Tilbake til bloggen
6 min read

Er Bevissthetstrening verdt prisen?

Sarah Hofmann
By: Sarah Hofmann Bevissthetstrening | 14 januar

Hvis du leser dette, lurer du kanskje på hvilken verdi trening i IT-sikkerhet kan ha for organisasjonen din. Bevissthetstrening  lærer kollegene dine å praktisere gode sikkerhetsvaner og reduserer risikoen for sikkerhetsbrudd. Men når alt kommer til alt, er det ofte budsjettet som avgjør hva slags trening du kan gi kollegene dine. I dette blogginnlegget bruker vi data for å forklare hvorfor sikkerhetstrening er vel verdt kostnaden. Visste du for eksempel at det er 30 % sjanse for at en organisasjon vil oppleve et sikkerhetsbrudd i løpet av de neste to årene? Eller at Bevissthetstrening reduserer sikkerhetskostnadene for en ansatt med 52 %?

Vi går gjennom treningskostnader, konsekvensene av sikkerhetsbrudd og den gjennomsnittlige avkastningen på trening. God fornøyelse med lesningen!

 

Typer av Bevissthetstrening

Det finnes mange måter å gi organisasjonen trening i IT-sikkerhet på. Du kan for eksempel drive bevissthetstrening gjennom e-læringskurs eller personlige møter, og du kan sende ut phishing-test-e-poster til de ansatte. Du kan gjøre alt selv, eller du kan samarbeide med en treningsorganisasjon, som CyberPilot, slik at du får mer tid til å jobbe med de komplekse sikkerhetsutfordringene som krever ditt fokus hver eneste dag. Alle disse beslutningene påvirker treningskostnadene, kvaliteten på treningen og hvor produktive du og kollegene dine er på jobb. Så la oss snakke om treningskostnadene.


Gjennomsnittlig kostnad for trening i IT-sikkerhet: 60 euro per ansatt per år

I gjennomsnitt koster treningi sikkerhetsbevissthet ca. 60 euro per ansatt per år. Dette er den gjennomsnittlige kostnaden for å kjøpe trening, men kostnaden varierer avhengig av organisasjonens størrelse. For en organisasjon med 75 ansatte er prisen per år 4 308 euro. Når du tenker over det, er 60 euro i utgangspunktet kostnaden ved å gi de ansatte en gave, eller ved at alle jobber noen ekstra timer hvert år - det er en relativt liten kostnad.

Det er mange faktorer som bidrar til den totale kostnaden for trening. For eksempel er kostnaden per bruker vanligvis lavere jo flere brukere du har. Du bør også tenke på andre kostnader, som tid og produktivitet.

    • Hvor mye tid vil gå fra arbeidsdagen din hvis du selv står for all trening?
    • Hvor mye tid vil kollegene dine miste i løpet av arbeidsdagen for å delta på trening?
    • Hva betyr dette for organisasjonens produktivitet?
Disse sekundære kostnadene er vanlige årsaker til at organisasjoner velger å samarbeide med eksterne treningspartnere. Ved å samarbeide med en treningsleverandør frigjør IT-avdelingen tid til viktige sikkerhetsoppgaver og overlater treningen til læringseksperter, noe som betyr at de ansattes treningstid er vel anvendt.

Selskaper som CyberPilot tar alt arbeidet med å skape og administrere IT-sikkerhetstrening fra deg, og leverer effektiv trening i økter på under 10 minutter hver. Dette sparer tid for både IT-teamet og resten av kontoret, og holder produktiviteten høy.

 

Gjennomsnittskostnaden for et sikkerhetsbrudd

Vi har et grundig innlegg om gjennomsnittskostnaden for et datainnbrudd, som inneholder informasjon om ulike typer sikkerhetsbrudd og hvorfor de er så dyre. Nå holder vi oss til tallene du trenger å vite.

