Hvad skal der til for at lave Security Awareness træning selv
Der er mange udfordringer ved at arbejde med security awareness træning på egen hånd, og det kan være svært at forudsige dem alle, hvis man ikke selv har prøvet at sætte det op. En af de største udfordringer er, at man ikke har tid eller ressourcer nok til at skabe, administrere og vedligeholde et program af høj kvalitet på egen hånd. I dette blogindlæg giver vi dig vores råd om, hvad der skal til for selv at lave et vellykket awareness træningsprogram. Vi forklarer det hele for dig, og til sidst skriver vi også om, hvad det er, vi kan hjælpe med. Forhåbentlig kan det hjælpe dig med at finde ud af, om du vil lave din egen awareness-træning eller bruge noget hjælp udefra.
Det er sværere at lave awareness træning på egen hånd, end de fleste tror.
Det er nemt at undervurdere den mængde arbejde, der ligger i at skabe et awareness-træningsprogram af høj kvalitet. Men det er virkelig en stor opgave. Uanset om du laver træningen online eller personligt, er du nødt til at investere betydelige mængder tid og penge for at få det op at køre. Og så skal du vedligeholde det.
Selvfølgelig kan du lave et meget simpelt træningsprogram. Måske vil det bestå af et par dokumenter, som dine medarbejdere skal læse, eller en PowerPoint-præsentation, som du giver på et møde i hele organisationen.
Men tror du, at det ville virke?
Ja, det ville få informationen ud, men den bedste læringsforskning siger, at det ikke vil føre til en ændring i adfærd eller høje langsigtede bevidsthedsniveauer. Træningen kan hjælpe dig med at sætte flueben i en boks for compliance, men det vil sandsynligvis ikke reducere sandsynligheden for en sikkerhedsbrud i din organisation.
Vi anbefaler at fokusere på træning af høj kvalitet
Hos CyberPilot tror vi på security awareness-træning, hvor langsigtet læring, awareness, gode digitale vaner og en stærk sikkerhedskultur er i fokus.
Det synes vi også, du skal, hvis du vil øge din organisations cyber sikkerhed.
Din træning skal give dine brugere den allerbedste chance for at lære gode digitale færdigheder og beskytte din organisation mod sikkerhedstrusler.
For at opnå de bedste langsigtede læringsresultater anbefaler vi, at du gør det interaktivt, engagerende og kontinuerligt. Det kan du gøre ved at skabe mikrolæring og lave undervisningsmateriale, der kræver brugerdeltagelse. For at få nogle andre ideer har vi skrevet 11 tips til at få succes med security awareness-træning.
Så nu, hvor vi har indstillet sigtekornet på kvalitetsuddannelse, lad os dykke ned i, hvad der skal til for at skabe et kontinuerligt, engagerende uddannelsesprogram.
For det første har du brug for en digital platform til at understøtte din træning.
Det er tidskrævende og dyrt at lave personlig træning, så mange organisationer vælger online træning. Det er mere bekvemt for medarbejderne og træningsadministratoren, især i en større virksomhed, hvor det kan være svært at samle alle. Online-træning har også den fordel, at man kan spore, hvem der har gennemført træningen, og at brugerne kan gennemføre den, når det passer dem.
At lave awareness-træning digitalt kræver en platform, hvor du både kan sende kurser ud og følge op på resultaterne. Så du skal bruge et LMS til at administrere træningen.
- Et populært dansk LMS-system, Activate LMS, starter ved €1.600 pr. bruger pr. år med ekstra omkostninger til oprettelse af LMS'et, branding og single sign-on. Hvis du køber det for første gang, koster det 1.350 euro ekstra for at få LMS'et oprettet og sat op for dig.
Du skal også bruge et værktøj til at oprette kurser
At have et LMS er det første skridt, men det vil ikke være til megen nytte, hvis du ikke har noget undervisningsmateriale at sende ud. Så du vil sandsynligvis købe et forfattersystem, der kan hjælpe dig med at opbygge e-learning-kurser af høj kvalitet.
- Det mest udbredte forfatterværktøj, Articulate, koster omkring 1.050 euro for en bruger hvert år.
