Använd GDPR utbildning för att efterleva GDPR regler
Även om GDPR inte är något nytt längre, funderar många organisationer fortfarande på det bästa sättet att tillhandahålla GDPR-utbildning och öka anställdas medvetenheten om säkerhetsfrågor. Dataskyddsförordningen ställer en del utbildningskrav som gör det nödvändigt för personal att få en viss utbildning i GDPR. Det finns många sätt att implementera GDPR-medvetenhetsträning för anställda: det kan vara online, fysiskt på plats, eller en blandning av de två, och det finns även massor av ämnen som du kan potentiellt ta upp. I det här blogginlägget kommer vi diskutera varför medvetenhetsutbildning är viktigt för både GDPR-efterlevnad och organisationssäkerhet, och vi går igenom hur kurser för anställda kan hjälpa dig att uppnå efterlevnad av GDPR och andra ramverk för cybersäkerhet.
Innehållsförteckning
-
GDPR-utbildning kan fylla kunskapsluckor
- GDPR-utbildning för anställda gör säkerhet till allas jobb
-
Vanliga ämnen för GDPR-utbildning
-
De flesta säkerhetsöverträdelser beror på mänskliga fel, men det behöver inte vara så
- Tekniska verktyg kan inte stå för sig själv
-
Utbildning i GDPR: förvandla ditt team till ditt starkaste försvar
-
Medvetenhetsträning hjälper dig uppnå GDPR-efterlevnad och andra cybersäkerhetscertifieringar
- GDPR utbildning kan genomföras på en mängd olika sätt
-
Medvetenhetsträning kan genomföras på en mängd olika sätt
GDPR-utbildning kan fylla kunskapsluckor
EU införde GDPR i maj 2018, syftet var att konsumenter skulle ges bättre information om hur deras personuppgifter används, samt att skapa en säkrare datahantering i organisationer.
Därför består GDPR av en bred variation regler och regulatorer som rör behandling av personuppgifter och förebyggande av säkerhetsöverträdelser. Dessa regler bygger på GDPR:s sju grundläggande principer. Reglerna upprätthålls under hot om stora monetära sanktioner för organisationer som inte uppfyller kraven.
Trots att det nu är normalt att arbeta med GDPR, är det vanligt att organisationer fortfarande är osäkra på vad de måste göra för att säkerställa efterlevnad av GDPR. Till exempel, rollerna för databehandlare och registeransvariga, hur man hanterar dataöverföringar utanför EU, och till och med vad som räknas som personuppgifter, kan alla vara svåra områden att navigera.
GDPR-utbildning för anställda gör säkerhet till allas jobb
Datasäkerhet är ett jobb som inkluderar alla inom en organisation, inte endast IT-teamet. Det är även en fråga som både stora och små företag bör ta på allvar. Men de flesta anställda har inte mycket tid över till att själva lära sig om GDPR. Det är därför GDPR-utbildning för anställda är en viktig del av att bygga en säker och medveten organisation. Med hjälp av medvetenhetsträning i GDPR kan du bland annat hjälpa dina anställda att ha koll på hur de ska hantera personuppgifter i sin vardag och föra din organisation närmare efterlevnad av GDPR.
Vanliga ämnen för GDPR-utbildning
När det kommer till GDPR och IT-säkerhet finns det mycket som ditt team måste bekanta sig med. Till exempel är personuppgifter ett vanligt ämne för kurser i GDPR eftersom det är ett område som många anställda fortfarande känner sig förvirrade om. Det är väldigt viktigt att alla anställda känner till korrekt hantering av personuppgifter, eftersom felaktig hantering av personuppgifter är inblandat i många av de vanligaste GDPR-överträdelserna.
