikker på, at hvis dine medarbejdere ikke kan lide træningen, så vil du kunne se det på resultaterne. 

Awareness-træning er en dynamisk proces – du bør prøve at lære fra dine medarbejdere og justere træningen herefter. Hvis dine medarbejdere ikke tager kurset, hvad skyldes det så? Skal de have mere tid til at færdiggøre kurset? Bør indholdet være endnu mere tilpasset? Prøv at finde grundene bag dét, så du kan rette op på problemet. Sørg for at awareness-træningen er sjov og noget som dine medarbejdere har lyst til at lave.  

Vi kan hjælpe dig med din awareness-træning 

At kontinuerligt tilbyde træning om cyber og it-sikkerhed kan tage lang tid, derfor vælger nogle at samarbejde med en awareness-trænings udbyder. Online kurser kan hjælpe med at træne dit hold, uden at det tager for lang tid at udvikle awareness-træningsmaterialerne selv. Denne e-lærings metode er rigtig populær, da det kræver mindre koordination end fysisk træning, plus det tillader folk at fuldføre undervisningen, når det passer dem. 

Vi håber at de 11 råd i vores blogpost har hjulpet dig med at nå dine IT-sikkerheds awareness mål. Du er mere end velkommen til at tage kontakt med vores eksperthold, hvis der er noget vi kan hjælpe med. 

Studerende sidder på bøger og prøver kurser gratis