Measuring the effect of awareness training
Measuring the effect of awareness training

Sådan Kan Du Måle Effekten af Awareness-Træning

Joanna Kwong

Hackere målretter deres angreb imod mennesker, ikke computere. De forsøger at udnytte folks adfærd, da mennesker ofte laver  svage passwords, deler loginoplysninger med hinanden, downloader usikre programmer og meget mere. Ansatte er derfor en af de vigtigste roller, når det kommer til at sikre persondata og ens it-systemer. Derfor bruger mange virksomheder awareness-træning for at beskytte deres data og være compliant med GDPR.

Men hvor effektivt er awareness-træning egentlig? I dette blogpost vil vi dykke ned i konkrete tips til, hvordan du kan måle effekten af awareness-træningen i din virksomhed. Vi vil også vise, hvordan vi forsøger at måle effekten og hvilke resultater vi ser.

Virker awareness-træning? Videnskaben siger ja!

I en undersøgelse med 2900 medarbejdere havde man implementeret awareness-træning om IT-sikkerhed, hvilket inkluderede kurser om passwords. Blandt 190 tilfældigt udvalgte ansatte kunne man se, at 114 af dem overholdt både politikken for passwords samt de øvrige sikkerhedspolitikker og -procedurer.

Derudover blev der udført en detaljeret statistisk analyse af sikkerhedsniveauet og styrken af passwords. Resultatet af den tekniske gennemgang af passwords viste, at målsætningerne for højere sikkerhed var blevet nået – de overgik endda kontrollanternes forventninger. Resultaterne viste, at brugen af svage passwords før awareness-træningen lå på 35,6%. Efter et års træning var tallet faldet til 6,9%. Dette tal oversteg virksomhedens forventninger og målsætninger. Selvom det måske ikke er muligt for din virksomhed at kontrollere styrken af alle ansattes passwords, er der mange andre måder, hvorpå du kan forsøge at måle effekten af awareness-træning.

Det skal sige, at målingen af passwords styrke selvfølgelig kun er én ud af mange måder hvorpå du kan se, om awareness-træningen har været effektiv. I sidste ende har træningen mange facetter og emner såsom de ansattes tilfredshed med træningen og deres kommunikation omkring sikkerhedsbrud, blot for at nævne nogle få.

Effekten af e-læring

I løbet af det seneste årtis tid er udvalget af e-læring vokset betydeligt, og i dag kan man tage e-kurser i alt – lige fra at tage en universitetsuddannelse til at lære at spille guitar. Det er praktisk, for det betyder, at mange mennesker kan blive undervist når som helst og hvor som helst. E-læring er dog ikke altid den mest effektive undervisningsform. Dette har to hovedårsager:

  1. Visse færdigheder kræver fysisk undervisning med praktisk øvelse væk fra computerskærmen, og
  2. mange udbydere af e-undervisning kopierer desværre fysisk undervisning direkte til digitalt format, hvilket ikke passer til formatet og derfor ikke er effektivt

Når man lærer at spille guitar, kan alle lære teorien og de basale færdigheder gennem e-læring. Men i takt med at eleven bliver dygtigere, vil det klart være en fordel, hvis læreren sidder ved siden af vedkommende og kan give mere personlig vejledning ud fra elevens styrker og svagheder.

Det er vigtigt at understrege, at awareness ikke er det samme som uddannelse. Awareness betyder blot, at man er opmærksom på en bestemt problemstilling, mens uddannelse antyder, at man træner deciderede kompetencer til at håndtere en lang række situationer. Formålet med awareness-træning er hovedsageligt at hjælpe med at opretholde det rette fokus og derved hjælpe med at undgå fejltagelser. IT-kompetencer er et bredere område som awareness-træning kun er en del af.

Du kan her læse mere om, hvordan e-læring og traditionel læring kan sammenlignes, når det kommer til awareness-træning her.

Sådan kan effekten af awareness-træning måles

Når man starter et nyt projekt op, er det altid en god idé at måle den effekt, det har på din virksomhed. Hvordan ved du ellers om dit arbejde har båret frugt?

I dette afsnit gennemgår vi et par måder, hvorpå du kan måle effekten af awareness-træning.

Det er dog vigtigt at være opmærksom på, at målingen af awareness-træningens effekt afhænger af din virksomheds målsætninger og kontekst. Her er et par tanker til hvad ens mål kan være:

Andre parametre, såsom din virksomheds størrelse og erfaring inden for IT, er også med til at bestemme hvordan virksomheden vælger at måle effekten. Vi anbefaler, at man bruger cyklussen Plan-Do-Check-Act (PDCA) til at etablere en proces for at få en effektiv informationssikerhed.

Overvåg træningen

Første skridt for at måle effekten af awareness-træningen er at overveje følgende punkter:

platform-awt-overview
Klik for at forstørre

På vores security-platform kan du hurtigt få et overblik over jeres awareness-træning. Men du får dog ikke det fulde perspektiv blot ved at se på tallene. Vi anbefaler, at du kombinerer indsigterne fra vores sikkerhedsportal med en eller flere af de nedenstående metoder til måling af effekten.