Några andra ämnen och kurser som du skulle kunna ta med i din GDPR-utbildning är:
- Vad nätfiske är och hur man upptäcker ett nätfiskemejl
- Rättslig grund för behandling av personuppgifter
- Hur man använder internet och wifi på ett säkert sätt
- GDPR:s sju grundläggande principer
- Hur man skapar och använder starka lösenord
Du är också välkommen att gå igenom CyberPilots kurskatalog, där du kan hitta exempel på kurser inom medvetenhetsträning som vi för nuvarande erbjuder. Det viktiga är att säkerhetskunskapen inte bara finns på IT-avdelningen, utan att resten av din personal också är medveten. Det kan däremot vara svårt för dina anställda att på egen hand hålla sig uppdaterade om bestämmelser om uppgiftsbehandling. För att illustrera vikten av detta, låt oss ta en titt på vad som kan hända om säker databehandling inte förstås av alla.
De flesta säkerhetsöverträdelser beror på mänskliga fel, men det behöver inte vara så
En säkerhetsöverträdelse innebär, i allmänhet, att en del eller alla personuppgifter som hanteras inom en organisation, läcks ut. Det kan till exempel ske när en anställd klickar på ett nätfiskemejl, av misstag laddar ner malware (sabotageprogram) eller ransomware (skadlig kod), skickar uppgifter till fel mottagare via e-post eller använder en osäker offentlig wifi-anslutning.
När man hör ordet säkerhetsöverträdelser, tänker många ofta på skadliga IT-hackare som attackerar organisationens IT-system och stjäl data.
Men oftast inträffar en säkerhetsöverträdelse på grund av mänskliga fel. Problemet har två sidor. Å ena sidan gör människor misstag eller hanterar uppgifter oförsiktigt eftersom de saknar kunskap om vikten av säker datahantering. Till exempel:
|
|
Å andra sidan, när människor saknar säkerhetsmedvetenhet är de mer mottagliga för cyberattacker. Detta beror på att de flesta attacker försöker utnyttja människor istället för IT-system. Därför löper de större risk att bli offer för sociala attacker, exempelvis de attackerna som används i nätfiskemejl, som kan leda till ett dataintrång. Detta är varför det är så viktigt att träna anställda i att upptäcka vad som utmärker ett nätfiskemejl.
Tekniska verktyg kan inte stå för sig själv
Naturligtvis är teknisk cybersäkerhet fortfarande en viktig del när det gäller att hålla din organisation säker. Olika tekniska verktyg, som till exempel Mobile Device Management eller SIEM och logghantering, kan användas för att minska risken för säkerhetsincidenter. I grafen nedan ser du några andra tekniska verktyg.
Men även om de tekniska verktygen är mycket komplexa, är de inte 100 % effektiva, så de kan inte hålla alla hot borta. De är bara halva striden. De kan till exempel inte förbättra:
-
Personalens beteende. En brandvägg hindrar exempelvis inte personalen från att ge fel personer åtkomst till data.
-
Oklara processer när det gäller hantering av personuppgifter.
-
Brist på kunskap om cybersäkerhet.
Detta är saker som bara personalen själva kan åtgärda och förhindra. Och som tur är kan anställda få verktygen de behöver med rätt utbildning.
En kombination av kunskap och medvetenhet hos hela personalstyrkan, tillsammans med tydliga processer för datahantering, är ditt starkaste försvar mot säkerhetsincidenter. Det är därför det är avgörande att öka medvetenheten genom GDPR-utbildning.
Medvetenhetsträning är ett av verktygen din organisation kan använda för att avsevärt förbättra kollegornas kunskap om cybersäkerhet och säker datahantering. Det krävs också för att efterleva GDPR:
-
Artikel 39 kräver att ditt dataskyddsombud ökar medvetenheten och ger utbildning till personal som är involverad i databehandling
-
Artikel 43 kräver att personal som har permanent eller regelbunden tillgång till personuppgifter får dataskyddsutbildning
Som vi tidigare diskuterade i det här blogginlägget kan personuppgifter vara komplicerade. Du kan inte förvänta dig att all personal blir experter på GPDR. Därför kan ett utbildningsprogram med kurser i GDPR, som regelbundet ger kollegorna tydliga, enkla och praktiska förklaringar och exempel på hur man säkert hanterar personuppgifter, vara till stor hjälp för att förbättra de anställdas beteenden.
