Det kan være utfordrende å planlegge en kursplan for bevisstgjøringstrening - det er noe vi hører hele tiden. Derfor har vi laget en anbefalt kursplan for det første året med bevissthetsopplæring. Enten du allerede er CyberPilot-kunde eller bare ønsker å begynne med bevissthetsopplæring, håper vi at veiledningen vår kan være nyttig for deg.
Vår anbefalte plan er generelt anvendelig, men vi vet også at noen organisasjoner ønsker å sette sin egen vri på den. Men hvordan gjør man dette på riktig måte? Hvilke elementer er nøkkelen til et vellykket bevisstgjøringsprogram, og hvilke elementer kan du leke deg med? I dette innlegget gir vi deg konkrete tips til hvordan du kan lage en plan for bevissthetstrening som er spesifikt tilpasset din organisasjon.
Vår anbefalte kursplan for det første året med opplæring i sikkerhetsbevissthet
Når du skal komme i gang med opplæring i sikkerhetsbevissthet i organisasjonen din, lurer du kanskje på hva du skal lære opp de ansatte i, og når. Det kan være en stor oppgave å finne den rette planen. Hos CyberPilot har våre eksperter på læringsdesign laget en anbefalt kursplan for det første året med opplæring i sikkerhetsbevissthet.
Planen begynner med vår startpakke, som gir kunnskap om noen av de viktigste temaene innen IT-sikkerhet og GDPR. Deretter veksler vi de neste månedene mellom våre ekspertanbefalte kurs og nye kurs som lanseres annenhver måned.
Resultatet av dette? En årslang plan som etablerer et grunnleggende kunnskapsnivå om ulike IT-sikkerhets- og databeskyttelsestemaer.
Forresten, ikke bekymre deg hvis du ikke allerede samarbeider med CyberPilot om opplæringen din! Vi ønsker likevel å dele planen vår som en inspirasjonskilde - og vi håper den kan være nyttig for ditt eget arbeid. Kursemnene og veiledningen vi gir om f.eks. hvor ofte du bør gjennomføre opplæring, kan gi deg noen ideer som kan hjelpe deg i gang, selv om du gjennomfører opplæringen selv.
Her er vår anbefalte plan for opplæring i sikkerhetsbevissthet:
| Måneder | Kurs |
|
Måned 1 Startpakke |
Bevissthet Intro Phishing Personopplysninger Passord |
| Måned 2 | Nytt kurs |
| Måned 3 | Beskytt jobbdatamaskinen din |
| Måned 4 | Nytt kurs |
| Måned 5 | Ta ansvar for personopplysninger |
| Måned 6 | Nytt kurs |
| Måned 7 | To-faktor autentisering |
| Måned 8 | Nytt kurs |
| Måned 9 | Sikkerhetsbrudd |
| Måned 10 | Nytt kurs |
| Måned 11 | Oppdateringer |
| Måned 12 | Nytt kurs |
Hvorfor planen vår fungerer
Vår anbefalte plan for bevisstgjøringstrening er basert på vår læringsfilosofi. Vi tror at kontinuerlig opplæring over tid gir de beste resultatene på lang sikt. Hvis du er nysgjerrig, kan du lese mer om dette i blogginnlegget vårt om mikrolæring.
Ved å spreopplæringenover tid løser du også utfordringen med å overvelde medarbeiderne dine med for mange kurs på én gang. Gjennom mange års erfaring med bevisstgjøringstrening har vi lært at det magiske antallet kurs er 1-2 kurs med 1-2 måneders mellomrom. Den månedlige opplæringen i vår anbefalte plan bidrar til å sikre at IT-sikkerhet alltid står på dagsordenen.
Planen vår fungerer også ved å gi et grunnleggende nivå av bevissthet om ulike temaer, og deretter bygge videre på denne kunnskapen over tid gjennom repetisjon. Vi bygger inn elementer av repetisjon i alle kursene våre, slik at gode digitale vaner blir en selvfølge for brukerne våre.
Derfor anbefaler vi 1-2 kurs hver 1-2 måned
Kursene våre er designet for å ta omtrent like lang tid som det tar deg å drikke en kopp kaffe (5-7 minutter). De er korte og konsise fordi vi ønsker at opplæringen skal føles som en liten, lærerik pause i arbeidsdagen.
