Ønsker du å minimere sikkerhetsrisiko? Prioriter opplæring

Sikkerhetsrisikoene øker og mange ansatte opplever å gjøre feil grunnet for lite opplæring på temaet. Løsningen er økt opplæring på sikkerhetsrisiko.

Det er en kjent sak at sikkerhetsrisikoene øker. Et annet kjent faktum er at det ofte er de ansatte i en bedrift som utgjør den største sikkerhetsbristen ved å gjøre feil de ikke vet at de ikke bør gjøre.

Eksempelvis: Et studie fra 2017 gjennomført av Wombat Security Technologies viste at nærmere en tredjedel av de ansatte ikke visste hva begrepet “phishing” betød. Nærmere to tredjedeler forsto heller ikke begrepet “ransomware”. Dette er skremmende statistikk med tanke på at phishing og ransomeware utgjør de vanligste årsakene til sikkerhetsbrister blant ansatte.

Løsningen? Sikkerhetstrening. Ikke en hvilken som helst sikkerhetstrening, men nøye organisert trening satt i gang av organisasjonen selv. Trening som orienterer seg rundt brukervett og som har medfølgende konsekvenser dersom ansatte ikke deltar.

Opplæring som setter spor

En av hovedutfordringene ved sikkerhetstrening er at det alt for sjeldent setter spor.

De fleste bedrifter tilbyr en form for sikkerhetstrening for sine ansatte, vanligvis ved ansettelse. Det er noen utfordringer ved en slik tilnærming.
Vanligvis har en ny ansatt svært mye nytt å lære på kort tid. Dersom du gjennomfører sikkerhetstreningen første uken til den nye ansatte, er sjansen stor at den tillærte kunnskapen vil svinne hen i mylderet av all informasjon vedkommende forsøker å ta inn.

Mange bedrifter tilbyr tilleggsvis eller alternativt en standardisert, modul-basert sikkerhetstrening som ansatte må ta en eller to ganger om året. Denne tilnærmingen har også sine svakheter. For det første lar mange ansatte være å gjennomføre disse kursene ettersom det ikke er noe konsekvenser dersom de ikke gjør dem. For det andre, for de som faktisk gjennomfører treningen er den ofte langtekkelig og gjør sjeldent noe særlig inntrykk.

Så, hva er løsningen? Følg denne femtrinns listen over de beste fremgangsmåtene som inkluderer råd fra HR Technologist, eSecurity Planset pg SANS Security Awareness Director Lance Spitzner:

1. Start fra toppen med ledelsen, jobb videre ned mot midten med IT og HR sammen.
2. Opprett og implementer retningslinjer
3. Sørg for håndhevelse og overholdelse av retningslinjene (dette er vanligvis hvor det går rett vest for mange)
4. Undersøk effekten av treningen og tilpass underveis.
5. Repeter årlig

La oss gå nærere inn på hvert steg.

Start fra toppen med ledelsen, jobb videre ned mot midten

God cyber-hygiene er et ovenfra-ned prosjekt. Finansiering, støtte, villighet til å innføre sikkerhetsretningslinjene samt opplæringskravene kommer alle fra toppledelsen. God cyber-hygiene bør være en del av organisasjonskulturen.

Eierskap og implementering derimot bør være en samlet innsats mellom IT-teamet og HR-teamet. IT-teamet bør være involvert i utvelgelsen samt implementering av opplæringen for å forsikre at den er relevant for bedriften; HR-teamet bør følge opp opplæringen for å forsikre seg om at de ansatte faktisk gjennomfører den og for å innføre disiplinære prosedyrer dersom reglene ikke blir fulgt.

Opprett og implementer retningslinjer

De ansatte må forstå at bedriften mener alvor med sikkerhet. Å dele ut en liste på trinn de ansatte bør følge er ikke nok. IT og HR bør sammen opprette retningslinjer og finne ut hvordan de best kan innføre disse.

Sørg for håndhevelse og overholdelse av retningslinjene

Dette er et kritisk punkt i planen. Ideelt bør IT ha den implementerende rolle og HR sørge for at retningslinjene som er implementert overholdes. Hva er årsaken til dette? Dersom en ansatt ikke tar opplæringen som kreves er dette et personlig angående, ikke relatert til IT. En ansatt som ikke tar den krevde opplæringen bør behandles som en som bryter med organisasjonens prosedyrer. Det er en alvorlig handling som bør få alvorlige konsekvenser.

Undersøk effekten av treningen og tilpass underveis

Alt for mange bedrifter tar ikke sikkerhetstrening seriøst. Denne tankemåten må endres. Dersom du vil sørge for god effekt av sikkerhetstreningen bør du appelere til den ansatte på et personlig plan. Gjennomfør phising tester for eksempel, på den måten kan du se hvem som trykker inn på emailer fra ukjente sendere. Dersom folk trykker på den (hvilket de vil) må du gjøre effekten personlig for den ansatte for å søre for at de virkelig forstår konsekvensene av sine handlinger. Kort sagt må du sørge for at treningen virker. Dersom den ikke gjør det må du endre fremgangsmåten og spørsmålene slik at de ansatte forstår det, og evner å ta det i bruk.

Repeter årlig

Sikkerhetsrisikoer blir bare mer sofistikert ettersom tiden går. Opplæring på temaet bør være obligatorisk og oppdatert på en årlig basis, om ikke to ganger om året.

Når det kommer til sikkerhetstrening er de fleste bedrifter på riktig vei. Likevel utgjør trussler fra egne rekker en stadig større risiko, og sikkerhetstrening bør derfor prioriteres for å kunne få bukt med denne nye trusselen. Gjør det til en del av organisasjonskulturen din; sørg for at det gjør inntrykk; og gjør det obligatorisk.

Les mer: Samarbeid er gull: Medarbeidere + intelligente maskiner

Les mer: Modern workplace: Har du den rette kompetansen?

Si din mening

*