Selvom GDPR har eksisteret i nogle år nu, så er der stadig mange virksomheder, som kæmper med at finde den bedste løsning til at træne deres medarbejdere i GDPR og øge deres opmærksomhed omkring sikkerhedsproblematikker. GDPR har nogle krav til træning, som gør det nødvendigt for medarbejdere at skulle igennem awareness-træning. Der er mange måder at implementere GDPR awareness-træning til sine medarbejdere: Det kan gøres online, fysisk eller som en kombination af de to. Og så er der mange emner, som man kan gennemgå. I denne blogpost gennemgår vi, hvorfor awareness-træning er vigtigt, for både GDPR-compliance og organisatorisk sikkerhed, samt hvordan awareness-træning til dine medarbejdere kan hjælpe din virksomhed til at opnå GDPR compliance og andre IT-sikkerhedsrammer.
Indholdsfortegnelse
-
GDPR-træning skal skabe gennemsigtighed
-
GDPR-træning styrker sikkerheden i hele organisationen
-
Almindelige emner indenfor GDPR-træning
-
De fleste sikkerhedsbrud skyldes menneskelige fejl, men sådan behøves det ikke at være
- Tekniske værktøjer kan ikke stå alene
-
GDPR awareness-træning: Gør dit hold til dit stærkeste forsvar
-
Awareness-træning hjælper dig med overholdelse af GDPRs træningskrav og andre cybersikkerhedscertificeringer
-
GDPR awareness-træning kan implementeres på forskellige måder
- GDPR-træning til medarbejderne øger opmærksomheden omkring sikkerhed
GDPR-træning skal skabe gennemsigtighed
GDPR (Persondataforordningen) blev introduceret af EU i maj 2018. Formålet var at man skal blive bedre til at kunne informere forbrugere om, hvordan deres persondata bliver brugt, og derved skabe bedre datahåndtering- og beskyttelse i organisationer.
Derved introducerede GDPR mange regler omkring håndtering af persondata og forebyggelse af sikkerhedsbrud, på linje med de 7 principper for databeskyttelse. Håndhævningen af disse regler kommer blandt andet via under truslen om store pengebøder til organisationer, som ikke overholder GDPR reglerne.
Selvom arbejdet med GDPR er blevet mere normalt nu, så er det stadig ikke unormalt at være i tvivl om, hvad man skal gøre i sin organisation for at være compliant. For eksempel kan det være svært at navigere i ting. Et eksempel her er rollerne som dataansvarlig og databehandler, samt hvordan man håndterer udvekslinger af data udenfor EU, og hvad der egentlig kvalificeres som værende persondata.
Alle i ens virksomhed har et ansvar, når det kommer til datasikkerhed. Den ligger ikke kun hos IT-holdet. Alle virksomheder, uanset størrelse, bør tage datasikkerhed alvorligt. Men det er ikke alle medarbejdere, der har masser af tid til at nærstudere GDPR-reglerne. Det er derfor, at GDPR-træning til medarbejderne er en vigtig del af at opbygge en sikker, og opmærksom organisation. Gennem GDPR-awareness-træning kan du blandt andet, hjælpe dine medarbejdere til at vide, hvordan de skal håndtere data i deres hverdag, og derved få jeres organisation tættere på at opnå GDPR-compliance. Datatilsynet har flere gange understreget vigtigheden af træning i persondatabeskyttelse.
Nogle andre emner, som man kan gennemgå i sin GDPR-træning, kan være:
- Hvad phishing er og hvordan man spotter en phishing e-mail
- Behandlingsgrundlag for personoplysninger
- Hvordan man bruger internettet sikkert
- De 7 GDPR-principper
- Hvordan man laver stærke kodeord
Du skal også være velkommen til at tage et kig i vores kursuskatalog, hvor du kan se eksempler på de awareness-træningskurser, som vi tilbyder. Det vigtige her er, at viden om sikkerhed ikke kun ligger hos IT-afdelingen, men at alle i din virksomhed kender til dette og er opmærksomme på det. Det kan dog være svært for den individuelle medarbejder, at holde sig opdateret på reglerne. For at illustrere vigtigheden af dette, kan vi tage et kig på hvad der kan ske, når man ikke forstår sikker datahåndtering.