Selv om det kan være fristende å sende ut alle kursene på én gang og være ferdig for en stund, anbefaler vi ikke å ta alle (eller mange) av dem samtidig. Det er flere grunner til dette:
- Det opphever poenget med kontinuerlig bevissthetstrening, som er det sikkerhetsbevissthetsopplæringen vår handler om.
- Vi mennesker har kort oppmerksomhet og hukommelse. Det er sannsynlig at mange ansatte allerede har glemt noe av det de har lært noen uker etter opplæringen.
Ved å gjennomføre opplæringen regelmessig i løpet av året holder du i stedet informasjonen friskt i minne, samtidig som det er en overkommelig oppgave for de ansatte å gjennomføre. Det er mye mer verdifullt for de ansatte og organisasjonens sikkerhet å spre opplæringen over tid.
Hvis du ønsker noe som er mer skreddersydd for din organisasjon
Vår anbefalte plan er utformet for å være generelt anvendelig. Men vi vet at du noen ganger ønsker å sette ditt eget preg på opplæringsplanen.
Derfor vil vi også gi deg noen retningslinjer du kan følge når du tilpasser planen vår til din organisasjon. Enten du lager opplæringen fra bunnen av eller bruker kursene våre, kan veiledningen nedenfor hjelpe deg med å finne ut hvordan du kan lage en opplæringsplan som fungerer for deg.
Hva bør du tenke på når du lager en plan for opplæring i sikkerhetsbevissthet?
Avgjørelsen om hvilke kurs du ønsker å sende til brukerne dine, avhenger av flere ting:
- Hvor aktiv rolle ønsker du å spille i utarbeidelsen av kursplanen og håndplukkingen av kurs? Kanskje du vil ta en tilbaketrukket rolle og bare melde brukerne automatisk på de nye kursene våre som kommer ut annenhver måned.
- Hvilke sikkerhetstrusler er det mest og minst sannsynlig at bedriften din vil bli utsatt for? Hvis det f.eks. ikke er mulig å jobbe eksternt i din organisasjon, kan du prioritere andre kurs.
- Hvor mange kurs ønsker du at brukerne skal få? Basert på vår anbefaling om 1-2 kurs hver 1-2. måned, kan dette være alt fra 6 kurs til 24 kurs hvert år - en stor forskjell. Å ha et generelt antall i tankene vil hjelpe deg med planleggingen.
Nå som du har tenkt over disse spørsmålene, vil vi gi deg våre tips til hvordan du kan utforme din egen plan for opplæring i sikkerhetsbevissthet.
Generelle anbefalinger for å lage en kursplan
Hvis du vil lage din egen plan for opplæring i sikkerhetsbevissthet, bør du begynne med å se på vår anbefalte plan og bestemme om du vil legge til kurs eller bytte ut kurs med andre i katalogen vår. Hvis du ikke er kunde hos oss, er det ingen grunn til bekymring! Katalogen og den anbefalte kursplanen vår kan gi deg ideer om hvilke emner som er viktige å ta opp når du akkurat har kommet i gang. Og du kan prøve kursene våre gratis i 14 dager for å få en bedre idé om hvordan opplæringen vår fungerer.
Når du lager din egen plan, anbefaler vi at du:
Planlegg fremover
Du bør planlegge minst 6 måneder frem i tid. Da kan du fordele kursene på en gjennomtenkt måte, og du slipper å måtte ta store treningsbeslutninger hver måned. Det bør ikke ta for lang tid å planlegge - ikke mer enn en time eller så. Og for hver gang du gjør det, blir det enklere fordi du har en mal å bygge videre på.
Hold vår anbefalte kursfrekvens
Selv om du endrer hvilke kurs du sender ut, anbefaler vi at du holder kursfrekvensen på 1-2 kurs hver måned eller annenhver måned. Det er stort spillerom for deg til å tilpasse den anbefalte frekvensen slik at den passer til din organisasjon. Du kan sende ut 1 kurs annenhver måned, 2 kurs hver måned og alt derimellom.
