Lav awareness-træning der virker

9 ud af 10 sikkerhedsbrud skyldes menneskelige fejl. Alligevel har de fleste virksomheder ikke udviklet et træningsprogram for awareness. Faktum er, at medarbejdere ofte springer vigtige sikkerhedstrin over, blot fordi de prioriterer effektivitet og hastighed højere end sikkerhed. Og de kan udvikle dårlige sikkerhedsvaner generelt, fordi de ikke fuldt ud forstår de potentielle konsekvenser af deres uforsigtighed. Bloggen her handler om, hvordan I kan lave awareness-træning, der skal grobund for sikre arbejdsprocesser.

Lidt træning kan hjælpe. Undersøgelser fra Cyberpilot viste, at efter løbende awareness-træning og phishing-test havde brugerne 50% færre fejl begået under et simuleret phishing-angreb.

Det er klart, at når folk er opmærksomme på risici for privatlivets fred og de farer, som cyberkriminelle udgør, er de mere forsigtige. Awareness-træning virker, og jeres virksomhed har brug for det.

Men hvad bør jeres awareness-træning bestå af? Hvilke emner skal I dække, og hvor ofte? Lad os se på nogle grundlæggende principper for awareness-træning.

Et godt awareness-træningsprogram bør hjælpe jer med at udvikle en kultur, hvor privatliv og sikkerhed er i højsædet. Det skal motivere dine medarbejdere til at beskytte virksomhedens systemer, jeres kunder, hinanden – og alles data. I praksis skal det træne jeres medarbejdere i at:

1. Være opmærksom på folks privatliv
2. Genkende sikkerhedstrusler
3. Forstå, hvad der står på spil
4. Gøre noget for at minimere risikoen

Programmet skal omfatte hele jeres organisation fra top til bund, være kontinuerlig og engagerende og gøre brug af en række forskellige emner og kvalitetsmaterialer. Her er nogle eksempler på smarte plakater fra Cyberpilot, der er beregnet til awareness-træning:

I henhold til artikel 43 i GDPR skal man give “passende databeskyttelsesuddannelse til personale, der har permanent eller regelmæssig adgang til personoplysninger”. Artiklen giver ikke specifikke oplysninger om, hvordan I skal uddanne personalet, hvor ofte I skal gøre det, eller hvilke emner I skal dække. Hver virksomhed bør vælge eller oprette et “passende” uddannelsesprogram.

Bemærk, at der kræves uddannelse for personale, der har “permanent eller regelmæssig adgang til personoplysninger”. Den brede definition af personoplysninger i GDPR gør, at dette gælder for de fleste medarbejdere. Men det er ikke alle, der har eller bør have samme adgang til personlige oplysninger. Ved at lave en dataopgørelse kan I finde ud af, hvem der har adgang til hvad, og skræddersy jeres awareness-træning.

Her er nogle af de emner, som vi foreslår, at I dækker i jeres sikkerheds- og awareness-træningsprogram:

1. Valg og forvaltning af adgangskoder
2. Genkendelse af personoplysninger
3. Phishing-varianter, og hvordan man opdager dem
4. Forståelse af retten til privatlivets fred
5. GDPR-principper og overholdelse
6. Beskyttelse af følsomme data
7. Sådan praktiserer man dataminimering
8. Fejl i forbindelse med e-mailsikkerhed
9. Brug af delt wifi og VPN’er
10. Softwareopdateringer og sikkerhed
11. Sikkert arbejdsudstyr
12. Sikkerhed på hjemme-arbejdspladser

Hvis I fokuserer på blot ét af disse emner hver måned, vil det være nok information til at holde uddannelse i beskyttelse af privatlivets fred og awareness-træning i gang i et helt år. Nogle virksomheder planlægger en awareness-træningsdag og forsøger at tage så mange af disse emner op som muligt. Det kan blive en ret opslidende dag. Hvis man forsøger at afdække mange oplysninger på én gang, kan det være svært for folk at huske det, de har lært. Og det vil være problematisk at måle forbedringer.

Hvert af de ovennævnte emner er for vigtige til, at man kan proppe dem alle sammen sammen i ét langt seminar. Vi foreslår et program, der indeholder korte, men regelmæssige sessioner baseret på hvert af disse emner. Fokus bør lægges på at hjælpe folk med at se deres betydning, de involverede indsatser og derefter hvordan de kan forbedre deres praksis.

I bør sørge for, at I har en klar GDPR-politik, som jeres medarbejdere har let ved at følge. Gør medarbejderne opmærksom på, hvem de kan henvende sig til, hvis de har spørgsmål om GDPR-regler og personlige oplysninger.

Af relevante delemner for et GDPR-awareness-kursus kunne være:

1. Hvem skal du henvende dig til med GDPR-spørgsmål?
2. Hvordan er din proces for DSAR’er?
3. Hvem skal du rapportere til i tilfælde af et databrud?
4. Hvad vi kan lære af GDPR-principperne
5. Hvordan GDPR-bøder beregnes, og hvordan du kan reducere risikoen og ansvaret

Et awareness-kursus i adgangskode-styring kan indeholde oplysninger om:

1. Almindelige og svage adgangskoder og adgangskodemønstre, der skal undgås
2. Hvordan hackere udnytter svage adgangskoder
3. Sådan opretter man stærke, unikke adgangskoder og husker dem
4. Hvornår skal man ændre adgangskoder?

Et awareness-kursus i phishing-mails kan omfatte:

1. Eksempler på og variationer af phishing
2. Sådan genkender man en phishing-e-mail
3. Simuleringer af phishing

Et awareness-kursus i persondata kan omfatte:

1. Hvordan man finder personlige data
2. Sådan opdager man følsomme data
3. Sådan får man adgang til personers personlige oplysninger
4. Hvor længe skal personoplysninger opbevares?

For mange virksomheder er det ikke muligt at bruge egen tid på at planlægge, designe og implementere et engagerende program for awareness-træning. Ikke alene ville det være for tidskrævende at oprette egne undervisningsmaterialer og ressourcer, men man ville også være nødt til at lave en masse research for at holde sig opdateret, da sikkerhedstrusler konstant ændrer sig.

Derfor vælger nogle virksomheder at sende deres medarbejdere til et seminar om awareness-træning i håb om, at de vil absorbere oplysningerne og uddanne resten af holdet. Dette er ikke særlig effektivt af flere grunde:

1. Som nævnt ovenfor har det vist sig, at regelmæssig løbende uddannelse er bedre end at forsøge at pakke alt ind på én dag.
2. Ved at involvere alle får man bedre resultater end ved at regne med, at kun nogle få personer kan give det videre, som de kan huske fra et hurtigt og intensivt seminar.

Målet bør være at skabe en kultur for sikkerhed og privatlivets fred i hele virksomheden. Det betyder, at alle bør deltage. Hyppigheden og stilen af jeres awareness-træning bør gøre sikkerhed og beskyttelse af personlige oplysninger til standard for jeres virksomhed.