Contact us: +45 32 67 26 26

Hvordan Du Laver En Træningsplan For Phishing Og Social Engineering

Sarah Hofmann
By: Sarah Hofmann IT-sikkerhed | 31 maj

At træne ens medarbejdere i IT-sikkerhed er en essentiel del af alle organisationers IT-sikkerhedsarbejde. Mens GDPR og andre IT-sikkerheds frameworks kræver denne form for træning, hjælper det også med at skabe en stærk IT-sikkerhedskultur. Men at vælge, hvad man skal dække i disse kurser, og hvordan man planlægger kurser på en måde, der giver mening, kan være en udfordring for selv den mest erfarne IT-sikkerhedshaj. Mange synes, at phishing er en af de vigtigste emner at dække og i denne blogpost snakker vi om, hvordan man kan lave træningsforløb omkring phishing os social engineering. 

Hvorfor dække phishing og social engineering i IT-sikkerheds træning? 

Vores medarbejdere er vores vigtigste forsvar, når det kommer til at beskytte vores organisationers datasikkerhed, men de kan også være vores største svaghed pga. menneskelige fejl. Vi bruger alle en masse tid på at checke e-mails, og derfor prøver IT-kriminelle at udnytte godtroende medarbejdere med phishing e-mails. Desværre kræver det kun én medarbejder, der falder for en phishingmail for at kompromittere hele organisations sikkerhed.

Phishing er derfor en af de største IT-sikkerhedstrusler, som virksomheder står overfor hver dag. Derfor er det vigtigt, at alle medarbejdere ved, hvordan man genkender en phishingmail, hvad man skal gøre, når man spotter en.

Udover phishing, så er det vigtigt at lære dine medarbejdere om andre social engineering taktikker. IT-kriminelle bruger social engineering metoder til at manipulere vores opførsel og få os til at føle, at vi er nødt til at tage handle, som at klikke på en phishingmail. Ved at lære dine medarbejdere om social engineering taktikker vil de lettere genkende angreb, når metoderne bliver brugt mod dem. 

At træne dine medarbejdere i disse emner er en effektiv måde at øge awareness mellem dine kollegaer. Udover informativ træning, så anbefaler vi også praktiske øvelser, så som phishing øvelser. 

Smart CTA_e-book DK

Eksempel på en kursusplan 

Her kan du se en potentiel liste over kurser, der dækker hele phishing og social engineering emnet. Udover det, så kan du også se en kort oversigt over det indhold, vi dækker i hvert kursus. Hvis du er interesseret i at se, hvilke andre emner som vi dækker i vores awareness træning, så kan du se hele vores kursuskatalog her. 

Er du interesseret i at selv prøver kurserne? Vi tilbyder en 14 dages gratis prøve, så du bedre kan få en idé om hvad kurserne inkluderer. Her kan i lave jeres helt egne træningsprogrammer som den herunder, eller I kan følge vores anbefalede læringsplan, hvor vi udsender kurserne til jer.

Kursus Indhold Sprog Video
Phishing* 
  • Introduktion til phishing 
  • Advarselstegn phishing 
  • Grundlæggende håndtering af phishingmails 
EN, DK, DE, SE, NO, NL, PL 

Ja 

Hvordan man spotter en phishingmail 
  • Dybdegående information om advarselstegn phishing 
  • Hvordan man håndterer phishingmails 
EN, DK  Nej 
Hvordan man håndterer en phishingmail 
  • Advarselstegn på phishingmails 
  • Dybdegående information om, hvordan man håndterer dem 
EN, DK, DE, SE, NO, NL, PL  Yes 
Målrettet phishing 
  • Hvordan IT-kriminelle skaber troværdige phishingmails ved at undersøge organisationen de angriber 
EN, DK, DE, SE, NO, NL, PL  Ja 
Hacking på sociale medier 
  • Awareness om scambeskeder sociale medier 
  • Speciel opmærksomhed mistænkelige beskeder fra kendte kontakter pga. Hackede kontoer 
  • Tips til at beskytte din egen konto mod at blive hacket 

EN, DK, DE, SE, NO, NL, PL  Ja 
Telefonsvindel 
  • Awareness om social engineering via telefonopkald 
  • Taktikker til at undgå, at føle pres eller blive manipuleret over telefonen 
  • Awareness om, at telefonnumre kan blive forfalsket (spoofing) 
EN, DK, DE, SE, NO, NL, PL  Ja 

*Dette kursus bliver normalt sendt ud i forbindelse med implementeringen af CyberPilots awareness-træning 

Som du kan se fra disse eksempelkurser og indhold, så har vi typisk en beskrivelse af truslen, og hvorfor det er vigtigt at fremme en sund skepticisme, når det kommer til e-mails og anmodninger. Målet af træningen er, at medarbejdere opnår konkret viden, som de kan bruge i deres daglige arbejde. Derfor består kurserne af viden og konkrete tips.

Det praktiske ved træningen 

Så, nu da du har en idé om potentielle emner, som du kan dække i din phishing og social engineering træning, så lad os nu snakke om den sjove del – At træne dit hold til at blive dit bedste forsvar. Dethandler om at sikre, at dine kollegaer får det meste ud af kurserne. Derfor er det vigtigt at overveje timingen og indholdet af dine kurser. Dette hjælper vi selvfølgelig også med.

Hvor ofte skal man udføre træning? 

Baseret på vores erfaring, så anbefaler vi, at dine medarbejdere modtager et kursus om måneden eller hver anden måned. Du kan vedligeholde kontinuerlig awarenes ved at levere træning hver måned uden at overvælde eller udmatte dine kollegaer med for mange kurser at gennemføre. 

Selvfølgelig, så kommer antallet af kurser, som du tilbyder hver måned an på dine medarbejderes eksisterende viden, og de ressourcer, du har til rådighed, til at skabe og implementere træningen. Du bør derfor overveje, hvad der er bedst for din organisation og dine kollegaer. Alt dette hjælper CyberPilot selvfølgelig med, og vi kan også stå for udsendelsen og tilrettelæggelsen af jeres træningsprogram.

Hvordan vælger du, hvilke emner man skal dække hver gang? 

Vi designer hvert kursus til at være selvstændig og uafhængig af andre kurser, så de kan blive gennemført i hvilken som helst rækkefølge og uanset mængden af viden, som medarbejderen har. Det gør processen af at udvælge kurser fleksibel og nem, specielt når du onboarder nye medarbejdere. Det giver dig også mulighed for at dække emnerne i en passende mængde tid. 

Udover dette, så anbefaler vi også, at du spreder dine kurser med et bestemt fokusområde ud over en længere periode, så man ikke glemmer det, og så dine medarbejdere ikke bliver trætte af emnet. F.eks. kunne du skifte mellem phishing og social engineering kurser, og kurser der dækker GDPR eller sikker databehandling. 

Vi håber at denne blogpost har været behjælpelig! Hvis du har nogen spørgsmål til at designe et træningsprogram eller gerne vil lære mere om at dække forskellige emner i din egen træning, så er du velkommen til at tage kontakt til os.