Hackare riktar in sig på människor, snarare än datorer, för att skapa säkerhetsbrister genom osäkra informationssäkerhetsbeteenden, till exempel genom att skapa svaga lösenord, dela användaruppgifter med kollegor eller ladda ner misstänkt programvara från Internet. Eftersom medarbetarna spelar den viktigaste rollen när det gäller att skydda personuppgifter och informationssystem väljer många organisationer att genomföra medvetandehöjande program för att skydda sina uppgifter och uppfylla kraven i dataskyddsförordningen.
Men hur effektiv är egentligen utbildning i medvetenhet? I det här blogginlägget ger vi dig några konkreta tips på hur du kan mäta hur framgångsrik utbildningen är i din organisation. Slutligen kommer vi att visa några av våra egna resultat.
Fungerar utbildning i medvetenhet? Vetenskapen säger ja!
I en studie med 2900 tjänstemän genomfördes en utbildning i informationsmedvetenhet, som bland annat innehöll kurser i hur man använder lösenord. Efter att 190 anställda slumpmässigt valts ut för en undersökning visade det sig att 114 av dem följde både lösenordspolicyn och de andra säkerhetspolicyn/rutinerna.
Dessutom gjordes en detaljerad statistisk analys av användarnas säkerhetsnivåer och styrkor när det gäller lösenord. Resultaten av de tekniska lösenordsrevisionerna visar att målen för ökad säkerhet uppfylldes och till och med överträffade revisorernas förväntningar. Resultaten visar att användningen av svaga lösenord låg på 35,6% innan projektet startade och efter ett år hade denna siffra sjunkit till 6,9%, vilket var mycket högre än organisationens förväntningar och mål. Även om det kanske inte är möjligt för din organisation att testa alla medarbetares lösenordsstyrka finns det många andra sätt att mäta effekten av medvetenhetsträning.
Att mäta lösenordsstyrkan är dessutom bara ett av många sätt att avgöra om utbildningen varit effektiv. Det finns trots allt många aspekter av informationssäkerhet, till exempel hur nöjda medarbetarna är med utbildningen och hur de kommunicerar om säkerhetsbrister, för att bara nämna några.
Effektiviteten i e-learning
Under det senaste decenniet har utbudet av e-learningkurser ökat kraftigt. Numera kan man läsa allt från en hel universitetsexamen till att lära sig spela gitarr. Det är en fördel eftersom många människor kan lära sig materialet när och var det passar dem.Det är dock inte alltid det mest effektiva sättet att undervisa på, av två huvudsakliga skäl:
-
Vissa färdigheter kräver personlig utbildning med praktisk erfarenhet utanför datorn och
-
Tyvärr tar många leverantörer av e-lärande personlig utbildning och digitaliserar den helt enkelt till e-lärande, vilket inte passar mediet och därför är ineffektivt.
När man lär sig spela gitarr kan vem som helst lära sig teorin och vissa grundläggande färdigheter genom e-learning. Men i takt med att eleven gör framsteg är det säkert en fördel om en instruktör finns bredvid och kan ge mer skräddarsydda råd utifrån elevens styrkor och svagheter.
Det är viktigt att understryka att medvetenhet inte är detsamma som utbildning. Medvetenhet är helt enkelt att vara uppmärksam på en viss fråga, medan utbildning innebär att du blir fullt kompetent att hantera ett brett spektrum av situationer. Syftet med utbildning i medvetenhet är främst att hjälpa till att bibehålla rätt fokus för att förhindra misstag. Kompetens inom IT är ett större område som medvetenhetsträning bara är en del av.
Du kan läsa mer om hur e-learning kan jämföras med traditionellt lärande när det gäller medvetenhetsträning här.
Hur man mäter effekten av utbildning i medvetenhet
När du startar ett initiativ är det bra att mäta vilken effekt det har på din organisation. Hur vet du annars om dina ansträngningar har varit framgångsrika? I det här avsnittet går vi igenom några olika sätt att mäta effekten av en utbildning i medvetenhet.
Det är dock viktigt att notera att mätning av effekten av utbildning i medvetenhet beror på vilka mål och sammanhang din organisation har. Här är några exempel som kan hjälpa dig att brainstorma.
-
Är målet att uppfylla kraven i GDPR?
-
Är målet att ha transparens och kommunikation när det gäller säkerhetsöverträdelser?
-
Är målet att förändra medarbetarnas beteende när de arbetar online?
-
Är målet att åstadkomma en kulturell förändring för teamet när de arbetar med IT?
-
Är målet att bli mindre sårbar för nätfiskeattacker/hackningsförsök/attacker med skadlig kod?
Hur din organisation väljer att mäta effekten beror också på parametrar som organisationens storlek och mognad inom IT. Vi rekommenderar att du använder PDCA-cykeln (Plan-Do-Check-Act) för att skapa en mer effektiv informationssäkerhet.
Övervaka inlärningsaktiviteter
Det första steget för att mäta effekten av medvetenhetsträning är att titta på följande mätvärden:
-
Hur många personer deltar i och slutför utbildningen?
-
Genomför de utbildningsmodulerna inom några dagar efter att de fått dem, eller skjuter de upp dem under en längre tid?
-
Tappar människor intresset för utbildningen över tid?