Dessutom, när människor är medvetna om farorna som cyberkriminella utgör, är de mer benägna att upptäcka nätfiskeattacker och mindre benägna att göra andra fel, som att lagra data under en för lång tid.
Enkelt sagt är det IT-avdelningens och ledningsgruppens uppgift att sätta upp tydliga processer som personalen kan följa, och att utse personer som anställda kan kontakta med frågor om GDPR och informationssäkerhet. Det kan till exempel vara ditt dataskyddsombud. Både en IT-säkerhetspolicy och riktlinjer för IT-användning är dokument där den här typen av processer kan beskrivas
Organisationen behöver upprätta:
|
Anställda måste vara medveten om:
|
Att säkerställa GDPR-efterlevnad är i fokus för de flesta organisationer, och det finns flera ramverk som organisationer använder för att hjälpa dem att upprätthålla och dokumentera GDPR-efterlevnad. Vissa är till exempel branschspecifika och andra är landsspecifika. Alla ramverk för cybersäkerhet säkerställer inte GDPR-efterlevnad, men vissa av ramverkens krav överlappar GDPR, och många ramverk kräver utbildning i medvetenhet.
Här under kan du se några av de ytterligare ramverk för cybersäkerhet som många organisationer använder i sitt GDPR-arbete, och hur medvetenhetsträning passar in i var och en av dem.
Ramverk: ISO 27701 | |
Beskrivning | En förlängning av ISO 27001, som är en internationell standard för informationssäkerhet. ISO 27701 har ytterligare krav gällande personuppgifter som säkerställer efterlevnad av GDPR |
Krav på medvetenhetsutbildning | Klausul 7.2.2 kräver att alla företagsarbetare och nödvändiga entreprenörer får utbildning i medvetenhet |
Ramverk: ISAE 3000 GDPR | |
Beskrivning | En specifik version av ISAE 3000 som inkluderar Gdpr krav. Beroende på mängden personuppgifter som din organisation behandlar, skulle du följa antingen ISAE 3000 High (för höga nivåer av personuppgifter) eller ISAE 3000 low (för låga nivåer av personuppgifter) |
Krav på medvetenhetsutbildning | Kräver relevant utbildning av personal |
Ramverk: CIS (Center for Internet Security Critical Security Controls) | |
Beskrivning | Riktlinjer för bästa praxis för datorsäkerhet med en lista över åtgärder som organisationer bör vidta för att förhindra attacker |
Krav på medvetenhetsutbildning | Kontroll 14 kräver att ett program för säkerhetsmedvetande skapas, och underhålls. Lär dig hur du kan uppfylla alla krav på utbildning om medvetenhet i vårt blogginlägg om CIS 18 |
Ramverk: ISO 27001 and 27002 | |
Beskrivning | Internationell standard med riktlinjer för bästa praxis för ledningssystem för informationssäkerhet |
Krav på medvetenhetsutbildning | Klausul 7.2.2 kräver att alla företagsarbetare och nödvändiga entreprenörer får utbildning och träning i medvetenhet |
Ramverk: NIST | |
Beskrivning | USA-baserat ramverk med riktlinjer för informationssäkerhet som organisationer som gör affärer med den amerikanska federala regeringen måste följa |
Krav på medvetenhetsutbildning | För att uppfylla kraven måste en organisations chefer, systemadministratörer och systemanvändare vara medvetna om säkerhetsrisker. Medvetenhetsträning bör omfatta hur man känner igen och rapporterar hot |
Ramverk: CMMC | |
Beskrivning | Kommer snart att ersätta NIST i USA. Används för enheter som gör affärer med den amerikanska regeringen |
Krav på medvetenhetsutbildning | Det finns flera nivåer för efterlevnad. Nivå 2 och högre, som indikerar en lägsta mellanliggande cyberhygien, kräver utbildning i medvetenhet |
Ramverk: ISRS 4400 | |
Beskrivning | Liknar ISAE 3000, men ISRS 4000 baseras endast på de kriterier som revisorn uppmanas att verifiera |
Krav på medvetenhetsutbildning | Kräver relevant utbildning av personal |
Att komma igång med medvetenhetsträning är lättare än du kanske tror. Allt handlar om att ge människor kunskap om personuppgifter och cybersäkerhet på ett sätt som de enkelt kan förstå och komma ihåg.