Spørg ind til kollegaers feedback og tilfredshed

Når alle sidder begravet i deres daglige opgaver, møder og tidsfrister, er det fristende at prøve at undgå at tale direkte med ens hold om awareness-træningen, da man ikke vil forstyrre og tage deres tid. Men selvom det kræver en indsats at bede om feedback, så vil den indsigt, du får ud af det, være det hele værd, og det behøver ikke at være så svært.

Her er nogle af de spørgsmål du kan stille dine kollegaer:

En metode, som man kan bruge er, at sende et spørgeskema ud for at få ens ansattes feedback. På den måde har du chance for at få så mange svar som muligt. Vi har en skabelon, som du kan downloade her.

Vi har bedt om feedback fra nogle brugerne af CyberPilots awareness-træning. 849 brugere* besvarede vores spørgeskema, og de sagde følgende.

Vi anbefaler også, at man taler med sine medarbejdere over en hurtig kop kaffe eller et kort online opkald for at høre, hvad de synes om awareness-træningen. Du kan lære ting, som du ikke vidste, at du ikke vidste.

Phishing-træning kan bruges til at måle effekt af awareness-træning

Phishing er en af de største trusler inden for it-sikkerhed, især fordi it-kriminelle bliver bedre og bedre til at udvælge og narre os. Én måde hvorpå du kan måle effekten af awareness-træning er at måle, hvor godt forberedt dit team er på phishing. Det kan gøres ved udsætte dem for phishing-simulationer gennem phishing-træning. Hvis man både laver en phishing-simulation før og efter Awareness-træning, kan man sammenligne resultatet.

Vi laver phishing-kampagner for virksomheder, hvor vi sender falske mails til deres medarbejdere. Kampagnerne sendes ud som e-mails og har ofte et lokkende emne, som opfordrer de ansatte til at klikke på et link. Når de har åbnet linket, vil de blive bedt om at ”logge ind” for at få adgang til oplysningerne. Det er sådan it-kriminelle får e-mailadresser og passwords, som giver dem adgang til virksomhedens systemer. For at måle hvor godt forberedt dine ansatte er, kan du se på nedenstående resultater:

I vores phishing-case (kan hentes på denne side) kan man se, hvordan medarbejdere har klaret sig mod vores phishing-mails. Spoiler: ud fra vores undersøgelser er medarbejdere meget mindre tilbøjelige til at oplyse deres personlige data efter at have deltaget i awareness-træning.

Det er en stor forbedring! Du kan også se resultatet fra nogle af vores phishing-mails i dette blogpost.

Kommunikation om sikkerhedsbrud kan bruges som måling

Det er ikke kun vigtigt for dine medarbejdere at undgå trusler såsom phishing eller malware. De er også nødt til at fortælle deres kollegaer og den IT-ansvarlige om de sikkerhedshændelser, som de oplever. GDPR lægger vægt på vigtigheden af at dokumentere sikkerhedsbrud og hændelser. I denne dokumentation skal man uddybe, hvordan sikkerhedsbruddet blev rapporteret eller opdaget.

I forbindelse med vores awareness-træning gør vi det klart, at vi der er vigtigt, at medarbejdere føler sig trygge i at fortælle om sikkerhedshændelser, da det ikke gavner noget at holde hemmeligt.

Hvis du er databeskyttelsesansvarlig, og du ved med sikkerhed, at der er sket et data- eller sikkerhedsbrud, men ingen har gjort dig opmærksom på det, er du nødt til at adressere dette på en konstruktiv måde, så medarbejdere ikke bliver hængt ud. Man kan altså også måle awareness-træningens effekt på, hvor mange medarbejdere, der fortæller om sikkerhedshændelser. Har de set mistænkelige mails, har de oplevet persondata, der ikke blev håndteret ordentligt og lignende.

Her er et par ting du kan gøre og være opmærksom på, hvis du vil måle kommunikationen omkring sikkerhedsbrud i din virksomhed:

Vi vil gerne høre fra dig

I dette blogindlæg har vi beskrevet de måder hvorpå, du kan måle effektiviteten af awareness-træning i din virksomhed. I den forbindelse har du måske talt med dit team om hvad de synes om vores awareness-træning. Er der noget vi kan gøre bedre? Er der noget der vil gøre jeres oplevelse bedre? Fortæl os om det på info@cyberpilot.io

Hvis du ikke har prøvet vores awareness-træning, så kan du prøve det gratis her.

Tilmeld dig vores nyhedsbrev

Modtag nyheder om gratis skabeloner, værktøjer og blogindlæg fra CyberPilot

Gør som 2000+ andre og tilmeld dig vores nyhedsbrev. Her modtager du løbende inspiration, værktøjer og historier om god IT-sikkerhed – direkte i din indbakke. Vi sender ca. én gang om måneden.

Top

Kontakt os

Du er altid velkommen til at kontakte os
for en uformel snak om IT-sikkerhedsudfordringer..

Kontakt os

Du er altid velkommen til at kontakte os
for en uformel snak om IT-sikkerhedsudfordringer..