Et sikkerhedsbrud betyder, at noget eller alt persondata, som en virksomhed håndterer bliver tilgået af folk uden for virksomheden. Det kan skyldes et uheld eller en ondsindet handling af en udefra. Det kan f.eks. ske ved at en medarbejder åbner en phishing e-mail, uheldigvis downloader malware eller ransomware, sender persondata til den forkerte modtager via e-mail, eller bruger en usikker, offentlig wi-fi-forbindelse.
Når folk tænker på sikkerhedsbrud, så tænker de ofte på ondsindede hackere, der angriber organisationens IT-systemer og stjæler data.
Det er bare sjældent det, der sker i virkeligheden. For det meste sker sikkerhedsbrud på grund af menneskelige fejl og små uheld.
Dette problem har to sider.
Den ene side er mennesker, der laver fejl eller håndterer data forkert, fordi de mangler viden om vigtigheden af sikker datahåndtering. Disse små fejl, der er skyld i sikkerhedsbrud, kan for eksempel være:
Den anden side af problemet er, at medarbejdere er mere udsatte overfor cyber-angreb, hvis de mangler viden om IT-sikkerhed. Det er dette som hackere forsøger at udnytte. Hvis de kan få mennesker til at begå fejl, så behøver de ikke at hacke og udnytte IT-systemer. Derfor forsøger hackere sig ofte med social engineering-angreb, såsom phishing-mails, der kan føre til databrud. Derfor er det vigtigt at træne medarbejdere i at kunne spotte phishing-e-mails.
Tekniske værktøjer kan ikke stå alene
Naturligvis forbliver teknisk IT-sikkerhed en vigtig del af, at holde din organisation sikker. Forskellige tekniske værktøjer, såsom mobile device management, eller SIEM og log management kan bruges til at reducere risikoen for sikkerhedsbrud, såsom:
Men selvom tekniske værktøjer helt sikkert lykkedes med at være yderst komplekse og helt sikkert beskytter imod meget, så er ikke engang de 100% effektive til at holde trusler ude. De er kun halvdelen af kampen og kan ikke forbedre:
-
Personaleadfærd: f.eks. forhindrer en firewall ikke personale i at give adgang til de forkerte personer
-
Uklare processer når det gælder håndtering af personoplysninger
-
Manglende viden om IT-sikkerhed
Dit stærkeste forsvar mod sikkerhedshændelser er opmærksomme medarbejdere, kombineret med klare processer til håndtering af data. Kort sagt: Alt personale skal have en klar forståelse for, hvad GDPR og persondata er, samt hvordan det skal håndteres.
Awareness-træning er et af de værktøjer, som din organisation kan bruge til at forbedre dit teams viden om IT-sikkerhed og sikker datahåndtering.
-
Artikel 39 kræver at din databeskyttelsesrådgiver skal øge opmærksomhedsniveauet og tilbyde træning til medarbejdere, som er involveret i databehandling
-
Artikel 43 kræver at medarbejdere, som har permanent eller fast adgang til persondata, modtager databeskyttelses-træning
Som vi tidligere diskuterede i dette blogindlæg, kan GDPR være kompliceret at forstå. Så du kan ikke forvente, at alt personale er eller bliver eksperter i GPDR. Derfor kan et GDPR-awareness-træningsprogram, være til stor hjælp til at forbedre personalets adfærd, da de her regelmæssigt får klare, simple og praktiske forklaringer på sikker datahåndtering.
Desuden, er opmærksomme medarbejdere, som løbende bliver mindet om IT-sikkerhed bedre rustet til at opdage phishing-angreb. Det er også mindre sandsynligt, at de laver andre fejl, såsom at gemme data forkert.