Du kan se at vår anbefalte plan gir ett kurs per måned. Vi har funnet ut at dette er en god frekvens for de fleste organisasjoner, spesielt siden kursene tar så kort tid å gjennomføre. Du kan vurdere å sende ut flere eller færre kurs enn dette, avhengig av f.eks. hvor bevisst du tror organisasjonen din allerede er, timeplanene/arbeidsmengden deres og hvilke sikkerhetsrisikoer du ønsker å lære dem om umiddelbart.
Vi lanserer et nytt kurs annenhver måned, så det er en naturlig måte å oppfylle vårt anbefalte minimum på. Hvis du ønsker å gi organisasjonen din mer bevissthetsopplæring, kan du parre dette nye kurset med opptil tre kurs til i løpet av to måneder. Bare sørg for å gjøre det:
- Vent minst to uker mellom kursene for å unngå redundans.
- Ikke la det gå tre måneder uten å sende ut et kurs. Dette er for spredt.
Du kan også avvike helt fra vår anbefaling, men vi kan ikke gå god for resultatene. Når det er sagt, er det du som kjenner organisasjonen din best. Så du kan tilpasse anbefalingen vår til dine behov og din organisasjonsstruktur. Kanskje er det for eksempel noen måneder der kollegene dine har det spesielt travelt og bare bør ha ett kurs. Eller kanskje du vil planlegge at de aldri trenger å ta et kurs i juli, når mange er på ferie. Avgjørelsen er opp til deg.
Balansere bevisstgjøring med medarbeidernes oppgaver og oppmerksomhet
Det er viktig å finne den rette balansen mellom opplæring, slik at medarbeiderne gjennomfører opplæringen og får noe ut av den. Hvis du sender ut for mange kurs for ofte, risikerer du å miste de ansattes oppmerksomhet og vilje til å gjennomføre opplæringen. Hvis du sender ut for få kurs eller det går for lang tid mellom dem, risikerer du at læringsmålene ikke fester seg slik du ønsker, fordi påminnelsene er for spredte.
Dette er noe du bør tenke på når du bestemmer deg for hvor mange kurs de ansatte skal ta hvert år.
Tenk på din egen arbeidsmengde
Hvis du har ansvaret for opplæringen, er du kanskje også bekymret for hvor mye tid det vil ta deg å planlegge pensum og sende ut kurs. Du kjenner deg selv og vet hvor mye fritid du har til å bruke på opplæringen.
Kanskje du ønsker en mindre praktisk tilnærming. Da kan du automatisk sende ut vårt nyeste kurs annenhver måned, og ikke gjøre noe annet. Kanskje du ønsker å håndplukke kursene hver gang, noe som betyr at du vil være mer involvert i å velge når og hvilke kurs som skal sendes ut. Det er opp til deg.
Gi repetisjon av emner med mellomrom
Kursene våre er utformet for å brukes kontinuerlig, slik at brukerne kan bygge opp bevissthet over tid. Gjentakelse med mellomrom bidrar til at læringen fester seg, og det er mye lettere å huske noe hvis du hører det igjen noen ganger. Derfor har kursene repetisjoner, og det kan føles overflødig å ta dem alle på én gang.
Vi anbefaler at du sprer ut kurs som dekker samme tema over tid, i stedet for å ta dem sammen. På den måten holder du viktige sikkerhetstemaer ferske i de ansattes bevissthet. Du bør også sende ut en blanding av kurs om cybersikkerhet og GDPR-emner for å holde bevisstheten høy året rundt.
Hvis du for eksempel bare snakker om phishing i begynnelsen av året, kan det hende at organisasjonen allerede har glemt det noen måneder senere. Du kan til og med la organisasjonen gjenta gamle kurs etter behov, med utgangspunkt i aktuelle hendelser og sikkerhetsrisikoer.
Vurder å sette sammen kurs om emner som utfyller hverandre
Hvis du sender ut mer enn ett kurs i måneden, kan det være nyttig å sende ut kurs som utfyller hverandre. Se på kurskatalogen og vurder om noen av kursene kan passe sammen. Du kan for eksempel sende ut kursene våre om tofaktorautentisering og passord i samme periode, eller kursene våre om beskyttelse av jobbdatamaskinen og mobilsikkerhet i samme periode.
