Awareness træning er en vigtig del af en organisations IT-sikkerhedsstrategi. Det er fordi, medarbejdere enten er en organisations største IT-sikkerheds risiko eller deres største forsvar. En af de bedste måder at styrke din organisations IT-sikkerhed på er ved at skabe et højt niveau af awareness mellem dine medarbejdere. Men awareness-træning i IT-sikkerhed kan hurtigt blive en træls byrde på kontoret. I dette blogpost, deler vi derfor vores tips for at skabe et awareness-træningsprogram, der faktisk virker - hvilket betyder, at dine medarbejdere vil engagere sig med det via langsigtet og kontinuerlig læring.
Hvorfor skal medarbejdere trænes i IT-sikkerhed?
Størstedelen af sikkerhedsbrud sker ikke grundet tekniske problemer, men pga. menneskelige fejl. Derfor er awareness-træning en vigtig del af en organisations overordnede IT-sikkerhedsstrategi. Cyberkriminelle går specifikt efter medarbejdere for at få adgang til IT-systemer eller følsomme oplysninger. Dine medarbejdere kan til gengæld også være dit bedste forsvar mod angreb. Det er her, awareness-træning kommer ind i billedet. Et af de bedste værktøjer til at styrke din organisations IT-sikkerhed er sikring af et højt niveau af awareness blandt dine medarbejdere. Awareness-træning er også en vigtig del af at være GDPR-compliant.
Træning reducerer også risikoen for menneskelige fejl. Vores undersøgelse viser nemlig, at under CyberPilots kontinuerlig awareness-træning og phishing-tests, har brugere reduceret deres fejl med 50% under simuleret phishing-angreb.
Hvordan lykkes I med awareness-træning?
Der findes mange former for IT-sikkerheds awareness-træning. Nogle organisationer vælger at holde timelange seminarer for alle medarbejdere en gang om året, nogle forbereder en lang række dokumenter med regler, der skal følges, og andre sender måske en lille gruppe udvalgte medarbejdere på kursus og forventer derefter, at de kan undervise resten af deres kollegaer. Awareness træning, kan ske på mange forskellige måder, og det kan være svært at implementere effektivt af forskellige grunde. F.eks. kan undervisningen hurtigt blive kedelig, tung eller for uregelmæssig, hvilket kan resultere i, at medarbejdere glemmer, hvad de har lært eller mister motivationen for at lære mere. Det kan skabe tvivl om, hvorvidt træningen overhovedet er indsatsen værd.
I dette blogpost har vi samlet vores erfaring med awareness-træning til 11 konkrete råd, som du kan bruge til at lave den bedste awareness-træning for dine medarbejdere og øge din IT-sikkerhed.
- Start med at få dine medarbejdere ombord
- Kommunikér og frem indsatsen
- Vis både den personlige og arbejdsmæssige vigtighed ved it-sikkerhed
- Hold det simpelt
- Tilbyd træningen i små stykker
- Lav relevant indhold
- Lav det interaktivt
- Gør det let tilgængelig
- Brug forskellige læringsmetoder
- Tilbyd kontinuerlig læring
- Følg op med dine medarbejdere
#1: Start med at få dine medarbejdere ombord
De første skridt til at skabe effektiv awareness-træning og få øget awareness om IT-sikkerhed er ved at få dine medarbejdere til ikke, at være ligeglad med processen. Det er en god idé at fortælle dine medarbejdere, hvorfor træningen i IT-sikkerhed er værdifuld, og altså ikke bare noget, der skal krydses af deres to-do liste. Hvis dit hold forstår meningen bag awareness-træningen, så vil de også være mere engageret i at forbedre sikkerhedskulturen i din organisation. Der vil også være større chance for, at de husker hovedlektionerne fra træningen, hvilket jo er hele pointen!
#2: Kommunikér awareness-træningen i hele din organisation
Awareness-træningen bør ikke være et projekt, som kun skubbes ud til medarbejderne fra IT-afdelingen. For at få vellykket awareness-træning, skal det fremmes af den øverste ledelse gennem hele processen.
At bede medarbejdere om at tage kurser i IT-sikkerhed uden den rigtige støtte fra den øverste ledelse vil sandsynligvis ikke motivere dine medarbejdere til at allokere deres tid til awareness-træning. De vil sandsynligvis også have forbehold omkring kurserne.
Du skal have ledelsen og resten af bestyrelsen til at støtte op om awareness-træningen, da det vil vise dine medarbejdere, at alle er medansvarlige for at skabe en sikker organisation – ikke bare sikkerheds- eller IT-afdelingen. Det kan også opfordre til åben kommunikation om træningen og andre emner om IT-sikkerhed
#3: Vis både den personlige og arbejdsmæssige vigtighed ved it-sikkerhed
De fleste går mere op i ting der påvirker dem personligt. Derfor anbefaler vi awareness-træningsprogrammer, der underviser i gode sikkerhedsprakssiser, og hvorfor det er vigtigt både personligt og i arbejdet.