Vår nya säkerhetsplattform erbjuder kombinerad rapportering för både medvetenhetsträning och phishingträning. Du kan enkelt se status för slutförda kurser, få tillgång till användarspecifika rapporter för kurser i medvetenhetsträning, kontrollera enskilda användares poäng och få sammanfattningar för varje användare. Dessutom har du möjlighet att exportera rapporter, vilket gör att du kan analysera data i ett Excel-ark för ytterligare insikter.
Feedback och nöjdhet bland medarbetarna
När alla är upptagna med sina dagliga uppgifter, möten och deadlines kan det vara lätt att dra sig för att prata direkt med vårt team om utbildning i medvetenhet. Men även om det kan vara mest ansträngande att direkt be om feedback, kommer de insikter du får att vara värda det, och det behöver inte ta mycket tid.
Några frågor du kan ställa till dem är bland annat
-
Har de tid att införliva medvetenhetsträningen i sitt dagliga arbetsliv?
-
Har de fått bättre grepp om cybersäkerhetskoncepten?
-
Känner de att de har större självförtroende när de ställs inför nya situationer, t.ex. när de hanterar personuppgifter?
-
Vet de vem de ska kontakta om det sker en säkerhetsöverträdelse eller en nätfiskeattack?
En metod för att få feedback från medarbetarna är att skicka ut ett frågeformulär. På så sätt har du chansen att få in flest svar.
Nyligen bad vi om feedback från användarna av CyberPilots medvetandeutbildning. 849 användare* svarade på vår enkät, och här är vad de sa.
Vi rekommenderar också att du antingen pratar med några medarbetare över en snabb kopp kaffe eller har ett snabbt samtal online för att se vad de tycker om medvetandeutbildningen. Du kan lära dig något som du inte visste att du inte visste.
Utbildning i nätfiske
Nätfiske är ett av de största hoten mot cybersäkerheten, särskilt eftersom cyberbrottslingarna blir allt smartare när det gäller att rikta in sig på och lura oss. Ett sätt att mäta ditt teams beredskap mot nätfiske är att testa dem med nätfiskesimuleringar.
För att genomföra dessa samarbetar vi med organisationer för att lansera nätfiskekampanjer. Dessa kommer i form av e-postmeddelanden och har ofta ett lockande meddelande som uppmuntrar medarbetaren att klicka på en länk. När de väl har öppnat länken måste de "logga in" för att få tillgång till informationen. På så sätt kommer cyberbrottslingar över e-postadresser och lösenord, vilket innebär att de får tillgång till systemen i organisationen. För att mäta beredskapen hos din personal kan du titta på följande resultat:
-
Öppnade e-postmeddelanden. Detta är normalt sett ofarligt
-
Länk klickad. I de flesta phishing-simuleringar skulle detta inte göra någon större skada. Tänk dock på att cyberbrottslingar alltid kan bifoga skadlig kod i e-postmeddelanden
-
Uppgift om inloggningsuppgifter. Tyvärr innebär detta att inloggningsuppgifter för organisationen skulle ha lämnats till cyberbrottslingarna
I detta whitepaper tittar vi på hur organisationer har klarat sig mot våra phishing-simuleringar. Spoiler: Baserat på våra studier är det mer än hälften av användarna som är mindre benägna att ange sina privata uppgifter efter att ha fått utbildning i medvetenhet.
Det är en stor förbättring!
Kommunikation om säkerhetsöverträdelser
Det är inte bara viktigt att ditt team undviker hot som nätfiske eller skadlig kod, utan de måste också kommunicera detta till sina kollegor och till den IT-ansvarige. I GDPR betonas vikten av att dokumentera säkerhetsöverträdelser. I denna dokumentation kan du ange hur överträdelsen rapporterades eller upptäcktes. På så sätt kan dataskyddsombudet dokumentera att säkerhetsöverträdelsen upptäcktes av en anställd. I vår utbildning om medvetenhet klargör vi att kommunikation förväntas, eftersom det inte är bra för någon att hålla överträdelsen för sig själv.
Om du till exempel är dataskyddsombud och vet att det har förekommit ett dataintrång eller en säkerhetsöverträdelse, men ingen har uppmärksammat dig på det, måste du ta upp det på ett konstruktivt sätt. Vi har märkt att om man inleder en dialog i organisationen kan man få igång samtal och därmed kommer cybersäkerhet att fortsätta att vara en prioritet.
Här är några saker som du kan göra och vara medveten om för att mäta kommunikationen om säkerhetsbrister i din organisation:
-
För en loggbok över de informella samtal om säkerhet som du har via chatt eller personligen. Det behöver inte kräva mycket ansträngning, men det är ett bra sätt att komma ihåg interaktionerna så att du kan reflektera över dem.
-
Pratar folk mer om säkerhet i allmänhet?
-
Ställer folk frågor när de är osäkra?
Vi skulle också vilja höra från dig!
I det här blogginlägget har vi illustrerat hur du kan mäta effektiviteten i medvetenhetsträningen i din organisation. Du kanske har pratat med ditt team om vad de tycker om vår utbildning eller bett dem fylla i en kort enkät. Var det något vi missade? Finns det något vi kan åtgärda för att förbättra deras upplevelse? Låt oss veta det på info@cyberpilot.io!
Om du fortfarande funderar på att starta en utbildning i medvetenhet för din organisation kan du prova CyberPilots utbildning i medvetenhet i en kostnadsfri testversion.