Prioriter nye kurs når det er mulig
Hvis det passer med opplæringsmålene dine, er det en god idé å sende ut alle nye kurs når vi lanserer dem (annenhver måned). Dette kan du gjøre ved å fylle ut månedene mellom med et eldre kurs eller to. Vi anbefaler alltid å sende ut de nye kursene våre for å sikre at organisasjonen din er oppdatert på de nyeste sikkerhetsrisikoene der ute.
En trinnvis veiledning for å lage din egen plan for bevissthetsopplæring
Etter å ha tenkt gjennom temaene ovenfor er du nå klar til å komme i gang med å lage din egen opplæringsplan. Enten du er CyberPilot-kunde eller ikke, vil øvelsen hjelpe deg med å lage en opplæringsplan som passer til din organisasjon. Så da setter vi i gang!-
Først må du identifisere smertepunktene i organisasjonen din - og være spesifikk.
-
Bruk vår anbefalte kursplan som en veiledning.
-
Hold frekvensen og antallet kurs lik den anbefalte kursplanen.
-
Behold startpakken.
-
Utover det kan du bytte ut eller legge til kurs som du vil.
1. Identifiser de viktigste IT-sikkerhetsutfordringene
Først og fremst må du vite hva du prøver å endre. Du må identifisere de viktigste problemene eller bekymringene i organisasjonen som du ønsker at opplæringen skal bidra til å løse.
Hva er det organisasjonen din sliter med når det gjelder IT-sikkerhet eller personopplysninger? Vær spesifikk. Er det papirer med personopplysninger som ligger på skrivebordene til folk når de går til lunsj? Bruker de ofte gratis Wi-Fi på jobb-enhetene sine når de er på reise?
Når dere har en konkret oversikt over hva dere ønsker å løse, kan dere velge ut kurs som dekker disse smertepunktene.
2. Bruk vår anbefalte kursplan for det første året som en veiledning
De viktigste elementene i vår anbefalte plan for opplæring i sikkerhetsbevissthet det første året er hvor ofte og hvor mange kurs dere sender ut.
3. Bestem hvor mange kurs dere ønsker å sende ut, og følg vår anbefaling
Vi anbefaler at du sender ut 1-2 kurs hver 1-2 måned. Du kan altså sende ut alt fra 6-24 kurs hvert år. Bestem deg for hvor mange kurs du vil at brukerne dine skal ta, og ta det derfra.
4. Behold startpakken
Du kan bytte ut andre kurs i vårt anbefalte opplegg, men vi anbefaler at du lar startpakken (Awareness Intro, Passord, Phishing og Personopplysninger) stå urørt. Den er ment å sendes ut som den første kursrunden, så den er bevisst valgt ut av våre eksperter på læringsdesign for å gi bevissthetsopplæringen en god start. Du vil ha Awareness Intro for å sette scenen for hva som skal skje, og hvorfor organisasjonen din gjennomfører bevissthetsopplæring. De tre andre kursene er ment å gi en kort og konsis innføring i tre av de mest grunnleggende pilarene innen IT-sikkerhet og personopplysninger.
5. Tilpass kursplanen til organisasjonens sikkerhetsprofil
I utgangspunktet står du fritt til å bytte ut eller legge til kurs i vår anbefalte kursplan. Du kjenner organisasjonen din, og hvis du har identifisert noen viktige bekymringer i organisasjonen din som ikke dekkes godt nok i den foreslåtte planen, er du velkommen til å lage en ny. Vi anbefaler på det sterkeste at du beholder de overordnede rammene (hyppighet og antall kurs) og startpakken som de er, men utover det kan du absolutt lage din egen plan.
Avhengig av om du ønsker å melde på brukere automatisk til hvert nye kurs annenhver måned, vil du ha flere eller færre kurs å velge mellom for din organisasjon. Her er det opp til deg å bestemme hva organisasjonen din kan ha mest nytte av, og hvor mange kurs du ønsker å gi dem.
Noen eksempler på hvordan du bestemmer hvilke kurs du skal bytte ut:
- Hvis organisasjonen din har en annen leverandør for GDPR-relaterte emner, kan du bytte ut GDPR-kursene (f.eks. Beskytt personopplysninger) fra CyberPilot og bruke noen av de andre kursene våre i stedet.
