Skip to main content

Behovet for awareness-træning

9 ud af 10 sikkerhedsbrud skyldes menneskelige fejl.

Vores egne fejltagelser. På den positive side betyder det også, at de fleste brud kan forebygges. Alligevel har de fleste virksomheder ikke udviklet et passende awareness-træningsprogram for at lære deres team at undgå de almindelige faldgruber, der fører til sikkerhedsbrud.

Faktum er, at folk ofte tager en smutvej og springer vigtige sikkerhedstrin over, blot fordi de har travlt. De prioriterer effektivitet og hastighed højere end sikkerhed. De kan blive distraheret, når de udfører tilsyneladende banale opgaver, som egentlig fortjener deres fulde opmærksomhed. Og de kan udvikle dårlige sikkerhedsvaner generelt, fordi de ikke fuldt ud forstår de potentielle konsekvenser af deres uforsigtighed.

Awareness-træning virker!

Lidt træning kan hjælpe. Undersøgelser fra Cyberpilot viste, at efter løbende awareness-træning og phishing-test havde brugerne 50% færre fejl begået under et simuleret phishing-angreb.

Det er klart, at når folk er opmærksomme på risici for privatlivets fred og de farer, som cyberkriminelle udgør, er de mere forsigtige. Awareness-træning virker, og jeres virksomhed har brug for det.

Men hvad bør jeres awareness-træning bestå af? Hvilke emner skal I dække, og hvor ofte? Lad os se på nogle grundlæggende principper for awareness-træning.

Hvad er et godt awareness-program?

Et godt awareness-træningsprogram bør hjælpe jer med at udvikle en kultur, hvor privatliv og sikkerhed er i højsædet. Det skal motivere dine medarbejdere til at beskytte virksomhedens systemer, jeres kunder, hinanden – og alles data. I praksis skal det træne jeres medarbejdere i at:

  1. Være opmærksom på folks privatliv
  2. Genkende sikkerhedstrusler
  3. Forstå, hvad der står på spil
  4. Gøre noget for at minimere risikoen

Programmet skal omfatte hele jeres organisation fra top til bund, være kontinuerlig og engagerende og gøre brug af en række forskellige emner og kvalitetsmaterialer.

Her er nogle eksempler på smarte plakater fra Cyberpilot, der er beregnet til awareness-træning:

Nødvendig uddannelse i databeskyttelse

I henhold til artikel 43 i GDPR skal man give “passende databeskyttelsesuddannelse til personale, der har permanent eller regelmæssig adgang til personoplysninger”.

Artiklen giver ikke specifikke oplysninger om, hvordan I skal uddanne personalet, hvor ofte I skal gøre det, eller hvilke emner I skal dække. Hver virksomhed bør vælge eller oprette et “passende” uddannelsesprogram.

Bemærk, at der kræves uddannelse for personale, der har “permanent eller regelmæssig adgang til personoplysninger”. Den brede definition af personoplysninger i GDPR gør, at dette gælder for de fleste medarbejdere. Men det er ikke alle, der har eller bør have samme adgang til personlige oplysninger. Ved at lave en dataopgørelse kan I finde ud af, hvem der har adgang til hvad, og skræddersy jeres awareness-træning.

Security awareness training

Emner til awareness-træning

Her er nogle af de emner, som vi foreslår, at I dækker i jeres sikkerheds- og awareness-træningsprogram:

  1. Valg og forvaltning af adgangskoder
  2. Genkendelse af personoplysninger
  3. Phishing-varianter, og hvordan man opdager dem
  4. Forståelse af retten til privatlivets fred
  5. GDPR-principper og overholdelse
  6. Beskyttelse af følsomme data
  7. Sådan praktiserer man dataminimering
  8. Fejl i forbindelse med e-mailsikkerhed
  9. Brug af delt wifi og VPN’er
  10. Softwareopdateringer og sikkerhed
  11. Sikkert arbejdsudstyr
  12. Sikkerhed på hjemme-arbejdspladser

Hvis I fokuserer på blot ét af disse emner hver måned, vil det være nok information til at holde uddannelse i beskyttelse af privatlivets fred og awareness-træning i gang i et helt år. Nogle virksomheder planlægger en awareness-træningsdag og forsøger at tage så mange af disse emner op som muligt. Det kan blive en ret opslidende dag. Hvis man forsøger at afdække mange oplysninger på én gang, kan det være svært for folk at huske det, de har lært. Og det vil være problematisk at måle forbedringer.

Security awareness program

Sådan opsætter I et program for awareness-træning

Hvert af de ovennævnte emner er for vigtige til, at man kan proppe dem alle sammen sammen i ét langt, kedeligt seminar. Vi foreslår et program, der indeholder korte, men regelmæssige sessioner baseret på hvert af disse emner. Fokus bør lægges på at hjælpe folk med at se deres betydning, de involverede indsatser og derefter hvordan de kan forbedre deres praksis.

