Vil du beskytte bedriften din? Den viktigste ressursen er de ansatte
Sikkerhetsbrudd er en kontinuerlig trussel for bedrifter, ikke minst nå under COVID-19-pandemien. Det er stadig mer kostbart for bedrifter å oppleve innbrudd. En av grunnene til dette er at hackere opplever det som enklere å lure mennesker enn maskiner - slik at de ansatte er ofte et tydeligere mål.
For å beskytte seg investerer stadig flere sikkerhetsansvarlige i automatiserte, teknologibaserte løsninger, fremfor å skolere de ansatte i å kjenne igjen angrep. En av grunnene til dette er at selv om kursing av de ansatte kan gjøre de mer bevisst på risiko, er ikke denne bevisstheten nødvendigvis varig over tid. Spesielt hvis kursingen ikke følges opp jevnlig.
Slik kan organisasjonen beskyttes
Det er utbredt forståelse for kursing av de ansatte i bedrifter, men det kan være utfordringer knyttet til budsjett, intern støtte, og det å skape en kultur for effektiv bevisstgjøring om sikkerhetsproblematikk.
De organisasjonene som har lykkes med å skape en sterk sikkerhetskultur har fått det til ved å utdanne og gjøre de ansatte klare på at sikkerhet ikke bare gjelder bedriften, men også dem selv. På denne måten kan sikkerhet bli en del av både visjonen og verdiene til alle i selskapet.
En tradisjonell måte å kurse de ansatte på bruker konseptene av frykt og straff for å kommunisere budskapet, i stedet for støtte og empati. Dette gjør at de ansatte blir opplært, men bidrar ikke til sikkerhetskultur. For å endre oppførselen til de ansatte, og støtte opp om riktig sikkerhetskultur, er det nødvendig med sikkerhetsopplæring som gjør de ansatte bevisst på problemstillingen, og endrer organisasjonens struktur.
Mer variert opplæring
For at de ansatte skal bli mer mottakelige for å endre oppførselen sin, må kursingen være relevant og relaterbar. Bilder av hackere med hette over hodet som taster på tastaturet i mørke rom er en tradisjonell måte å belyse problemet på, som mange ikke kjenner seg igjen i. For at kursingen skal resonnere med publikum, er det nødvendig med relaterbare scenarioer og innhold som fremstår som positivt og inkluderende.
Brukere kan bli mer engasjerte med gamification, mikrolæring, VR og simuleringer, noe som bidrar til å forsterke det de har lært, og resonnerer bedre med de ansatte flest.
Tilpass opplæringen for globale utfordringer
Cybertrusler er en global utfordring. Nå som flere bedrifter satser på fjernarbeid, er det nødvendig at sikkerhetsopplæring gjelder hele verden. Det beste sikkerhetskursene har innhold som snakker til alle brukere, og inneholder forskjellige stiler for forskjellige regioner. De bør inkludere varierte kulturelle referanser og oversettes både skriftlig og muntlig for det lokale publikum.
Motivasjon, bevaring av kunnskapene, og støtte er vesentlige komponenter i alle treningsprogrammer for sikkerhetsbevissthet. Mange ansatte ønsker ikke å bli tvunget til å ta kurs. For å vekke interessen blant voksne ansatte, må de motiveres internt og eksternt, og må føle seg fristet til å engasjere seg i stoffet. Det er essensielt å vekke oppmerksomheten til vedkommende, slik at de forblir fokuserte resten av kurset.
Den første nøkkelen til dette er at kurset har et høyt nivå når det gjelder kvalitet. En presentasjon rik på multimedia-innhold, som ligner på en YouTube-video eller et TV-program, er bedre enn en grunnleggende Powerpoint. Vipres opplæring bruker videoer, spillbaserte simuleringer, VR, og innhold med scenarioer fra virkeligheten. Dette engasjerer brukene og motiverer dem til å følge med.
Den andre nøkkelen til å lære opp voksne brukere er å sikre at de ser verdien i materialet. De trenger å vite hva de får ut av opplæringen som også er relevant på personlig plan. Når det gjelder cybersikkerhet, må de vite hvordan opplæringen vil bidra til å beskytte dem selv, jobbene deres og deres familier.
Voksne brukere må kunne relatere til opplæringen, kjenne igjen ting de vet om, eller har opplevd. De er nødt til å se innhold som relaterer til deres daglige liv. Er det ikke relevant for dem, kan det føles som bortkastet tid.
En annen motiverende faktor er belønning. Det å anerkjenne at kursdeltakerne har fullført kurset raskt, har fått gode sikkerhetsvaner eller ikke blir lurt av phishing-forsøk, kan utgjøre en stor forskjell.
Hvordan endre organisatorisk kultur?
Motivasjon, bevaring av kunnskaper og støtte er essensielle komponenter av alle vellykkede sikkerhetskurs. Når kursprogrammet er på plass og er optimalisert for å motivere deltakerne, er det viktig å fokusere på at deltakerne ivaretar det de har lært.
Studier viser at kunnskaper forsvinner over tid, og faktisk er det mulig å glemme opptil 50 prosent av det man har lært på et kurs i løpet av tre uker, og opp til 90 prosent i løpet av to måneder. For at treningen skal bli vellykket, må organisasjonen gjennomføre mer enn ett kurs i året. Studier viser at jevnlig repetering av innholdet vil hindre at det glemmes, og gjøre det lettere å huske hva man har lært.
Det er her såkalt mikrolæring kommer inn i bildet. Vipre tilbyr mikrolæringsbaserte kurs som varer mindre enn fem minutter. Disse korte snuttene med innhold er lette å fokusere på, og kan rulles ut enkelt og jevnlig over tid. For beste resultater foreslår vi å sende ut mikrolæring-innhold til de ansatte annenhver uke eller annenhver måned.
Dette innholdet må ikke nødvendigvis være videoer, det kan like gjerne være simuleringer. Man kan simulere phishing-angrep, tekstmeldinger, talebaserte simuleringer, eller «USB-baiting». Det sistnevnte kan lære opp brukere i farene ved å plugge inn uautoriserte minnepenner. Vipre tilbyr også full oppfølging av slike simuleringer.
For å bygge en sikkerhetskultur i organisasjonen er det viktig å repetere det som er blitt lært utenfor den tradisjonelle plattformen. Det kan gjøres via korte videoer som vises i fellesarealene, plakater på pauserommet eller skjermsparere som minner om beste praksis. Alt dette kan minne de ansatte om god cyberhygiene.