- Hvis du er en strømleverandør og dermed en viktig organisasjon for landet ditt, kan det være lurt å bytte ut et av de anbefalte kursene med kurset om løsepengevirus.
- Hvis dere sliter med spesifikke IT-sikkerhetsproblemer som sosiale medier, bør dere prioritere å sende ut Hacking på sosiale medier eller Publisering av bilder og videoer på nettet.
I neste avsnitt viser vi deg noen eksempler på hvordan en tilpasset opplæringsplan for bevisstgjøringskurs kan se ut.
Eksempel 1: Tilpasset plan for en bedrift med fokus på sensitive data
Organisasjonen har akkurat begynt med bevissthetstrening for første gang. Det er noe nytt, så IT-sjefen ønsker ikke å overvelde brukerne med en masse kurs som skal gjennomføres. De ønsker å starte med å bruke den anbefalte planen, med noen små justeringer. De har derfor bestemt seg for å gjennomføre ett kurs hver måned, inkludert CyberPilots nye kurs.
Organisasjonen er et lite advokatfirma, så de har naturlig nok mye sensitive data. IT-sjefen ønsker å fokusere opplæringen på små rutiner som de ansatte bør følge for å holde disse dataene så sikre som mulig. Her er en mulig plan for dem:
| Måneder | Kurs |
|
Måned 1 Startpakke |
Bevissthet Intro Phishing Personopplysninger Passord |
| Måned 2 | Pause (de har nettopp gjennomført 4 kurs, la oss ta en pust i bakken ) |
| Måned 3 | Beskytt jobbdatamaskinen din |
| Måned 4 | Nytt kurs |
| Måned 5 | Hvordan håndtere en phishing-e-post |
| Måned 6 | Nytt kurs |
| Måned 7 | To-faktor autentisering |
| Måned 8 | Nytt kurs |
| Måned 9 | Mobil sikkerhet |
| Måned 10 | Nytt kurs |
| Måned 11 | Oppdateringer |
| Måned 12 | Nytt kurs |
Eksempel 2: Skreddersydd plan for et rekrutteringsfirma som ønsker å sikre at de nye kursene våre er i tråd med deres opplæringsprioriteringer
IT-sjefen i dette selskapet ser at CyberPilot allerede har et bredt utvalg av kurs i katalogen vår, og det ønsker de å dra full nytte av! Derfor velger de jevnlig om de vil sende ut de nye kursene våre, eller om noe fra katalogen passer bedre for den aktuelle måneden. For å gjøre dette har de laget en liste over prioriterte kurs fra katalogen som de kan bytte ut med et nytt kurs hvis de finner det hensiktsmessig.
De ønsker å sende ut to kurs annenhver måned. De er et rekrutteringsfirma, så det meste av arbeidet deres foregår via e-post, LinkedIn og video/telefonsamtaler med kandidater. Dette er de områdene de ønsker å fokusere mest på i opplæringen.
| Måneder | Kurs |
|
Måned 1 Startpakke |
Bevissthet Intro Phishing Personopplysninger Passord |
| Måned 3 | Nytt kurs/kurs fra prioriteringslisten Sosial manipulering |
| Måned 5 | Nytt kurs/kurs fra prioriteringslisten Hvordan håndtere en phishing-e-post |
| Måned 7 | Nytt kurs/kurs fra prioriteringslisten To-faktor autentisering |
| Måned 9 | Nytt kurs/kurs fra prioriteringslisten Mobil sikkerhet |
| Måned 11 | Nytt kurs/kurs fra prioriteringslisten Videosikkerhet |
Liste over prioriterte kurs (hvis du ikke sender det nye kurset den måneden):
- E-post og personopplysninger
- Hacking på sosiale medier
- Arbeid hjemmefra
- Telefonsvindel
Avslutningsvis
Det var alt om vår anbefalte plan for bevissthetsopplæring! Vi håper at vår plan og veiledning for å lage din egen opplæringsplan hjelper deg med å få en idé om hvilke temaer som er viktige å dekke i opplæringen, hvor ofte du bør gjennomføre opplæring, og hva du bør tenke på når du lager en opplæringsplan. Hvis du har spørsmål, kan du kontakte oss på info@cyberpilot.io.