Så med LMS'et og forfatterværktøjet starter dine årlige omkostninger det første år på omkring 4.000 euro for én bruger. Men du har sandsynligvis brug for mere end én bruger, så omkostningerne vil hurtigt stige.
At skabe gode kurser er ikke en no-brainer
Med et forfatterværktøj tror du måske, at det vil være nemt at lave undervisningsmaterialet. Det er helt sikkert lettere at skabe e-learning-kurser af høj kvalitet, hvis man har værktøjet. Men det er svært at lave godt materiale, der kommunikerer et emne godt, er visuelt engagerende og giver dig mulighed for at teste læringsresultater.
Lad os se det i øjnene - de fleste IT-chefer er ikke eksperter i kommunikation eller læringsdesign. Og det er helt i orden! Alt dette betyder, at værktøjerne blot er teknologi, der kan støtte dig - men de kan ikke gøre alt det hårde arbejde for dig.
Og så bliver du nødt til at afholde kurserne løbende
For at give dig en idé om, hvad det kræver at lave et godt kursus, vil vi fortælle dig, hvordan vi gør tingene hos CyberPilot.
Vi bruger faktisk mindst 100 timer på at lave bare ét kursus på 5-7 minutter. Det er en kæmpe investering! Det lyder måske af meget, men når du tænker på, hvor lang tid det tager at finde på og udføre indholdet til alle de forskellige dele af kurset, begynder det at løbe op. Det inkluderer ikke engang runderne med feedback og redigeringer for at sikre, at du kommunikerer på dine brugeres eget niveau.
For at holde træningen kontinuerlig bliver du nødt til at oprette kurser igen og igen. Vi anbefaler, at du giver dine medarbejdere 1-2 kurser hver 1-2. måned for at opbygge og vedligeholde bevidstheden.
Vi laver selvfølgelig også vores kurser til tusindvis af mennesker, så vi tager os tid til at sikre, at de er af fremragende kvalitet. Hvis vi kun lavede kurserne til vores egen virksomhed, ville det måske tage mindre tid end 100 timer pr. kursus.
Et forsigtigt skøn er, at det kan tage et sted mellem 15-40 timer pr. kursus, afhængigt af hvor meget research du laver, kvaliteten af kurset og den tid, du bruger på at indarbejde feedback. De første par kurser vil tage længere tid at lave, da du er ved at lære at bruge LMS og forfatterværktøjet.
Hvad ville det koste for en gennemsnitlig virksomhed at lave deres egne kurser?
Lad os regne det ud.
Hvis du laver det minimale antal kurser, et hver anden måned, bliver det 6 kurser om året. Lad os sige, at lønnen for den person, der laver kurserne, er 27 euro i timen (dette er et lavt lønskøn, da den gennemsnitlige timeløn i Danmark er 36 euro). Med vores konservative skøn vil 6 kurser tage mellem 90-240 timer om året bare at lave. Det svarer til en løn på mellem 2.400 og 6.500 euro om året for at lave kurserne.
Så med LMS, forfatterværktøj og arbejdskraft er omkostningerne ved at lave kurserne selv nu mindst et sted mellem €6.400 og €10.500 om året for bare én bruger.
Du bør lave en læringsplan, der balancerer gentagelse med ny information
En del af et vellykket awareness-træningsprogram er kursusplanen. Ligesom du ikke kan starte med avanceret matematik, når du lærer matematik, er du nødt til at give grundlæggende viden om IT-sikkerhed, før du kan gå i gang med de mere komplicerede ting. Der er så mange emner, som det er vigtigt for dine kolleger at kende til, og hvis du bruger vores anbefalede mikrolæringsformat, kan du ikke pakke alt, hvad der er værd at vide om et emne, ind i ét kursus.
Så du bør planlægge at starte med det grundlæggende. Derfra kan du opbygge en læseplan, der gentager de vigtigste færdigheder og samtidig giver ny viden.
Det vil være nyttigt for dig at bruge lidt tid på at finde ud af den rigtige læseplan i begyndelsen, så du ved, hvilke emner din træning skal dække nu, og hvor du vil have den til at ende.