Når du tenker på kostnadene ved å oppleve et sikkerhetsbrudd, må du tenke utenfor den økonomiske boksen. I tillegg til kostnadene ved å reparere systemene eller få organisasjonen tilbake på nett, har sikkerhetsbrudd en negativ innvirkning på organisasjonens omdømme. Dette fører til tap av tillit og i siste instans tap av virksomhet.

Kostnadene er selvsagt forskjellige for store og små organisasjoner. Selv om nyhetene for det meste forteller oss om sikkerhetsbrudd som skjer i store selskaper, er sikkerhetsbrudd i mindre selskaper minst like skadelige. De juridiske kostnadene og omdømmetapet er ofte for store til at mindre organisasjoner kan hente seg inn igjen.

 

Kostnaden ved å ikke gjøre noe

Vi har gått gjennom kostnadene ved trening og kostnadene ved å oppleve et sikkerhetsbrudd. Hva gjør vi nå? Vi skal hjelpe deg med å sette disse kostnadene i perspektiv, slik at du vet hva de kan bety for din organisasjon.

Du vil kanskje støte på argumentet om at det ikke er sannsynlig at organisasjonen din vil oppleve et sikkerhetsbrudd, og at det derfor ikke er verdt å bruke penger på å forhindre et. Men undersøkelser viser at det i 2019 var 29,6 % sjanse for at organisasjoner ville oppleve et datainnbrudd i løpet av de neste to årene. Siden den gang har datainnbrudd bare blitt hyppigere og mer sofistikerte. Det betyr at du har minst én av tre sjanser for å oppleve et sikkerhetsbrudd, noe som kan være svært kostbart eller til og med føre til at bedriften din må legge ned virksomheten.

Biggest GDPR fines of 2022

La oss gå litt dypere inn i forskningen nå. Trening er spesielt viktig for mindre organisasjoner, fordi 95 % av alle cyberangrep er rettet mot små og mellomstore bedrifter. Visste du faktisk at 61 % av små og mellomstore bedrifter har opplevd et dataangrep i løpet av de siste 12 månedene?

I tillegg til å tenke på organisasjonens sårbarhet for datainnbrudd ved hjelp av denne statistikken, kan du også anslå sannsynligheten for et datainnbrudd ved å kjøre en phishing-simulering eller foreta en risikoanalyse.

Phishing-testing

Å sende en falsk phishing-e-post til kollegene dine er én måte å gjette hvor utsatt organisasjonen din er for et datainnbrudd. Phishing er en av de vanligste metodene for sikkerhetsbrudd, og så mange som 39 % av de ansatte faller for phishing-tester. Phishing-e-poster kan være vanskelige å oppdage, og 97 % av de fleste kan ikke oppdage en sofistikert phishing-e-post. Resultatene av en phishing-test kan fortelle deg hvor sårbar bedriften din er. Hvis mange av kollegene dine går på den falske phishing-e-posten din, vil de sannsynligvis heller ikke være i stand til å oppdage et ekte phishing-forsøk i innboksen sin. Sikkerhetsbrudd forårsaket av feil i phishing-e-poster er den dyreste typen sikkerhets brudd for en organisasjon å håndtere.

Risikoanalyse

En annen måte å evaluere sikkerhetsproblemene på er å foreta en risikoanalyse. Vi har en gratis mal og veiledning som kan hjelpe deg med å komme i gang. En risikoanalyse kan hjelpe deg med å finne ut hva som er de største sikkerhetsrisikoene, og hvor sannsynlig det er at de vil inntreffe. Deretter kan du legge en plan for hva du kan gjøre videre for å forbedre sikkerheten på en meningsfull måte. Det er viktig å være grundig i en risikovurdering og sørge for at du ikke utelater noe. Det betyr at uansett hvor dyktige medarbeiderne dine er, bør menneskelige feil som forårsaker sikkerhetsbrudd, alltid inkluderes som en potensiell risiko.

New call-to-action

 

Men jeg har brannmurer og andre løsninger - trenger jeg fortsatt trening?