Siden persondatabrud kan påvirke både medarbejdere og organisationen, så er det en god idé at vise dine medarbejdere, hvad de personligt kan risikere ved et databrud, da det kan få dem til at tage træningen mere seriøst.
Ved at fokusere på det personlige aspekt i datasikkerhed, træner du også dine medarbejdere i at praktisere god it-sikkerhed, både derhjemme og på arbejde. På den måde bliver de gode vaner en standard praksis i deres liv, i stedet for noget de bare skal huske at gøre, mens de er på arbejde.
#4: Hold det simpelt
Et af vores vigtige tips for succesfuld awareness-træning er at lave indholdet relaterbart og nemt at forstå. Husk, at de fleste af dine medarbejdere ikke har en teknisk baggrund, og at de nemt kan blive afskrækket af træningen, hvis man skal google hver andet ord.
Fancy jargon kan også få medarbejdere til at føle sig distanceret fra IT-sikkerhedsverden. Hvis de ikke forstår, hvad risikoen er, så vil de ikke være i stand til at beskytte dem selv eller virksomheden fra trusler.
Så, du burde altså forklare emnerne på et helt normalt sprog. Det vil øge indlæringen og gøre dine medarbejdere mere tilbøjelige til at deltage i træningen, hvilket er essentielt for et succesfuldt projekt. Uden medarbejdere, ingen awareness-træning.
Husk også, at du ikke behøver at dække alt, der er at vide om et bestemt emne i én lektion. Ved at bryde lektionen op i mindre stykker, kan du øge din medarbejderes viden langsigtet uden at overbelaste dem med information.
#5: Tilbyd træningen i små stykker
Fra adgangskoder til phishing-angreb og fra GDPR til social engineering – IT-sikkerhed er et bredt område. Det er dog umuligt for dine medarbejdere at blive fortrolige med alle informationer fra alle emner på én gang.
Du kan ikke give dine medarbejdere alle Harry Potter-bøger på én gang og forvente, at de husker dem udenad en uge efter.
Derfor skal awareness-træning gives i små stykker over en lang periode. På den måde får du dine medarbejdere til at reflektere over og praktisere, hvad de har lært, mens du holder IT-sikkerhed på agendaen over en længere periode. Vi anbefaler selv kortere trænings lektioner på 5-10 minutter. Vores platform har +30 kurser i denne længde, der gør det nemt for dig. Så kan du bruge din tid på andre ting end at lave kurser.
Et træningsskema kunne se ud som nedenstående, som indeholder kurser fra vores katalog. Det er et miks af IT-sikkerhed og GDPR.
#6: Lav relevant indhold
Træningen skal passe til alle medarbejdere i alle afdelinger i organisationen. Du behøver ikke gå ned i de tekniske detaljer om, hvordan computere fungerer eller dykke ned i lovene omkring informationssikkerhed. Du skal derimod skabe indhold, som kan forstås af alle medarbejdere på alle niveauer i din organisation. Indholdet skal være relevant for deres arbejde og tekniske niveau. IT-sikkerhed bør ikke være et komplekst emne for dine medarbejdere, men i stedet være noget, som de forstår.
Prøv at skabe kurser, som er både uddannende og underholdende. Brug eksempler til at forklare koncepter og brug et letforståeligt sprog, når du forklarer koncepterne. Skab kurser, der er relevante for dine medarbejdere, ikke din IT-afdeling. Dine medarbejdere bør ikke kede sig, når de tager kurset, men bør i stedet været interesserede i det. Én måde at opnå dette på er ved at skabe indhold, som de nemt kan forstå.
Det kan for eksempel illustreres ved, hvordan man vælger at forklare et begreb som Ransomware. Herunder ser du to eksempler på dette, hvor det ene er et svært og teknisk sprog, imens det andet er med simplere termer i et let forståeligt sprog.
Som det ses, er der langt større chance for, at man forstår eksemplet til venstre, og det er derfor også lettere at huske.
#7: Gør det interaktivt
En god måde at gøre awareness-træning interessant på, er ved at tilføje interaktive metoder. F.eks., kan du give dine medarbejdere en kort quiz på hovedlektioner af et kursus efter awareness-træningen. Brugen af quizzer tjener mange formål: Det holder dine medarbejdere engagerede i awareness-træningen, og giver dig en måde at måle indlæringen på. Interaktive metoder sikrer, at dine medarbejdere forbliver aktive deltagere i dit IT-sikkerheds træningsprogram.
Desto flere medarbejdere, der deltager i træningen, desto flere vil forstå, hvor vigtig deres rolle er i at holde din organisationen sikker.
I vores app kan du hurtigt få indsigt i, hvor mange og hvem, der tager kurserne, og hvordan de klarer sig.
#8: Gør det let tilgængeligt
Awareness-træningen er en ekstra opgave, som du beder dine medarbejdere om at udføre. Af denne grund burde de ikke bruge tid på at finde ud af, hvor man finder træningen, eller hvordan man får adgang til det.