Det kan tage et par timer, når du skal i gang.
Oprettelsen af træningen er kun det første skridt
Når du har oprettet et træningskursus, skal du kommunikere om træningen til dit kontor, så alle er om bord. Du skal også administrere, hvordan og hvornår dine kurser bliver sendt ud, og følge op med de af dine kolleger, der ikke har gennemført træningen.
Vi anbefaler også, at du aktivt søger input og feedback fra din organisation om træningen, så du kan sørge for at forbedre dig med hvert nyt kursus, du opretter. At få brugerfeedback vil også få dine medarbejdere til at føle, at de er en værdifuld del af træningen, hvilket er en god ting.
Så hvert nyt kursus, du sender ud, vil kræve mindst en time eller to af kommunikationsarbejde alene.
Med den samme timeløn på 27 euro svarer det til mellem 160 og 320 euro om året for at administrere træningen.
Alt i alt koster det nu mindst et sted mellem 6.560 og 10.820 euro om året for én bruger at lave og administrere træningen selv.
Men du har sikkert brug for mere end én bruger
Lad os gøre eksemplet mere realistisk. Lad os sige, at du har en virksomhed med 100 medarbejdere, som alle skal tage uddannelsen. For at holde det enkelt antager vi, at du kun har brug for én administrativ bruger til LMS og forfatterværktøjet.
Activate LMS opkræver yderligere 8 euro om året for hver 100 brugere. Så LMS-prisen er nu €3.750 for det første år, og med forfatterværktøjet vil værktøjsomkostningerne være €4.800 om året.
Med en timeløn på 27 € for oprettelse og administration af 6 kurser vil arbejdskraften koste mellem 2.575 € og 6.760 € om året.
De samlede omkostninger ville være et sted mellem 7.375 og 11.560 euro om året. Og det er for det absolutte minimum på 6 kurser om året.
Det er en løbende proces
De trin, vi har taget dig igennem for at planlægge, skabe og administrere awareness-træning, skal gøres løbende. Så du bliver nødt til at blive ved med at oprette nye kurser, mens du følger op på den træning, du allerede har sendt ud.
Hvis det kun er dig, der har ansvaret for træningen, kan din tid hurtigt blive opslugt af disse opgaver. Det kan være, at du bliver nødt til at ansætte en anden for at få det hele gjort med uddannelsen plus dine andre IT-sikkerhedsopgaver. Det er noget, du bliver nødt til at overveje, når du planlægger de ressourcer, det vil kræve at skabe og vedligeholde et effektivt awareness-træningsprogram.
Det handler om den tid, der bruges på at skabe programmet, og den tid, der bruges på at administrere det.
Det kan være nyttigt at opdele awareness-træningen i to kategorier: den tid, der bruges på at skabe træningen, og den tid, der bruges på at administrere den. Oprettelsesdelen er der, hvor størstedelen af din tid vil blive brugt, hvis du gør det selv. Her skal du finde frem til de emner, du vil træne dine medarbejdere i, det vidensniveau, du vil skabe, og den læringsfilosofi, du vil følge. Og så sætter du det hele i værk ved at skabe godt træningsmateriale til dine kolleger.
Ledelsesdelen kommer til at tage dig meget mindre tid. Du skal bare beslutte, hvornår du vil sende kurser ud (og hvem der får hvilke kurser), kommunikere om vigtigheden af uddannelsen og så følge op på ufuldstændig uddannelse, når det er nødvendigt.
Hvad du bør overveje, når du beslutter dig for at gøre det selv eller få hjælp udefra
Det er et stort arbejde at gøre alene, men det er ikke umuligt. Vi opfordrer dig til at være realistisk omkring, hvor meget tid du kan afsætte til awareness-træning, hvis du fortsætter med at udføre alle dine nuværende opgaver.
- Har du tid og ressourcer nok til at få det hele gjort?
- Giver dit budget dig mulighed for at købe de nødvendige værktøjer?
- Hvad med at ansætte en anden holdkammerat til at hjælpe med dine andre opgaver?
- Hvor meget ved du allerede om best practice inden for træning?
