Trening av våre kolleger i informasjonssikkerhet er en viktig del av enhver organisasjons arbeid med datasikkerhet. Samtidig som GDPR og andre rammeverk for cybersikkerhet krever denne typen trening, bidrar det også til å etablere en sterk sikkerhetskultur i organisasjonen. Men det kan være en utfordring for selv den mest erfarne IT-profesjonelle å avgjøre hva som skal dekkes i disse kursene, og hvordan de skal arrangeres på en meningsfull måte. I dette blogginnlegget diskuterer vi hvorfor phishing og sosial manipulering er temaer som er viktige å ta opp i treningen, og vi kommer med anbefalinger om hva du kan inkludere i ulike treningskurs.
Hvorfor bør man ta opp phishing og sosial manipulering i IT-sikkerhetstreningen?
Våre ansatte er vår sterkeste forsvarslinje når det gjelder å beskytte bedriftens datasikkerhet, men de kan også være vår største svakhet på grunn av menneskelige feil. Siden vi alle bruker mye tid på å sjekke e-post hver dag, prøver nettkriminelle å utnytte godtroende ansatte med ondsinnede e-poster. Dessverre skal det bare én ansatt til for å falle for en phishing-e-post og kompromittere hele organisasjonens sikkerhet. Phishing er en av de største truslene mot IT-sikkerheten som bedrifter står overfor i dag, og det er derfor viktig at alle ansatte vet hvordan de skal gjenkjenne en phishing-e-post, hva de skal gjøre når de mottar en slik e-post , og at de er kjent med ulike varianter av phishing, for eksempel Whaling eller smishing.
I tillegg til phishing er det viktig å lære de ansatte om sosial manipulering. Sosiale manipulasjonsmetoder er det nettkriminelle bruker for å manipulere atferden vår og få oss til å føle at vi må gjøre noe, som å klikke på en phishing-e-post. Ved å lære de ansatte om sosial manipulering vil de bli bedre rustet til å gjenkjenne når sosial manipulering blir brukt mot dem.
Noen sosial manipuleringstaktikker er mer vellykkede enn andre. I en studie der vi brukte data fra våre egne phishing-kampanjer, avslørte vi hvilke typer phishing-e-poster som lurte flest mennesker. Når en e-post for eksempel ser ut som om den kommer fra en person med autoritet i organisasjonen, er det sannsynlig at de ansatte handler uten å tenke seg om to ganger.
Trening av de ansatte i disse temaene er en effektiv måte å øke bevisstheten blant kollegene dine på. Itillegg til informasjonstrening anbefaler vi også praktiske øvelser som phishing-testing.
Eksempel på kursplan
Her kan du se en potensiell liste over kurs som vil dekke hele temaet phishing og sosial manipulering. I tillegg kan du se en kort oversikt over innholdet vi dekker i hvert kurs. Hvis du er interessert i å se hvilke andre temaer bevissthetstreningen vår dekker ,kan du sehele kurskatalogen vår her.
Er du interessert i å prøve kursene selv? Vi tilbyr en 14-dagers gratis prøveperiode, slik at du kan få et bedre inntrykk av hva kursene omfatter.
| Kurs | Om kurset | Språk | Video |
| Phishing |
|
EN, DK, DE, SE, NO, NL, PL, ES, FR | ja |
| Slik oppdager du en phishing-e-post |
|
EN, DK | Nei |
| Slik håndterer du en phishing-e-post |
|
EN, DK, DE, SE, NO, NL, PL, ES, FR | Ja Ja |
| Målrettet nettfisking |
|
EN, DK, DE, SE, NO, NL, PL, ES, FR | Ja, ja |
| Hacking på sosiale medier |
|
EN, DK, DE, SE, NO, NL, PL, ES, FR | Ja, ja |
| Telefonsvindel |
|
EN, DK, DE, SE, NO, NL, PL, ES, FR | ja |
Som du kan se av eksemplene på kurs og innhold, har vi vanligvis en beskrivelse av trusselen og hvorfor den er viktig, for å oppmuntre til sunn skepsis til e-poster og forespørsler. Målet med treningen er at de ansatte skal sitte igjen med konkret kunnskap som de kan bruke i sitt daglige arbeid.
Praktisk trening
Nå som du har en idé om hvilke temaer du kan ta opp i treningen i phishing og sosial manipulering, kan vi ta for oss den morsomme delen - å lære opp teamet ditt til å bli din sterkeste sikkerhetsressurs. Det ligger mye arbeid i å forberede treningsøkter, så du vil være sikker på at kollegene dine får mest mulig ut av dem. Derfor er det viktig å tenke på riktig timing og innholdssekvenser.
Hvor ofte bør du ha trening?
Basert på vår erfaring med å tilby treningstjenester anbefaler vi at de ansatte får 1-2 kurs hver måned. Du kan opprettholde en kontinuerlig bevissthet ved å gi trening hver måned uten å overvelde eller utmatte medarbeiderne dine med for mange kurs som skal gjennomføres.
Hvor mange kurs du holder hver måned, avhenger selvfølgelig av hvor mye kunnskap medarbeiderne dine allerede har, og hvor mye ressurser du har til rådighet for å lage og gjennomføre kurs. Til syvende ogsist bør du gjøre det som er best for organisasjonen og medarbeiderne dine.
Med den nye treningsplattformen vår kan du enkelt planlegge kurstilmeldinger på forhånd, slik at du slipper å logge inn hver gang du vil legge til nye brukere. Bare logg inn én gang, planlegg hele året, så tar vi oss av resten.
Hvordan bestemmer du hvilke emner som skal dekkes hver gang?
I treningsprogrammet vårt utformer vi kursene våre slik at de er frittstående, slik at de kan tas i hvilken som helst rekkefølge, uavhengig av hvor mye kunnskap den ansatte har fra før. Ved å lage treningen med denne typen kurs kan du forenkle prosessen med å administrere treningen, spesielt når du skal introdusere nye medarbeidere. Det gir deg også muligheten til å dekke emner på en tidsriktig måte. Hvis du gjør dette, kan det være nyttig å lage et introduksjonskurs som dekker et bredt spekter av emner, med ulike kurs for underemner.
I tillegg anbefaler vi at du sprer kurs med ett fokusområde over tid, slik at temaet forblir i fokus og de ansatte ikke går lei av ett emne. Du kan for eksempel veksle mellom kurs i phishing og sosial manipulering og kurs som dekker GDPR eller annen sikker datapraksis.
Vi har også en anbefalt kursplan for hele det første året med bevissthetstrening, hvis du ønsker bredere emner enn "bare" phishing og sosial manipulering.
Vi håper dette blogginnlegget har vært til hjelp for deg! Hvis du har spørsmål om hvordan du utformer et treningsprogram eller ønsker å lære mer om hvordan du kan dekke ulike temaer i din egen trening, er du velkommen til å ta kontakt med oss.