Udover opmærksomhed på IT-sikkerhed og vigtigheden af sikker datahåndtering, skal personalet også være opmærksomt på de specifikke processer og ansvarsområder, vedrørende informationssikkerhed i din organisation.
Det er altså IT-afdelingens og ledelsens opgave at skabe klare processer, som personalet kan følge og at udpege folk, som medarbejdere kan kontakte i forbindelse med spørgsmål om GDPR og informationssikkerhed. Det kan for eksempel være jeres Databeskyttelsesrådgiver. Både en IT-sikkerhedspolitik og en politik for IT-retningslinjer, er dokumenter, hvor disse processer kan beskrives.
GDPR-compliance er noget, der ligger på sinde hos de fleste organisationer. Der er forskellige rammer, som organisationer bruger til at hjælpe deres medarbejdere til at vedligeholde og dokumentere deres GDPR-compliance. Eksempelvis kan rammer være industri- eller landespecifikke. Det er dog ikke alle rammer der sikrer overholdelse af GDPR, men nogle har alligevel krav der overlapper. Mange af de forskellige rammer kræver faktisk også awareness-træning.
Nedenunder kan du se nogle af de andre rammeværk, som organisationer bruger i deres GDPR-arbejde, samt hvordan awareness-træning passer ind i hver af dem.
| Rammeværk: ISO 27701 |
|
| Beskrivelse | En udvidelse af ISO 27001, som er en international standard for informationssikkerheds praksisser. ISO 27701 har ekstra krav omhandlende persondata, der sikrer overholdelse af GDPR. |
| Krav til awareness-træningen | Klausul 7.2.2 kræver at alle medarbejderne i firmaet og nødvendige entreprenører, modtager awareness-undervisning og træning. |
| Rammeværk: ISAE 3000 GDPR |
|
| Beskrivelse | En specifik version af ISAE 3000, som inkluderer GDPR krav for overholdelse. Afhængig af mængden af persondata, som din organisation behandler, skal de enten overholde ISAE 3000 High (for høje mængder af persondata), eller ISAE 3000 low (for lave mængder af persondata). |
| Krav til awareness-træningen | Kræver den relevante træning af medarbejdere. |
| Rammeværk: CIS (Center for Internet Security Critical Security Controls) |
|
| Beskrivelse | Retningslinjer for bedste praksisser indenfor IT-sikkerhed med en liste af tiltag, som organisationer burde tage, for at undgå angreb. |
| Krav til awareness-træningen |
Kontrol 14 kræver at et sikkerheds-awareness program bliver skabt og vedligeholdt. Lær, hvordan du møder alle kravene til awareness træning i vores blogpost omkring CIS 18. |
| Rammeværk: ISO 27001 og 27002 |
|
| Beskrivelse | International standard med retningslinjer for bedste praksisser inden for IT-sikkerhedsstyringssystemer. |
| Krav til awareness-træningen | Klausul 7.2.2 kræver at alle medarbejdere i virksomheden og nødvendige entreprenører, modtager awareness-undervisning og træning. |
| Rammeværk: ISO 27001 og 27002 |
|
| Beskrivelse | International standard med retningslinjer for bedste praksisser inden for IT-sikkerhedsstyringssystemer. |
| Krav til awareness-træningen | Klausul 7.2.2 kræver at alle medarbejdere i virksomheden og nødvendige entreprenører, modtager awareness-undervisning og træning. |
| Rammeværk: NIST |
|
| Beskrivelse | Et amerikansk baseret framework med IT-sikkerheds retningslinjer, som virksomheder der laver forretning med den amerikanske føderale regering skal overholde. |
| Krav til awareness-træningen | Ens organisations leder, systemadministratorer og systembrugere være opmærksomme på sikkerheds risici, for at overholde rammeværk. Awareness-træning skal dække, hvordan man genkender og rapporterer trusler. |
| Rammeværk: CMMC |
|
| Beskrivelse | Vil snart erstatte NIST i Amerika. Bliver brugt af enheder der laver forretning med den amerikanske regering. |
| Krav til awareness-træningen | Der er forskellige niveauer for overholdelse. Niveau 2 og over indikerer et minimum niveau af cyberhygiejne. Kræver awareness-træning. |
| Rammeværk: ISRS 4400 |
|
| Beskrivelse | Minder om ISAE 3000, men ISRS 4000 er kun baseret på kriterier, som en revisor bliver bedt om at verificere. |
| Krav til awareness-træningen | Kræver relevant træning af personale. |
At komme godt i gang med awareness-træning er lettere, end du måske tror. Det hele handler om at give folk viden om persondata og IT-sikkerhed på en måde, som de let kan forstå og huske. Det er derfor en god ide at sprede denne viden på flere forskellige måder, og gennem flere kanaler, for virkelig at skabe størst mulig opmærksomhed.