- Hvor mange kurser kan du realistisk set lave hvert år? Er det nok?
- Hvilke andre opgaver kan glide ud i sandet?
- Vil du være i stand til at opretholde et langsigtet træningsprogram?
Det er bare nogle af de spørgsmål, du bør stille dig selv. Så vil du være i en bedre position til at beslutte, om du vil stå for træningen selv eller få hjælp udefra.
Der er selvfølgelig også en anden måde.
Vi kan gøre 90% af arbejdet med awareness-træning for dig.
Our security awareness training can do almost all the work for you
CyberPilots awareness-træning løser mange af de ovenstående udfordringer. Vi tager os helt af den tid, software og ekspertise, der er nødvendig for at skabe god træning. Vi har e-learning-platformen, dusinvis af færdige kurser i topkvalitet og en træningsplan, som du kan følge.
Det eneste, du skal gøre, er at kommunikere, hvorfor træningen er vigtig, og sende personlig opfølgning for at sikre, at træningen bliver prioriteret i din organisation.
Husk vores konservative omkostningsestimat for selv at skabe og administrere træningen for 100 medarbejdere: et sted mellem €7.375 og €11.560 om året.
Med CyberPilots awareness-træning er den samlede årlige omkostning for 100 brugere 5.504 euro.
Vi siger ikke, at det er spild af tid og penge at lave uddannelsen selv, men hvorfor ikke i det mindste prøve vores kurser og se, hvad du synes?
Vi tager os af alt det arbejde, der er nødvendigt for at skabe et træningsprogram
Ved at bruge CyberPilots kurser og platform lige ud af boksen, tager vi os straks af omkring 90% af det arbejde, der er nødvendigt for at køre et awareness-træningsprogram.
- Vores træningsplatform samler alt, hvad du har brug for på ét sted med værktøjer til nemt at sende kurser ud, spore gennemførelse og opfølgning.
- Vi har eksperter i læringsdesign - så du behøver ikke at være det.
- Du får snesevis af færdige kurser med et nyt kursus hver anden måned.
- Det er nemt at følge vores kursusplan, som fortæller dig, hvornår du skal sende hvilke kurser ud.
Med CyberPilot lægger du 10% af træningsarbejdet i stedet for 100%
Hvis du beslutter dig for at skifte spor og arbejde med en udbyder af sikkerhedstræning som os, vil du kun være ansvarlig for at udføre noget af arbejdet med at administrere og styre programmet. Det er de opgaver, der har brug for dit menneskelige touch, såsom at arbejde på at forbedre organisationens sikkerhedskultur. De kan ikke automatiseres med succes og udføres bedst af en person med viden om og lederskab i din organisation.
Det eneste, der er tilbage, er at følge op på træningen, når det er nødvendigt, og arbejde for at fremme en stærk sikkerhedskultur i din organisation. Det er ca. 10% af arbejdet. Selv om du skal gøre det selv, vil vores customer success managers være der for dig hele vejen for at hjælpe dig med at få succes.
Du kan nøjes med at bruge 1-2 timer om måneden på træning.
Vi ønsker at gøre træningen så nem som mulig, så vi giver dig kun opgaver, der kræver din indsats, for at programmet kan lykkes. De fleste af vores administratorer bruger ikke mere end en eller to timer hver måned på awareness-træning.
Så at få træning udefra er med til at give vores kunder masser af timer tilbage i deres dag til at fokusere på andre opgaver. Og de kan være sikre på, at deres organisations træning er i gode hænder.
Se, hvad vores kunder siger om vores awareness-træning.
Konklusion
Vi håber, at dette indlæg har hjulpet dig med at få en idé om, hvad det kræver at gennemføre security awareness-træning på egen hånd. Vi ved, at det kan være et stort arbejde, men det er også det, vi er her for at hjælpe dig med. Hvis du er interesseret i at lære mere om, hvad der skal til for at få et vellykket awareness-træningsprogram, så kontakt os på info@cyberpilot.io.
You will receive inspiration, tools and stories about good cyber security practice directly in your inbox. Our newsletter is sent out approximately once a month.