Det korte svar: Effektiv awareness-træning handler ikke bare om at gennemføre et kursus én gang om året. Den skal være målrettet, relevant og gentages løbende, så den ændrer adfærd og skaber en stærk sikkerhedskultur. Brug konkrete eksempler, test viden og skab ledelsesopbakning – så bliver træningen både nyttig og nødvendig.
Måske det mest effektive compliance-tiltag
9 ud af 10 sikkerhedsbrud skyldes menneskelige fejl. Alligevel laver de fleste virksomheder ikke intern træning i awareness. I mange af de virksomheder vi samarbejder med oplever vi, at medarbejdere ofte springer vigtige arbejdsprocesser over, fordi de prioriterer effektivitet højere end datasikkerhed. Det er problematisk, fordi det netop er jeres medarbejdere, som sidder med hænderne nede i materiel og behandler data – herunder følsomme data. Det mest kost-effektive tiltag I kan lave, for at styrke compliance, kan derfor være awareness-træning. Bloggen her handler om, hvordan I kan lave awareness-træning, der skal grobund for sikre arbejdsprocesser.
Vidste du, at hvis man er forberedt på et databrud, kan det markant minimere mistillid og kundetab?
www.microsoft.com
Hvad siger GDPR om awareness-træning?
I henhold til artikel 43 i GDPR skal man give “passende databeskyttelsesuddannelse til personale, der har permanent eller regelmæssig adgang til personoplysninger”. Artiklen giver ikke specifikke oplysninger om, hvordan I skal uddanne personalet, hvor ofte I skal gøre det, eller hvilke emner I skal dække. Hver virksomhed bør vælge eller oprette et “passende” uddannelsesprogram.
Bemærk, at der kræves uddannelse for personale, der har “permanent eller regelmæssig adgang til personoplysninger”. Den brede definition af personoplysninger i GDPR gør, at dette gælder for de fleste medarbejdere. Det er dog ikke alle, der har eller bør have samme adgang til personlige oplysninger – det er en anden snak.
Hvad er et godt awareness-program?
Et godt awareness-træningsprogram bør hjælpe jer med at udvikle en kultur, hvor beskyttelse af persondata og compliance bliver sat i fokus. Det skal motivere jeres medarbejdere til at beskytte virksomhedens systemer og de mennesker I har data på. I praksis skal det træne jeres medarbejdere i at:
- Være opmærksom på folks persondata
- Genkende sikkerhedstrusler
- Forstå, hvad der står på spil
- Arbejde for at minimere databrud
Programmet skal omfatte hele jeres virksomheden fra top til bund, være kontinuerlig og engagerende samt gøre brug af en række forskellige emner og kvalitetsmaterialer.
Lav awareness-træning der virker
En undersøgelse fra Cyberpilot viste, at medarbejdere, der modtog løbende awareness-træning og blev udsat for phishing-tests, begik 50 % færre fejl under et simuleret phishingangreb. Det viser tydeligt, at når folk forstår risikoen for at eksponere følsomme data – og er bevidste om truslen fra cyberkriminalitet – handler de mere ansvarligt. Derfor er det afgørende, at jeres awareness-træning ikke blot gennemføres, men faktisk virker. For at fange og fastholde medarbejdernes opmærksomhed anbefaler Cyberpilot tre konkrete greb:
- Gør det personligt
- Gør det kort og klart
- Gør det nemt at huske
Hvis indholdet af jeres awareness-kursus opfylder disse tre krav, vil det med stor sandsynlighed blive hængende i jeres medarbejderes bevidsthed, og forme den måde, de håndterer sikkerhed og GDPR-udfordringer på. Det lyder måske enkelt, men det er stadig en større udfordring at lave en interessant og effektiv awarenesstræning.
Emner til awareness-træning
Men hvad bør jeres awareness-træning bestå af? Hvilke emner skal I dække, og hvor ofte? Her er nogle af de emner, som vi foreslår, at I dækker i jeres sikkerheds- og awareness-træningsprogram:
- Valg og forvaltning af adgangskoder
- Genkendelse af personoplysninger
- Phishing-varianter, og hvordan man opdager dem
- Forståelse af retten til privatliv
- GDPR-principper og compliance
- Beskyttelse af følsomme data
- Sådan praktiserer man dataminimering
- Fejl i forbindelse med e-mailsikkerhed
- Brug af delt wifi og VPN’er
- Softwareopdateringer og sikkerhed
- Sikkert arbejdsudstyr
- Sikkerhed på hjemme-arbejdspladser
Hvis I fokuserer på blot ét af disse emner hver måned, vil det være nok information til at holde uddannelse i beskyttelse af privatlivets fred og awareness-træning i gang i et helt år. Nogle virksomheder planlægger en awareness-træningsdag og forsøger at tage så mange af disse emner op som muligt. Det kan blive en ret opslidende dag. Hvis man forsøger at afdække mange oplysninger på én gang, kan det være svært for folk at huske det, de har lært. Og det vil være problematisk at måle forbedringer.
Sådan opsætter I et program for awareness-træning
Hvert af de ovennævnte emner er for vigtige til, at man kan proppe dem alle sammen sammen i ét langt seminar. Vi foreslår et program, der indeholder korte, men regelmæssige sessioner baseret på hvert af disse emner. Fokus bør lægges på at hjælpe folk med at se deres betydning, de involverede indsatser og derefter hvordan de kan forbedre deres praksis.
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Outsourcing af awareness-træning
For mange virksomheder er det ikke muligt at bruge egen tid på at planlægge, designe og implementere et engagerende program for awareness-træning. Ikke alene ville det være for tidskrævende at oprette egne undervisningsmaterialer og ressourcer, men man ville også være nødt til at lave en masse research for at holde sig opdateret, da sikkerhedstrusler konstant ændrer sig.
Derfor vælger nogle virksomheder at sende deres medarbejdere til et seminar om awareness-træning i håb om, at de vil absorbere oplysningerne og uddanne resten af holdet. Dette er ikke særlig effektivt af to grunde:
- Grund #1: Som nævnt ovenfor har det vist sig, at regelmæssig løbende uddannelse er bedre end at forsøge at pakke alt ind på én dag.
- Grund #2: Ved at involvere alle får man bedre resultater end ved at regne med, at kun nogle få personer kan give det videre, som de kan huske fra et hurtigt og intensivt seminar.
FAQ om awareness-træning
1. Er awareness-træning lovpligtig?
Ikke eksplicit – men det er et krav i GDPR, at medarbejdere instrueres og uddannes i datasikkerhed.
2. Hvor ofte skal vi træne?
Mindst én gang årligt – men gerne oftere og i mindre doser (mikrotræning).
3. Hvordan måler vi effekten?
Med quizresultater, klikrater på phishing-tests, og opfølgende adfærdsobservationer.
4. Hvem har ansvaret for awareness?
Ledelsen har det overordnede ansvar, men det skal forankres i både HR, IT og DPO-roller.
Kom i gang med awareness-træning
At lave awareness-træning for jeres medarbejdere kan være den mest omkostningseffektive at styrke jeres compliance på. Cyberpilot har skabt en komplet serie af e-learning-kurser og phishing-simulationer, der gør det nemt at træne GDPR-awareness. Kurserne er fyldt med videoer og infografikker, der hjælper folk med at forstå og huske materialet. Brugerne kan se deres fremskridt, mens de bevæger sig gennem hvert kursus, som hver afsluttes med en test.
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
