Behovet for awareness-træning
9 ud af 10 sikkerhedsbrud skyldes menneskelige fejl. Alligevel har de fleste virksomheder ikke udviklet et træningsprogram for awareness. Faktum er, at medarbejdere ofte springer vigtige sikkerhedstrin over, blot fordi de prioriterer effektivitet og hastighed højere end sikkerhed. Og de kan udvikle dårlige sikkerhedsvaner generelt, fordi de ikke fuldt ud forstår de potentielle konsekvenser af deres uforsigtighed. Bloggen her handler om, hvordan I kan lave awareness-træning, der skal grobund for sikre arbejdsprocesser.
Lav awareness-træning der virker
Lidt træning kan hjælpe. Undersøgelser fra Cyberpilot viste, at efter løbende awareness-træning og phishing-test havde brugerne 50% færre fejl begået under et simuleret phishing-angreb.
Det er klart, at når folk er opmærksomme på risici for privatlivets fred og de farer, som cyberkriminelle udgør, er de mere forsigtige. Awareness-træning virker, og jeres virksomhed har brug for det.
Men hvad bør jeres awareness-træning bestå af? Hvilke emner skal I dække, og hvor ofte? Lad os se på nogle grundlæggende principper for awareness-træning.
Hvad er et godt awareness-program?
Et godt awareness-træningsprogram bør hjælpe jer med at udvikle en kultur, hvor privatliv og sikkerhed er i højsædet. Det skal motivere dine medarbejdere til at beskytte virksomhedens systemer, jeres kunder, hinanden – og alles data. I praksis skal det træne jeres medarbejdere i at:
- Være opmærksom på folks privatliv
- Genkende sikkerhedstrusler
- Forstå, hvad der står på spil
- Gøre noget for at minimere risikoen
Programmet skal omfatte hele jeres organisation fra top til bund, være kontinuerlig og engagerende og gøre brug af en række forskellige emner og kvalitetsmaterialer. Her er nogle eksempler på smarte plakater fra Cyberpilot, der er beregnet til awareness-træning:
Nødvendig uddannelse i databeskyttelse
I henhold til artikel 43 i GDPR skal man give “passende databeskyttelsesuddannelse til personale, der har permanent eller regelmæssig adgang til personoplysninger”. Artiklen giver ikke specifikke oplysninger om, hvordan I skal uddanne personalet, hvor ofte I skal gøre det, eller hvilke emner I skal dække. Hver virksomhed bør vælge eller oprette et “passende” uddannelsesprogram.
Bemærk, at der kræves uddannelse for personale, der har “permanent eller regelmæssig adgang til personoplysninger”. Den brede definition af personoplysninger i GDPR gør, at dette gælder for de fleste medarbejdere. Men det er ikke alle, der har eller bør have samme adgang til personlige oplysninger. Ved at lave en dataopgørelse kan I finde ud af, hvem der har adgang til hvad, og skræddersy jeres awareness-træning.
Emner til awareness-træning
Her er nogle af de emner, som vi foreslår, at I dækker i jeres sikkerheds- og awareness-træningsprogram:
- Valg og forvaltning af adgangskoder
- Genkendelse af personoplysninger
- Phishing-varianter, og hvordan man opdager dem
- Forståelse af retten til privatlivets fred
- GDPR-principper og overholdelse
- Beskyttelse af følsomme data
- Sådan praktiserer man dataminimering
- Fejl i forbindelse med e-mailsikkerhed
- Brug af delt wifi og VPN’er
- Softwareopdateringer og sikkerhed
- Sikkert arbejdsudstyr
- Sikkerhed på hjemme-arbejdspladser
Hvis I fokuserer på blot ét af disse emner hver måned, vil det være nok information til at holde uddannelse i beskyttelse af privatlivets fred og awareness-træning i gang i et helt år. Nogle virksomheder planlægger en awareness-træningsdag og forsøger at tage så mange af disse emner op som muligt. Det kan blive en ret opslidende dag. Hvis man forsøger at afdække mange oplysninger på én gang, kan det være svært for folk at huske det, de har lært. Og det vil være problematisk at måle forbedringer.
