Risiciene ved at være online bliver stadig alvorligere for virksomheder. Inden for de seneste to år har 77 % af virksomheder lidt under mindst én cyberhændelse. Det er derfor forståeligt, at organisationer ønsker at indføre forholdsregler for at afbøde disse risici. Her kan uddannelse af medarbejdere i cybersikkerhedsbevidsthed være nyttig. For eksempel ifølge Kasperskys forskning i de trusler, som virksomheder af forskellig størrelse, har oplevet, udgør utilstrækkelige IT-ressourcer og medarbejdernes brud på IT-sikkerhed to af de største trusler, som virksomhederne har oplevet, og den gennemsnitlige omkostning ved én hændelse er USD 337.561. Desuden var 38 % af cyberhændelserne i virksomheder forårsaget af ægte menneskelige fejl, og 26 % skyldtes brud på informationssikkerhedspolitikken.
Uddannelse i sikkerhedsbevidsthed er et vigtigt værktøj for virksomheder eller organisationer, som ønsker at beskytte deres data effektivt, reducere antallet af menneskerelaterede hændelser, reducere responsomkostningen og sikre, at deres medarbejdere forstår, hvordan de på ansvarlig vis kan håndtere kundedata og navigere sikkert, når de er online. Ifølge Kaspersky’s 2022-rapport er chancen for, at angriberen trænger igennem virksomhedens infrastruktur mindre, hvis medarbejderne er bevidste om og forstår, hvad de skal gøre i tilfælde af en sikkerhedshændelse. Disse programmer, der er udviklet og leveret af IT- og sikkerhedseksperter, har et fælles mål om at forsøge at hjælpe med at bekæmpe menneskelige fejl, der fører til databrud og stjålne oplysninger, og som i forlængelse heraf kan føre til finansielle tab og imagetab for en virksomhed. Men hvad består et vellykket uddannelsesprogram af? Og hvordan kan en virksomhed sikre, at medarbejderne umiddelbart husker på cybersikkerhed? Se svarene herpå og mere nedenfor.
Uddannelse i sikkerhedsbevidsthed er et uddannelsesprogram, som kan have flere forskellige former. Men alle programmer har et ultimativt mål: at udstyre en virksomheds medarbejdere med den viden og de færdigheder, de behøver for at beskytte organisationens data og følsomme oplysninger mod hacking, phishing eller andre brud, som til gengæld vil beskytte virksomhedens IT-infrastruktur. Uddannelse i cyberbevidsthed har mange forskellige aspekter, og et godt program dækker mange af disse aspekter for at give medarbejderne helhedsorienterede kompetencer, så de kan administrere data og onlineaktivitet sikkert.
Nogle virksomheder er ved lov forpligtet til at opfylde visse brancheregler, f.eks.
Databeskyttelsesforordningen (GDPR) eller endda Health Insurance Portability og Accountability Act (HIPAA), og som led i disse eksempler må de uddanne medarbejderne i cybersikkerhed. Dette finder normalt sted en eller to gange om året for at holde medarbejderne opdaterede om de seneste cybersikkerhedsproblemer, som konstant udvikler sig.
Da mange brud på cybersikkerhed kan være resultatet af menneskelige fejl og social engineering, skal virksomhederne sikre, at deres medarbejdere er bevidste om, hvor sårbare de er over for angreb og sikkerhedsbrud, så de kan imødegå disse trusler mest muligt. Det er derfor, at uddannelse af medarbejdere i sikkerhedsbevidsthed er altafgørende. Uddannelse i effektiv cyberbevidsthed lærer medarbejderne om, hvilke cybersikkerhedstrusler der er mod virksomheden, hjælper dem med at forstå potentielle sårbarheder og lærer dem hensigtsmæssige vaner, så de kan genkende faresignaler og undgå sikkerhedsbrud og angreb, samt hvad de skal gøre, hvis de laver fejl, eller de er i tvivl. Desuden vil mange virksomheder have behov for at gennemføre cybersikkerhedsuddannelse for at sikre, at de overholder complianceregler.
Vellykkede programmer om sikkerhedsbevidsthed gør medarbejderne i stand til at forstå deres ansvar for cybersikkerheden i virksomheden og at være på vagt, når de arbejder med virksomhedsdata – når de er online og når de bruger virksomhedens enheder både på og udenfor kontoret. Dette kan i betydelig grad gøre en virksomhed mindre sårbar over for cyberangreb og databrud.
Ifølge Kaspersky’s 2023 Human Factor Survey, der analyserede den menneskelige fejlfaktor ved sikkerhedshændelser på arbejdspladsen, var den mest almindelige medarbejderfaktor download af malware, og den næstmest almindelige: brug af svage adgangskoder eller at undlade at ændre dem jævnligt. Dette understreger behovet for, at et godt program for sikkerhedsbevidsthed skal være omfattende og dække en lang række elementer, som samlet giver medarbejderne et helhedsorienteret synspunkt på cybersikkerhed, og hvad det betyder for virksomheden. Det kan for eksempel omfatte at lære gode vaner om adgangskoder, kunne genkende social engineering-scams, udvise sikre e-mailvaner og overholde lovgivningsmæssige krav.
Da der er mange sikkerhedsemner, der skal dækkes, vil hver virksomheds program være en smule anderledes baseret på deres behov. Mange elementer af cybersikkerhedstrusler og beskyttelse vil imidlertid være relevant for alle organisationer som beskrevet nedenfor:
Et godt uddannelsesprogram for cybersikkerhedsbevidsthed skal ikke blot dække alle ovennævnte emner, men skal også omfatte forskellige formater, således at uddannelsen bliver motiverende, og der bruges teknikker, der hjælper med at huske materialet. Desuden skal et godt uddannelsesprogram omfatte adskillige tilfælde fra den virkelige verden, så medarbejderne kan se koblingen med virkeligheden. Et godt uddannelsesprogram skal ikke blot besvare spørgsmål om, hvad der er tilladt, og hvad der ikke er tilladt, men skal også omfatte "hvad nu hvis-scenarier", og hvad man skal gøre, hvis en cybersikkerhedsløsning ikke registrerer en trussel, eller der sker et angreb. At øge færdighederne gennem simulerings- eller spilmatiseringselementer er også utroligt vigtigt.
Det er vigtigt at have en dyb forståelse af sikkerhedsbevidsthed, men det er lige så vigtigt at implementere de rigtige strategier. Hvilke strategier bør virksomheder søge at fremme gennem uddannelse af medarbejderne i cybersikkerhed? Der er adskillige foranstaltninger, som virksomheder kan træffe for at øge sandsynligheden for, at deres programmer lykkes. Her er nogle få eksempler på bedste praksis, man bør huske på:
I Kaspersky’s 2023 Human Factor 360-rapport blev respondenter i spørgeundersøgelsen spurgt om, hvor det var mest sandsynligt, at deres virksomhed ville investere i cybersikkerhed i de næste 12-18 måneder, og den understregede, at 39 % af respondenterne var interesserede i at investere i uddannelser for cybersikkerhedsprofessionelle, og 38 % ville sandsynligvis investere i generel uddannelse af medarbejdere, blandt andre områder. Det er derfor altafgørende at forstå, at det er nødvendigt at øge og investere i medarbejdernes cyberviden og -forståelse for at sikre omfattende beskyttelse af en virksomhed. Udover dette er det meget vigtigt at vælge det rette uddannelsesprogram, som dækker alle de nødvendige emner og har en moderne tilgang til undervisning for at have en reel indflydelse på ændret cyberadfærd. Ved at involvere alle niveauer i organisationen,, selv det øverste chefniveau, sammen med støtte fra virksomhedens ledelse opnår man en vellykket implementering og vedligeholdelse af et cybersikkerhedsmiljø.
Relaterede artikler og links:
Hvad er slutpunktssikkerhed, og hvordan fungerer det?
Sådan undgår du angreb med social engineering
Relaterede produkter og tjenester:
Kasperskys uddannelse i sikkerhedsbevidsthed