Vill du öka IT-säkerheten? Fokusera på utbildning

Säkerhetsriskerna ökar och medarbetarna gör ofta misstag eller så gör de saker som de helt enkelt inte vet att de inte får göra. Lösningen? Säkerhetsutbildning.

Vi är alla medvetna om att säkerhetsriskerna ökar. Vi vet också att medarbetarna ofta är den svagaste länken inom säkerhetssystemet och gör misstag eller så gör de saker som de helt enkelt inte vet att de inte får göra.

Ett exempel: I en undersökning som gjordes 2017 av Wombat Security Technologies visade det sig att nära en tredjedel av medarbetarna inte vet vad nätfiske är. Nära två tredjedelar förstår inte termen ”utpressningstrojan”.

Detta är skrämmande siffror, särskilt med tanke på att angrepp med nätfiske och utpressningstrojaner ofta är anledningen till medarbetares säkerhetsmissar.

Lösningen? Säkerhetsutbildning. Inte vilken säkerhetsutbildning som helst, utan utbildning som stöds, planeras och genomförs i hela organisationen, utbildning som påverkar användarnas beteende och som leder till konsekvenser om inget händer.

Kunskap som fastnar

En av de största utmaningarna med säkerhetsutbildning är att den ofta inte fastnar ordentligt.

De flesta företag erbjuder någon form av säkerhetsutbildning för medarbetare, vanligtvis i början av anställningen. Det finns utmaningar med den här metoden. Först och främst har en ny medarbetare massor att lära sig. Om du börjar med utbildning första dagen, eller första veckan, kommer den sannolikt att försvinna i allt annat som den nya medarbetaren försöker lära sig och förstå.

Många företag har valt metoden med standardiserad och modulbaserad säkerhetsutbildning som medarbetarna måste genomföra en eller två gånger per år. Det finns utmaningar även med den här metoden. För det första är det många medarbetare som inte genomför utbildningen, om det inte ger några formella konsekvenser. För det andra kan utbildningen upplevas som väldigt tråkig och inte ge några effekter just av den anledningen.

Vad är då lösningen? Följ dessa fem steg med metoder för bästa praxis, en sammanställning av råd från HR TechnologisteSecurity Planet och SANS Security Awareness Director Lance Spitzner:

1. Börja från toppen (ledningen), utgå från mellannivån (it- och HR-avdelningen)

2. Skapa och inrätta olika policyer

3. Se till att dessa policyer följs (det är här som arbetet ofta fallerar)

4. Undersök utbildningens effektivitet och ändra efter behov

5. Upprepa varje år

Nu tittar vi på ett steg i taget.

Börja från toppen, utgå från mellanavdelningen

En god näthygien börjar i toppen och sprids nedåt. Finansiering, stöd och viljan att förbättra säkerhetspolicy och utbildningskrav kommer samtliga från ledningen. En god näthygien bör vara en del av företagskulturen.

Ansvar och genomförande bör dock vara ett samarbete mellan it- och HR-avdelningarna. It-avdelningen bör vara med och välja ut och genomföra utbildningen för att den ska vara korrekt och lämplig för företaget.

HR-avdelningen bör följa upp utbildningen för att se att medarbetarna faktiskt genomför den och för att inrätta disciplinära åtgärder om de inte följer reglerna.

Skapa och inrätta olika policyer

Det räcker inte att ha ett utkast med saker som medarbetarna bör göra. Medarbetarna måste förstå att företaget tar säkerhet och medarbetarnas beteende på allvar.

It- och HR-avdelningarna bör inrätta dessa policyer tillsammans och samarbeta för att genomföra dem på bästa sätt.

Se till att dessa policyer följs

Ansvar. Detta kan vara företagets största utmaning. I den bästa av världar är det it som genomför och HR som kontrollerar efterlevnaden. Skälet? Om en medarbetare inte genomgår utbildningen är det en personalfråga, inte en it-fråga.

En medarbetare som inte genomgår den utbildning som krävs bör behandlas som om den agerat i strid med företagspolicyn. Det är allvarliga saker och ska hanteras därefter.

Undersök utbildningens effektivitet och ändra efter behov

Det är allt för många företag som ser säkerhetsutbildning som ännu en sak som ska bockas av. Den inställningen måste förändras. Om du vill att säkerhetsutbildningen ska vara effektiv bör den anpassas efter medarbetaren.

Genomför tester med nätfiske till exempel, för att se vem som klickar på okända länkar i e-postmeddelanden från okända avsändare. Om personer klickar på dessa (vilket de kommer att göra) ska detta medföra åtgärder för berörda medarbetare för att se till att de förstår effekterna av sina handlingar.

Sammanfattningsvis: Se till att utbildningen fungerar. Om den inte gör det måste du förändra metoderna eller frågorna för att se till att medarbetarna inte bara förstår vad som gäller utan även kan använda lärdomarna i praktiken.

Upprepa varje år

Säkerhetshoten blir allt mer förfinade. Utbildningen bör uppdateras och genomföras minst en gång per år, om inte två gånger.

När det gäller säkerhetsutbildning är de flesta företag på rätt spår. Dock ökar hoten från insidan och detta innebär att säkerhetsutbildning bör prioriteras mer för att kunna avvärja sådana hot. Gör utbildningen till en del av kulturen, gör den betydelsefull och gör den obligatorisk.

Läs också: Är ledningen det största hotet mot IT-säkerheten?

Läs också: Att ha den rätta digitala mindset

Säg din mening

*