Sådan opsætter I et program for awareness-træning
Hvert af de ovennævnte emner er for vigtige til, at man kan proppe dem alle sammen sammen i ét langt seminar. Vi foreslår et program, der indeholder korte, men regelmæssige sessioner baseret på hvert af disse emner. Fokus bør lægges på at hjælpe folk med at se deres betydning, de involverede indsatser og derefter hvordan de kan forbedre deres praksis.
Modtag vores nyhedsbrev!
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Awareness-træning i compliance
I bør sørge for, at I har en klar GDPR-politik, som jeres medarbejdere har let ved at følge. Gør medarbejderne opmærksom på, hvem de kan henvende sig til, hvis de har spørgsmål om GDPR-regler og personlige oplysninger.
Af relevante delemner for et GDPR-awareness-kursus kunne være:
- Hvem skal du henvende dig til med GDPR-spørgsmål?
- Hvordan er din proces for DSAR’er?
- Hvem skal du rapportere til i tilfælde af et databrud?
- Hvad vi kan lære af GDPR-principperne
- Hvordan GDPR-bøder beregnes, og hvordan du kan reducere risikoen og ansvaret
Awareness-træning i adgangskodeadministration
Et awareness-kursus i adgangskode-styring kan indeholde oplysninger om:
- Almindelige og svage adgangskoder og adgangskodemønstre, der skal undgås
- Hvordan hackere udnytter svage adgangskoder
- Sådan opretter man stærke, unikke adgangskoder og husker dem
- Hvornår skal man ændre adgangskoder?
Awareness-træning om phishing
Et awareness-kursus i phishing-mails kan omfatte:
- Eksempler på og variationer af phishing
- Sådan genkender man en phishing-e-mail
- Simuleringer af phishing
Awareness-træning om personoplysninger
Et awareness-kursus i persondata kan omfatte:
- Hvordan man finder personlige data
- Sådan opdager man følsomme data
- Sådan får man adgang til personers personlige oplysninger
- Hvor længe skal personoplysninger opbevares?
Outsourcing af awareness-træning
For mange virksomheder er det ikke muligt at bruge egen tid på at planlægge, designe og implementere et engagerende program for awareness-træning. Ikke alene ville det være for tidskrævende at oprette egne undervisningsmaterialer og ressourcer, men man ville også være nødt til at lave en masse research for at holde sig opdateret, da sikkerhedstrusler konstant ændrer sig.
Derfor vælger nogle virksomheder at sende deres medarbejdere til et seminar om awareness-træning i håb om, at de vil absorbere oplysningerne og uddanne resten af holdet. Dette er ikke særlig effektivt af flere grunde:
- Som nævnt ovenfor har det vist sig, at regelmæssig løbende uddannelse er bedre end at forsøge at pakke alt ind på én dag.
- Ved at involvere alle får man bedre resultater end ved at regne med, at kun nogle få personer kan give det videre, som de kan huske fra et hurtigt og intensivt seminar.
Målet bør være at skabe en kultur for sikkerhed og privatlivets fred i hele virksomheden. Det betyder, at alle bør deltage. Hyppigheden og stilen af jeres awareness-træning bør gøre sikkerhed og beskyttelse af personlige oplysninger til standard for jeres virksomhed.
Start GDPR-oprydningen hvor det trænger mest
Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.
Fordelene ved awareness-træning
At tilmelde jeres medarbejdere et online kursus i awareness-træning kan være den mest omkostningseffektive at styrke jeres compliance på. Cyberpilot har skabt en komplet serie af e-learning-kurser og phishing-simulationer, der gør det nemt at træne GDPR-awareness. Kurserne er fyldt med videoer og infografikker, der hjælper folk med at forstå og huske materialet. Brugerne kan se deres fremskridt, mens de bevæger sig gennem hvert kursus, som hver afsluttes med en test. Når man skal tilrettelægge et awareness-kursus anbefaler Cyberpilot 3 ting:
- Gør det personligt
- Gør det kort og klart
- Gør det nemt at huske
Hvis indholdet af jeres awareness-kursus opfylder disse tre krav, vil det med stor sandsynlighed blive hængende i jeres medarbejderes bevidsthed, og forme den måde, de håndterer sikkerhed og GDPR-udfordringer på. Det lyder måske enkelt, men det er stadig en større udfordring at lave en interessant og effektiv awarenesstræning.
Har I brug for hjælp? Prøv Cyberpilot →
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR