Ønsker du at øge IT sikkerheden? Læg vægt på uddannelse

Sikkerhedsrisiciene stiger og medarbejdere begår ofte fejl som de slet ikke ved er forkerte. Løsningen? Øg sikkerheden med træning.

Vi ved alle, at sikkerhedsrisiciene stiger. Vi ved også, at medarbejdere ofte er det svageste led i sikkerhedskæden, da de begår fejl eller gør ting, som de slet ikke ved, er forkerte.

Et eksempel: En undersøgelse fra 2017 foretaget af Wombat Security Technologies viste, at næsten en tredjedel af medarbejdere ikke engang ved, hvad phishing er. Næsten to tredjedele forstår ikke termen “ransomware”.

Det er en skræmmende statistik, især når man tænker på, at det at falde for angreb i form af phishing og ransomware er en af de primære kilder til sikkerhedsfejl begået af medarbejdere.

Løsningen? Sikkerhedsuddannelse. Ikke blot en hvilken som helst sikkerhedsuddannelse, men en uddannelse, der er understøttet, planlagt og implementeret i hele organisationen – uddannelse, der har en indvirkning på brugeradfærden, og som får konsekvenser, hvis den ikke gennemføres.

Uddannelse, man husker

En af de primære udfordringer ved sikkerhedssuddannelse er, at den alt for ofte ikke hænger ved.

De fleste virksomheder gennemfører en eller anden for form sikkerhedsuddannelse for medarbejderne, som regel i forbindelse med ansættelse.

Der er udfordringer ved denne metode. Først og fremmest har en ny medarbejder meget at lære. Hvis du tilføjer uddannelse fra første dag, eller inden for den første uge, vil den sandsynligvis drukne i virvaret af mange andre ting, som den nye medarbejder forsøger at lære og forstå.

Mange virksomheder har derudover eller på alternativ vis oprettet en standardiseret, modulbaseret sikkerhedsuddannelse, som medarbejderne skal gennemføre en til to gange om året. Der er også udfordringer ved denne metode.

For det første tager mange medarbejdere simpelthen ikke den påkrævede uddannelse, især hvis det ikke har nogen formelle konsekvenser.

For det andet kan det være forfærdelig kedeligt for dem, der tager den påkrævede uddannelse, og ofte har det ikke nogen intellektuel effekt.

Så hvad er løsningen? Følg denne femtrinsmetode med bedste praksis, som sammenfatter gode råd fra HR TechnologisteSecurity Planet og SANS Security Awareness Director Lance Spitzner:

1. Sæt i gang fra toppen (C-team); tag ejerskab hen over midten (it og HR i fællesskab)

2. Opret og implementér politikker

3. Giv ejerskab i forbindelse med håndhævelsen af overholdelsen af politikkerne (det er her, hvor tingene normalt falder fra hinanden)

4. Undersøg uddannelsens effektivitet, og modificér den derefter

5. Gentag dette årligt

Lad os se nærmere på hvert trin enkeltvist.

Sæt i gang fra toppen; tag ejerskab hen over midten

God cyberhygiejne er et koncept, der går fra toppen og nedad. Finansiering, støtte og villighed til at håndhæve sikkerhedspolitikker og krav til uddannelse kommer alt sammen fra C-gruppen. God cyberhygiejne bør være en del af kulturen.

Ejerskab og implementering bør dog være en samlet indsats mellem it-teamet og HR-teamet. It-teamet bør være involveret i at vælge og implementere uddannelsen for at sikre, at den er nøjagtig og passende for virksomheden; HR-teamet bør følge uddannelsen for at sikre, at medarbejderne rent faktisk gennemfører den, og for at igangsætte disciplinære tiltag, hvis reglerne ikke følges.

Opret og implementér politikker

Hvis man blot har en løst oprettet liste over de ting, som medarbejderne bør gøre, er det simpelthen ikke tilstrækkeligt.

Medarbejderne skal forstå, at virksomheden er seriøs omkring sikkerhed og medarbejderadfærd. It og HR bør sammen oprette politikker og arbejde sammen om, hvordan man bedst implementerer disse politikker.

Giv ejerskab i forbindelse med håndhævelsen af overholdelsen af politikkerne

Ah, ejerskab. Dette kan være virksomhedens største udfordring. Ideelt set bør it implementere, og HR bør håndhæve. Og grunden til dette? Hvis en medarbejder ikke tager den påkrævede uddannelse, er det en personalemæssig problemstilling – ikke et it-problem.

En medarbejder, som ikke tager den påkrævede uddannelse, bør betragtes som en medarbejder, der overtræder virksomhedspolitikken. Det er en alvorlig problemstilling og bør behandles som sådan.

Undersøg uddannelsens effektivitet, og modificér den derefter

Alt for mange virksomheder betragter sikkerhedsuddannelse som noget, der bare kan afkrydses på en liste. Den indstilling skal ændres. Hvis du ønsker at gøre sikkerhedsuddannelsen effektiv, skal du gøre det personligt for medarbejderen. Udfør for eksempel phishing-tests for at se, hvem der klikker på ukendte links i e-mails fra ukendte afsendere.

Hvis folk klikker (hvilket de gør), så gør følgerne personlige for disse medarbejdere for at sikre, at de virkelig forstår konsekvenserne af deres handlinger.

Sagens kerne: Sørg for, at uddannelsen fungerer. Hvis den ikke fungerer, så skal metodologien eller spørgsmålene ændres, så det sikres, at medarbejderne ikke blot forstår det, men at de også er i stand til at anvende uddannelsen i praksis.

Gentag dette årligt

Sikkerhedstrusler bliver hele tiden mere og mere komplicerede. Uddannelse bør opdateres og være påkrævet mindst en gang om året, og helst to.

Når det drejer sig om sikkerhedsuddannelse, er de fleste virksomheder på rette vej. Når det er sagt, skal man huske, at der er en stigning i insidertrusler, og derfor bør sikkerhedsuddannelse prioriteres meget højere for at reducere denne trussel.

Gør det til en del af kulturen; gør det virkningsfuldt; gør det obligatorisk.

Læs mere: Er ledelsen den største trussel mod it-sikkerheden?

Læs mere: Er dit it-team en kamæleon?

Sig din mening

*