Det är därför det är en bra idé att överföra denna kunskap på flera sätt och genom flera kanaler, för att verkligen skapa en medvetenhet om cybersäkerhet som finns med i allas sinne.
Du kan till exempel kombinera olika former av e-lärande och klassrumslärande. E-lärande kan hjälpa dig uppnå en viss kontinuitet och uppmuntra dina kollegor att lära sig i sin egen takt. Klassrumsinlärning kan underlätta utbyte av idéer och omsätta kunskap i praktiken.
Det finns många möjligheter att organisera ett bra utbildningsprogram för medvetenhet på. Här har vi samlat några tips för att skapa ett utbildningsprogram med GDPR kurser som dina medarbetare kommer att trivas med. Det finns utrymme för att bli ganska kreativ om du så vill, till exempel med hjälp av spelelement.
Olika metoder att utforma utbildning i GDPR och medvetenhet på
Några exempel på utbildningsformer inkluderar:
Digital GDPR-utbildning: Korta e-inlärningsmoduler, online, med videor, text, frågesporter.
Klassrumsutbildning: Längre sessioner med en instruktör som kan uppmuntra till diskussion eller bjuda in en expert.
Simuleringar: Nätfiske och andra IT-säkerhetssimuleringar ger människor möjlighet att öva på sina kunskaper i realistiska situationer.
Workshops: Till exempel där personalen kan placera sig i en nätbrottslings situation och pröva sig på att förstå hur de tänker.
Fritt tillgängligt online material: Det finns många inlärningskällor och annat material gratis på nätet. Det sträcker sig från YouTube-videor, regeringskampanjer till affischer och diagram som du kan hänga upp på kontoret.
Till exempel har Europeiska unionens byrå för cybersäkerhet (ENISA) gratis material för att främja IT-säkerhet. Dessutom har United States National Cyber Security Alliance (NCSA) en gratis videoserie som du kan dela med dina anställda.
Gruppaktiviteter och spel: Dessa kan vara i olika format, till exempel ett Escape Room eller ett Cluedo-liknande scenario där teamet måste lista ut hur och av vem företaget infiltrerades.
Utbildning och kurser i GDPR ökar medvetenhet om säkerhet och främjar efterlevnad av GDPR
Utöver det vi redan har tagit upp, finns det många olika sätt att organisera medvetenhetsträning på. Du kan skräddarsy de format som passar bäst för din organisations behov, och som mäter effekten av medvetenhetsträningen på dina anställda. Bra utbildningsprogram i medvetenhetsträning är något som personalen inte ser som en börda, utan något som de till och med kan se fram emot.
Framgångsrikt implementerad medvetenhetsträning leder till att personalen får en intuitiv känsla för vad de behöver göra i sitt dagliga arbetsflöde för att följa GDPR, samtidigt som organisationens allmänna cybersäkerhet förbättras. I slutändan kan en medveten personalstyrka faktiskt visa sig vara ditt starkaste cyberförsvar!
Du får inspiration, verktyg och berättelser om god cybersäkerhetspraxis direkt i din inkorg. Vårt nyhetsbrev skickas ut ungefär en gång i månaden.