Lad os se på hvad der kunne være delemner for en række awareness-kurser.

Want more free data privacy tips?

Get the latest data privacy management news, trends and expert tips delivered straight to your inbox.

    Awareness-træning i compliance

    I bør sørge for, at I har en klar GDPR-politik, som jeres medarbejdere har let ved at følge. Gør medarbejderne opmærksom på, hvem de kan henvende sig til, hvis de har spørgsmål om GDPR-regler og personlige oplysninger.

    Af relevante delemner for et GDPR-awareness-kursus kunne være:

    1. Hvem skal du henvende dig til med GDPR-spørgsmål?
    2. Hvordan er din proces for DSAR’er?
    3. Hvem skal du rapportere til i tilfælde af et databrud?
    4. Hvad vi kan lære af GDPR-principperne
    5. Hvordan GDPR-bøder beregnes, og hvordan du kan reducere risikoen og ansvaret

    Awareness-træning i adgangskodeadministration

    Et awareness-kursus i adgangskode-styring kan indeholde oplysninger om:

    1. Almindelige og svage adgangskoder og adgangskodemønstre, der skal undgås
    2. Hvordan hackere udnytter svage adgangskoder
    3. Sådan opretter man stærke, unikke adgangskoder og husker dem
    4. Hvornår skal man ændre adgangskoder?

    Awareness-træning om phishing

    Et awareness-kursus i phishing-mails kan omfatte:

    1. Eksempler på og variationer af phishing
    2. Sådan genkender man en phishing-e-mail
    3. Simuleringer af phishing

    Awareness-træning om personoplysninger

    Et awareness-kursus i persondata kan omfatte:

    1. Hvordan man finder personlige data
    2. Sådan opdager man følsomme data
    3. Sådan får man adgang til personers personlige oplysninger
    4. Hvor længe skal personoplysninger opbevares?

    Outsourcing af awareness-træning

    For mange virksomheder er det ikke muligt at bruge egen tid på at planlægge, designe og implementere et engagerende program for awareness-træning. Ikke alene ville det være for tidskrævende at oprette egne undervisningsmaterialer og ressourcer, men man ville også være nødt til at lave en masse research for at holde sig opdateret, da sikkerhedstrusler konstant ændrer sig.

    Derfor vælger nogle virksomheder at sende deres medarbejdere til et seminar om awareness-træning i håb om, at de vil absorbere oplysningerne og uddanne resten af holdet. Dette er ikke særlig effektivt af flere grunde:

    1. Som nævnt ovenfor har det vist sig, at regelmæssig løbende uddannelse er bedre end at forsøge at pakke alt ind på én dag.
    2. Ved at involvere alle får man bedre resultater end ved at regne med, at kun nogle få personer kan give det videre, som de kan huske fra et hurtigt og intensivt seminar.

    Målet bør være at skabe en kultur for sikkerhed og privatlivets fred i hele virksomheden. Det betyder, at alle bør deltage. Hyppigheden og stilen af jeres awareness-træning bør gøre sikkerhed og beskyttelse af personlige oplysninger til standard for jeres virksomhed.

    Fordelene ved awareness-træning

    At tilmelde jeres medarbejdere et online kursus i awareness-træning kan være den bedste og mest omkostningseffektive måde at gøre GDPR-træning til en realitet på i jeres virksomhed.

    Cyberpilot har skabt en komplet serie af e-learning-kurser + phishing-simulationer, der gør det nemt at træne GDPR-awareness. Kurserne er fyldt med videoer og infografikker, der hjælper folk med at forstå og huske materialet. Brugerne kan se deres fremskridt, mens de bevæger sig gennem hvert kursus, som hver afsluttes med en test.

    Vi er også glade for de gratis ressourcer på deres websted, f.eks. de gratis plakater, der kan downloades. Tag f.eks. denne med en simpel lektion om, hvorfor det er så vigtigt at beskytte personlige data:

    Cyberpilot e-training posters

    Vi kunne ikke være mere enige. Det er en passende sammenligning, der kan hjælpe folk til at forstå vigtigheden af at passe på folks data. Og denne plakat er et godt eksempel på, hvad der kendetegner et godt program for sikkerhedsbevidsthed:

    1. Gør det personligt
    2. Gør det kort og klart
    3. Gør det nemt at huske

    Hvis indholdet af jeres awareness-program opfylder disse tre krav, vil det med stor sandsynlighed blive hængende i jeres medarbejderes bevidsthed, og forme den måde, de håndterer sikkerhed og GDPR-udfordringer på.

    Det lyder måske enkelt, men det er stadig en større udfordring at lave en interessant og effektiv awarenesstræning. Har I brug for hjælp? Prøv Cyberpilot →

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR