Hackere går etter mennesker, snarere enn datamaskiner, for å skape sikkerhetsbrudd gjennom usikker informasjonssikkerhetsatferd, for eksempel ved å opprette svake passord, dele brukeropplysninger med kolleger eller laste ned mistenkelig programvare fra Internett. Fordi de ansatte spiller den viktigste rollen når det gjelder å beskytte personopplysninger og informasjonssystemer, velger mange organisasjoner å implementere bevisstgjøringsprogrammer for å beskytte dataene sine og overholde personvernforordningen.
Men hvor effektiv er egentlig bevisstgjøringstrening? I dette blogginnlegget gir vi deg noen konkrete tips til hvordan du kan måle hvor vellykket bevisstgjøringstreningen er i din organisasjon. Til slutt vil vi vise deg noen av våre egne resultater.
Virker awareness trening? Forskningen sier ja!
I en studie som ble gjennomført med 2900 funksjonærer, implementerte de trening i informasjonsbevissthet, som inkluderte kurs i bruk av passord. Etter å ha valgt ut 190 ansatte til en spørreundersøkelse, fant de ut at 114 av dem overholdt både passordreglene og de andre sikkerhetsreglene/prosedyrene.
I tillegg kjørte de en detaljert statistisk analyse av brukernes passordsikkerhetsnivåer og -styrker. Resultatene av de tekniske passordrevisjonene viser at målene for sterkere sikkerhet ble oppfylt og til og med overgikk revisorenes forventninger. Resultatene viser at bruken av svake passord lå på 35,6 % før prosjektet ble satt i gang, og etter ett år hadde denne andelen sunket til 6,9 %, noe som var langt over organisasjonens forventninger og mål. Selv om det kanskje ikke er mulig for organisasjonen din å teste passordstyrken til alle ansatte, finnes det mange andre måter å måle effekten av bevisstgjøringstrening på.
Dessuten er måling av passordstyrke bare én av mange måter å finne ut om treningen har vært effektiv. Det er tross alt mange aspekter ved informasjonssikkerhet, for eksempel de ansattes tilfredshet med treningen og deres kommunikasjon om sikkerhetsbrudd, bare for å nevne noen.
Effektiviteten av e-læring
I løpet av det siste tiåret har tilgjengeligheten av e-læringskurs økt kraftig. I dag kan du ta alt fra en hel universitetsgrad til å lære deg å spille gitar. Det er en fordel fordi mange kan lære seg stoffet når og hvor det passer dem. Det er imidlertid ikke alltid den mest effektive måten å lære på, av to hovedgrunner:
-
Noen ferdigheter krever personlig trening med praktisk erfaring utenfor datamaskinen, og
-
dessverre tar mange e-læringsleverandører personlig trening og digitaliserer den til e-læring, noe som ikke passer til mediet og derfor er ineffektivt.
Når man skal lære seg å spille gitar, kan hvem som helst lære seg teorien og noen grunnleggende ferdigheter gjennom e-læring. Men etter hvert som eleven utvikler seg, vil det være en fordel å ha en instruktør ved siden av seg som kan gi mer skreddersydde råd basert på elevens sterke og svake sider.
Det er viktig å understreke at awareness ikke er det samme som utdanning. Bevissthet er rett og slett oppmerksomhet på en gitt problemstilling, mens utdanning innebærer at du blir fullt ut kompetent til å håndtere et bredt spekter av situasjoner. Trening i awareness handler i hovedsak om å bidra til å opprettholde det rette fokuset, slik at man unngår feil. Kompetanse innen IT er et større område som awareness trening bare er en del av.
Du kan lese mer om hvordan e-læring kan sammenlignes med tradisjonell læring når det gjelder awareness trening her.
Slik måler du effekten av awareness trening
Når du setter i gang et initiativ, er det nyttig å måle effekten det har på organisasjonen. Hvordan kan du ellers vite om innsatsen din har vært vellykket? I denne delen går vi gjennom noen måter du kan måle effekten av awareness trening på.
Det er imidlertid viktig å merke seg at måling av effekten av awareness trening avhenger av hvilke mål og hvilken kontekst organisasjonen din har. Her er noen eksempler som kan hjelpe deg i gang med idémyldringen.
-
Er målet å overholde GDPR?
-
Er målet å ha åpenhet og kommunikasjon når det gjelder sikkerhetsbrudd?
-
Er målet å endre de ansattes atferd når de jobber på nettet?
-
Er målet å få til en kulturendring for teamet når de jobber med IT?
-
Er målet å bli mindre sårbare for phishing-angrep/hackingforsøk/angrep med skadelig programvare?
Hvordan organisasjonen bestemmer seg for å måle effekten, vil også avhenge av parametere som organisasjonens størrelse og modenhet på IT-området. Vi anbefaler å bruke Plan-Do-Check-Act-syklusen (PDCA) for å etablere en mer effektiv informasjonssikkerhet.
Overvåk læringsaktiviteter
Det første trinnet for å måle effekten av awareness treningen er å se på følgende parametere:
-
Hvor mange personer deltar i og fullfører treningen?
-
Fullfører de læringsmodulene i løpet av få dager etter at de har mottatt dem, eller utsetter de dem i lang tid?
-
Mister folk interessen for bevisstgjøringstreningen over tid?