Med alle de tekniske løsningene som er tilgjengelige, er det fristende å investere i den nyeste programvaren og tro at vi har gjort jobben vår. Vi støtter fullt ut investeringer i teknologiske løsninger, som antivirusprogrammer, brannmurer og SIEM. Men vi vet at teknologi i seg selv ikke er nok. Vi vet at 9 av 10 sikkerhetsbrudd skjer på grunn av menneskelige feil, og derfor mener vi at trening av de ansatte er en viktig del av enhver sikkerhetsstrategi.

Tenk på trening som en forsikring

På en måte er det å gi trening til de ansatte litt som å kjøpe forsikring, for eksempel for hjemmet ditt. Det er en kostnad som kanskje ikke virker verdt det før det skjer noe som beviser verdien av den. Det kan være irriterende å bruke penger hver måned på å forsikre hjemmet ditt, fordi du ikke umiddelbart ser nytten av det. Men hvis du får en vannlekkasje i huset ditt og du må gjøre mange reparasjoner, vil du være glad for å ha forsikringseksperter som hjelper deg med å løse problemet. Du vil også være glad for at reparasjonskostnadene blir dekket. Å investere i trening i IT-sikkerhet er egentlig det samme.

Hvis du ikke opplever noen sikkerhetsbrudd, kan det virke som bortkastede penger. Men det faktum at virksomheten din ikke opplever noen forstyrrende sikkerhetsbrudd, viser at treningen fungerer. Bevissthetstreningen er som å ha en forsikring mot sikkerhetsbrudd, fordi de ansatte vet hvordan de skal opptre hvis en situasjon virker risikabel.

 

Bedre å være på den sikre siden: Trening er verdt prisen

Vi mener at trening er verdt kostnaden, og det gjør kundene våre også. Det er mye billigere å bygge opp bevissthet og forebygge et sikkerhetsbrudd enn å gjenopprette etter et brudd som allerede har skjedd. Spesielt når man tenker på de langsiktige kostnadene ved et sikkerhetsbrudd, for eksempel tap av kunder og skade på omdømmet.

Hvis organisasjonen din har 100 ansatte, kan du bruke rundt 6 000 euro totalt på sikkerhetstrening hvert år, basert på en gjennomsnittlig treningskostnad på 60 euro per person per år. Med dette anslaget, og den gjennomsnittlige kostnaden for et sikkerhetsbrudd (4,35 millioner dollar), må du betale for trening i omtrent 725 år på rad før kostnaden for treningen når opp til kostnaden for et sikkerhetsbrudd. Kanskje dette tallet kan bidra til å sette kostnadene ved et sikkerhetsbrudd i forhold til treningskostnadene i perspektiv.

Denne beregningen er selvfølgelig forenklet - ikke alle sikkerhetsbrudd koster 4,35 millioner dollar, og ikke alle treningstiltak koster 60 euro per ansatt hvert år. Vi bruker bare gjennomsnittstall for å holde det litt enkelt. Men du kan tenke deg at kostnaden ved et sikkerhetsbrudd sannsynligvis er proporsjonal med antall ansatte og bedriftens årlige omsetning. Så selv om større selskaper har mer penger å tape på et datainnbrudd, vil mindre selskaper lide på mange av de samme måtene.

Trening er fornuftig. Det har høy ROI (Return on Investment), det forebygger sikkerhetsfeil, og det har mange andre fordeler.

 

Avkastningen på sikkerhetstrening er høy

Forskning viser at avkastningen på trening i sikkerhetsbevissthet er ganske høy. I mindre bedrifter er de årlige kostnadene per ansatt (relatert til sikkerhet) 52 % lavere når bedriften bruker trening i sikkerhetsbevissthet. Ved å bruke sikkerhetstrening kan små bedrifter i gjennomsnitt spare 149 dollar årlig per ansatt. I større organisasjoner ser dette ut til å gi en gjennomsnittlig avkastning på sikkerhetstrening på opptil 562 %. Så det å investere i trening kan faktisk gi store besparelser på lang sikt!