Det er tit en stor hjælp at lave en awareness-træningsressource lokation. Måske i en delt mappe eller på en platform, hvor dine medarbejdere har adgang. Her kan dine medarbejdere finde alt det fantastiske indhold, du har om IT-sikkerhed.
En anden måde, at gøre træningen så nem som mulig for dine medarbejdere på, er, at sende dem en e-mail med et link til den specifikke træning, som du gerne vil have, at de udfører.
At gøre træningen nem at udføre er et simpelt skridt, det vil også forbedre deltagelsen i din awareness-træning, samt vise dine medarbejdere, at du sætter pris på deres tid.
#9: Brug forskellige læringsmetoder
Awareness-træning er en løbende proces. For at holde dine medarbejdere engageret, er det vigtigt at bruge forskellige læringsmetoder.
Brug videoer til at vise eksempler, brug interaktive slides til forklaring af koncepter og udfordr dine medarbejdere med quizzer, så de kan teste deres viden.
Skab så mange kontaktpunkter du kan for konstant at minde dine medarbejdere om det, de har lært – dette kan f.eks. være gennem phishing-simulationer eller ved at hænge plakater på kontoret.
Disse kontaktpunkter vil gøre det sjovere for dine medarbejdere at arbejde med IT-sikkerhed og vedligeholde deres awareness. Der er utallige måder at skabe og vedligeholde awareness på – kun din fantasi sætter grænserne.
#10: Tilbyd kontinuerlig læring
Det vigtigste, du skal huske fra blogposten, er, at awareness-træning ikke er et engangsprojekt, men i stedet en løbende indsats. En plug-and-play-tilgang fungerer ikke for awareness-træning. Det skal tilpasses, overvåges og tilpasses igen undervejs baseret på behovene i din organisation og dine medarbejderes behov.
Selvom awareness-træningen er kontinuerlig, burde du undgå at vise de samme videoer og præsentationer år efter år. Det er den hurtigste måde at kede dine medarbejdere på! I stedet burde du ændre, hvad du dækker i din awareness-træning. Vores kursus katalog har nogle eksempler på forskellige emner, som du kan undervise din organisation i. Der vil også altid være nye casestudier eller eksempler, du kan have med i din træning. Det er vigtigt, da cyberkriminelle også udvikler sig. Awareness-træning fra nogle år tilbage er måske ikke nok i fremtiden.
Nye medarbejdere skal også have træning!
Det er også vigtigt at bruge det kontinuerlige læringsprincip til nye ansatte, da de er mest sårbare overfor potentielle angreb. Nye ansatte kan altså være den største risiko, da de måske ikke er vant til den interne kommunikation i organisationen, og som regel også gerne vil lave et godt indtryk. Derfor kan de måske godt være lidt for hurtige til at klikke på en phishing e-mail fra en “kollega”.
Sørg for, at du finder en god balance mellem at få nye medarbejdere med på træningen og at lave nye awareness-træningskurser for resten af din organisation.
Hos os kan du lave "onboarding" pakker, der automatisk bliver rullet ud til nye medarbejdere, så de kommer op til speed på ingen tid med et skræddersyet program.
#11: Følg op med dine medarbejdere
Når du har udrullet din awareness-træning, skal du periodisk overvåge fremgangen af dine medarbejdere, så du kan måle, hvor effektiv awareness-træningen er.
Prøv at spørge om feedback fra dine medarbejdere angående kurser og den overordnede awareness-træning. Hvad kunne dine medarbejdere lide ved kurset, og hvad kunne de ikke lide? Det er vigtigt at bemærke, at awareness-træningen skal være værdifuld og fordelagtig for dine medarbejdere. Du kan vide dig sikker på, at hvis dine medarbejdere ikke kan lide træningen, så vil du kunne se det på resultaterne.
Awareness-træning er en dynamisk proces – du bør prøve at lære fra dine medarbejdere og justere træningen herefter. Hvis dine medarbejdere ikke tager kurset, hvad skyldes det så? Skal de have mere tid til at færdiggøre kurset? Bør indholdet være endnu mere tilpasset? Prøv at finde grundene bag dét, så du kan rette op på problemet. Sørg for at awareness-træningen er sjov og noget, som dine medarbejdere har lyst til at lave.
Vi kan hjælpe dig med din awareness-træning
At kontinuerligt tilbyde træning om cyber og IT-sikkerhed kan tage lang tid, derfor vælger nogle at samarbejde med en awareness-træningsudbyder. Online kurser kan hjælpe med at træne dit hold, uden at det tager for lang tid at udvikle awareness-træningsmaterialerne selv. Denne e-lærings metode er rigtig populær, da det kræver mindre koordination end fysisk træning, plus det tillader folk at fuldføre undervisningen, når det passer dem.
Vi håber, at de 11 råd i vores blogpost har hjulpet dig med at nå dine IT-sikkerheds awareness mål. Du er mere end velkommen til at tage kontakt til vores eksperthold, hvis der er noget, vi kan hjælpe med.