Den nye sikkerhetsplattformen vår tilbyr kombinert rapportering for både awareness trening og phishing-trening. Du kan enkelt se status for fullførte kurs, få tilgang til brukerspesifikke rapporter for bevisstgjøringskurs, sjekke individuelle brukerpoeng og få sammendrag for hver enkelt bruker. I tillegg har du muligheten til å eksportere rapporter, slik at du kan analysere dataene i et Excel-ark for å få ytterligere innsikt.
Tilbakemeldinger og tilfredshet blant de ansatte
Når alle er begravd i hverdagslige oppgaver, møter og tidsfrister, kan det være lett å vegre seg for å snakke direkte med teamet vårt om awareness trening. Men selv om det kanskje er mest krevende å be om tilbakemelding direkte, vil innsikten du får, være verdt det, og det trenger ikke å kreve mye innsats.
Noen spørsmål du kan stille dem, er blant annet
-
Har de tid til å innlemme awareness treningen i arbeidshverdagen?
-
Har de fått en bedre forståelse av cybersikkerhetskonseptene?
-
Føler de seg tryggere når de står overfor nye situasjoner, for eksempel når de håndterer personopplysninger?
-
Vet de hvem de skal kontakte ved sikkerhetsbrudd eller phishing-angrep?
En metode for å få tilbakemeldinger fra de ansatte er å sende ut et spørreskjema. På den måten har du sjansen til å få flest mulig svar.
Nylig ba vi om tilbakemelding fra brukerne av CyberPilots awareness trening. 849 brukere* svarte på undersøkelsen vår, og her er hva de sa.
Vi anbefaler også at du enten snakker med noen av de ansatte over en rask kaffekopp eller tar en rask samtale på nettet for å høre hva de synes om awareness treningen. Kanskje du lærer noe du ikke visste at du ikke visste.
Trening i phishing
Phishing er en av de største truslene mot cybersikkerhet, særlig fordi cyberkriminelle blir stadig smartere når det gjelder å lure oss. En måte å måle teamets beredskap mot phishing på, er å teste dem med phishing-simuleringer.
For å få til dette samarbeider vi med organisasjoner om å lansere phishing-kampanjer. Disse kommer i form av e-poster og har ofte et fristende budskap som oppfordrer de ansatte til å klikke på en lenke. Når de har åpnet lenken, blir de bedt om å "logge inn" for å få tilgang til informasjonen. Slik får cyberkriminelle tak i e-postadresser og passord, og på den måten får de tilgang til systemene i organisasjonen. For å måle beredskapen til de ansatte kan du se på følgende resultater:
-
Åpnet e-post. Dette er normalt ufarlig
-
Klikk på lenke. I de fleste phishing-simuleringer vil dette ikke gjøre stor skade. Husk imidlertid at nettkriminelle alltid kan legge ved skadelig programvare i e-poster.
-
Oppgitt legitimasjon. Dessverre betyr dette at påloggingsinformasjonen til organisasjonen har blitt gitt til de cyberkriminelle
I dette whitepaper ser vi på hvordan organisasjoner har klart seg mot våre phishing-simuleringer. Spoiler: Basert på våre studier er det mer enn halvparten av brukerne som er mindre tilbøyelige til å legge inn private data etter å ha fått trening i bevisstgjøring.
Det er en stor forbedring!
Kommunikasjon om sikkerhetsbrudd
Det er ikke bare viktig for teamet ditt å unngå trusler som phishing eller skadelig programvare, men de må også kommunisere dette til sine kolleger og til den IT-ansvarlige. GDPR understreker viktigheten av å dokumentere sikkerhetsbrudd. I denne dokumentasjonen kan du spesifisere hvordan bruddet ble rapportert eller oppdaget. På denne måten kan personvernombudet dokumentere at sikkerhetsbruddet ble oppdaget av en ansatt. I bevisstgjøringstreningen vår gjør vi det klart at kommunikasjon er forventet, fordi ingen er tjent med å holde sikkerhetsbruddet for seg selv.
Hvis du for eksempel er personvernombud og vet at det har skjedd et data- eller sikkerhetsbrudd, men ingen har gjort deg oppmerksom på det, må du ta dette opp på en konstruktiv måte. Vi har erfart at det å starte en dialog i organisasjonen kan få i gang samtaler, og dermed vil cybersikkerhet kontinuerlig bli prioritert.
Her er noen ting du kan gjøre og være oppmerksom på for å måle kommunikasjonen om sikkerhetsbrudd i organisasjonen din:
-
Før loggbok over de uformelle samtalene om sikkerhet som dere har over chat eller ansikt til ansikt. Det trenger ikke å kreve mye innsats, men det vil være en god måte å huske interaksjonene på, slik at du kan reflektere over dem.
-
Snakker folk mer om sikkerhet generelt?
-
Stiller folk spørsmål når de er i tvil?
Vi vil også gjerne høre fra deg!
I dette blogginnlegget har vi illustrert hvordan du kan måle effektiviteten av awareness treningen i organisasjonen din. I den forbindelse har du kanskje snakket med teamet ditt om hva de synes om treningen vår, eller bedt dem om å fylle ut en kort spørreundersøkelse. Var det noe vi overså? Er det noe vi kan gjøre for å forbedre opplevelsen deres? Gi oss beskjed på info@cyberpilot.io!
Hvis du fortsatt tenker på å sette opp awareness trening for organisasjonen din, kan du prøve CyberPilots awareness trening i en gratis prøveperiode.