Husk at avkastningen organisasjonen din kan oppnå gjennom trening i sikkerhetsbevissthet, avhenger av flere faktorer, blant annet de ansattes lønn, størrelsen på organisasjonen og hvor alvorlig et potensielt sikkerhetsbrudd er. For eksempel er det kjent at helsevirksomheter opplever noen av de dyreste datainnbruddene, så avkastningen på treningen er sannsynligvis høyere for disse organisasjonene fordi de har mer å tape.

En kvinne tar gratiskurs i cybersikkerhet på sin bærbare datamaskin

Trening virker

Menneskelig atferd er den viktigste årsaken til sikkerhetsbrudd. Faktisk skyldes 9 av 10 sikkerhetsbrudd menneskelige feil. Men feilene kan reduseres med god trening og bevisstgjøringsaktiviteter. Dette bildet viser for eksempel hvordan kundene våre gjør færre feil etter å ha deltatt i kontinuerlig bevisstgjøringstrening og phishing-testing. Du kan se at etter den tredje phishing-testen hadde brukerne redusert antall feil med over 50 %, noe som betyr at det var mye mindre sannsynlig at de falt for phishing-e-post.

phishing training results show that the cost of training employees pays off

I tillegg trenger ikke trening å ta mye tid. Kursene våre lærer bort viktige IT-sikkerhetskonsepter på under 10 minutter annenhver måned, slik at produktiviteten ikke går tapt. Sammenlignet med flere timer til uker med nedetid på grunn av et sikkerhetsbrudd, virker den tiden som går tapt til trening, som ingenting.

 

Ytterligere fordeler med trening i sikkerhetsbevissthet og phishing-testing

I tillegg til avkastning på investeringen og muligheten til å redusere antall feil som fører til sikkerhetsbrudd, kan trening i IT-sikkerhet også ha andre positive effekter på organisasjonen. For eksempel kan et program for kontinuerlig trening i sikkerhetsbevissthet hjelpe dere med å overholde GDPR og andre rammeverk for IT-sikkerhet.

Sikkerhetssertifikater viser kundene dine at du er til å stole på, noe som kan være til fordel for virksomheten og omdømmet ditt. Det kan få potensielle kunder til å ønske å gjøre forretninger med deg. Det kan også bidra til at du unngår å få en GDPR-bot.

Til slutt kan trening forbedre organisasjonens sikkerhetskultur og samle kollegene med et felles mål om å forbedre sikkerheten.


Vi håper denne artikkelen har vært nyttig for deg. Hvis du ønsker å se hva trening i sikkerhetsbevissthet kan gjøre for organisasjonen din, er du velkommen til å prøve vår 14 dagers gratis prøveperiode med trening i sikkerhetsbevissthet, eller ta kontakt med teamet vårt.

CTA_e-book_blog-desktop
Back to blog
Recent articles
Bevissthetstrening Opplæring i sikkerhetsbevissthet på nett vs. fysisk

Du kan gjennomføre opplæring i sikkerhetsbevissthet og GDPR på nett eller fysisk. Vi diskuterer ulike typer trening og hvordan du lykkes med dem.

Gillian Loones 6 min read - By Gillian Loones
Bevissthetstrening 11 Råd For Økt Bevissthet Om IT-sikkerhet i Din Bedrift

Bevissthetstrening i IT-sikkerhet forbereder teamet ditt på IT-trusler. Men hvordan får de ansatte til å bry seg? Bruk disse rådene for suksessfull IT-sikkerhetstrening.

Ismail Özkan 7 min read - By Ismail Özkan
Bevissthetstrening Hvordan utforme et treningsprogram med kurs i phishing og sosial manipulering

Det er viktig å lære opp kollegene dine i IT-sikkerhet. Se hvordan du kan lage et opplæringsprogram med kurs i phishing og sosial manipulering.

Sarah Hofmann 5 min read - By Sarah Hofmann