Du kan f.eks. kombinere forskellige former for e-læring og fysisk undervisning. E-læring kan hjælpe jer til at opnå en vis kontinuitet og tilskynde medarbejdere til at lære i deres eget tempo. Fysiske tiltag kan lette udvekslingen af ideer, og omsætte viden til praksis.
Der er dog mange flere muligheder for at sammensætte et godt awareness-træningsprogram. Her har vi samlet nogle tips til at sammensætte et træningsprogram til dine medarbejdere. Du kan være så kreativ, du vil.
Forskellige GDPR-awareness-træningsmetoder
Nedenfor viser vi nogle eksempler på forskellige formater til træning:
Online GDPR-træning: Korte online e-læringsmoduler, der består af videoer, tekst, quizzer og mere.
Fysisk undervisning: Længere sessioner givet af en instruktør, eller ekspert. Dette kan tilskynde til diskussion.
Simuleringer: Phishingsimuleringer og andre simuleringer giver folk mulighed for, at øve deres viden i realistiske situationer.
Workshops: For eksempel en workshop, hvor personalet kan placere sig i en hackers sko og lære at forstå, hvordan hackere tænker.
Gratis tilgængeligt online materiale: Der er mange gratis materialer tilgængelige online. Dette spænder fra YouTube-videoer til regeringskampagner, til plakater og diagrammer, som du kan hænge på kontoret. Se for eksempel Sikker Digitals hjemmeside, eller Datatilsynets egen hjemmeside.
Et andet eksempel er den Europæiske Unions Agentur for Cybersikkerhed (ENISA), som har gratis materiale man kan bruge til at promovere IT-sikkerhed. Derudover har NCSA (United States National Cyber Security Alliance) en gratis videoserie, som du kan dele med dine medarbejdere.
Gruppeaktiviteter og spil: Disse kan være i forskellige formater, f.eks. et escape room eller et Cluedo-lignende scenario, hvor holdet skal finde ud af, hvordan og af hvem virksomheden blev infiltreret.
GDPR-træning til medarbejderne øger opmærksomheden omkring sikkerhed
Udover det vi allerede har nævnt, så er der mange muligheder for at lave awareness-træning. Vi har lavet en guide med 11 gode råd til, hvordan du lykkedes med jeres awareness-træning. Du skal og kan vælge lige præcis de formater, der passer bedst til din organisations behov, og som måler effekten af træningen hos dine medarbejdere. En god awareness-træning er en, som medarbejderne ikke ser som en byrde, men som de måske endda ser frem til.
Succesfulde awareness-træningsteknikker resulterer i medarbejdere, der er intuitivt opmærksomme på, hvad de skal gøre i deres egen daglige arbejdsgang for at overholde GDPR, samtidig med at de forbedrer den generelle IT-sikkerhed i organisationen. I sidste ende kan medarbejdere, der er opmærksomme, vise sig at være dit stærkeste IT-sikkerhedsforsvar.
