5 råd til at lykkedes med awareness-træning

5 råd til at lykkedes med awareness-træning

5 Råd
Ismail

Ismail Özkan

30. September 2020 • LÆSETID 6 MIN.

Størstedelen af sikkerhedsbrud sker ikke grundet tekniske problemer, men pga. menneskelige fejl. Derfor er awareness-træning en vigtig del af en organisations overordnede IT-sikkerhedsstrategi.  Cyberkriminelle kender til manglen på awareness hos medarbejdere i organisationer, og de går derfor specifikt efter medarbejdere for at komme ind i organisationens IT-systemer eller tilgå følsomme oplysninger.  

På den anden side kan dine medarbejdere også være dit bedste forsvar mod angreb. Det er her, awareness-træning kommer ind i billedet. Et af de bedste værktøjer til at styrke din organisations IT-sikkerhed er sikring af et højt niveau af awareness blandt dine medarbejdere. 

Hvordan lykkedes man med awareness-træning?

Der findes mange former for awareness-træning. Nogle organisationer vælger at holde timelange seminarer for alle medarbejdere en gang om året, nogle forbereder en lang række dokumenter med regler, der skal følges, og andre sender en lille gruppe udvalgte medarbejdere på kursus og forventer, at de kan undervise resten af deres kollegaerUndervisningen kan dog hurtigt blive kedelig, tung eller for uregelmæssig, hvilket kan resultere i, at medarbejdere glemmer, hvad de har lært eller mister motivationen for lære mereDet kan skabe tvivl om, hvorvidt træningen overhovedet er indsatsen værd 

I denne artikel har vi samlet vores erfaring med awareness-træning i fem konkrete råd, som du kan bruge til at lave den bedste awareness-træning for dine medarbejdere. 

  1. Lav relevant indhold
  2. Tag det stille og roligt
  3. Kommunikér og frem indsatsen
  4. Brug forskellige læringsmetoder
  5. Følg op med dine medarbejdere

#1: Lav relevant indhold

Træningen skal passe til alle medarbejdere i alle afdelinger i organisationen. Du behøver ikke gå ned i de tekniske detaljer om, hvordan computere fungerer eller dykke ned i lovene omkring informationssikkerhed. Du skal derimod skabe indhold, som kan forstås af alle medarbejder på alle niveauer i din organisation. Indholdet skal være relevant for deres arbejde og tekniske niveau. IT-sikkerhed bør ikke være et komplekst emne for dine medarbejdere, men i stedet noget de er fortrolige med.  

Prøv at skabe kurser, som er både uddannende og underholdende. Brug eksempler til at forklare koncepter og brug et letforståeligt sprog, når du forklarer koncepterne. Skab kurser, der er relevante for dine medarbejdere, ikke din IT-afdeling. Dine medarbejder bør ikke kede sig, når de tager kurset, men bør i stedet været interesserede i det. Én måde at opnå dette på er ved at skabe indhold, som de nemt kan forstå. 

Dekan for eksempel illustreres ved, hvordan man vælger at forklare et begreb som Ransomware. Herunder ser du to eksempler på dette, hvor det ene er et svært og teknisk sprog, imens det andet er med simplere termer i et let forståeligt sprog.  

Ransomware
Ransomware

Som det kan ses, er der langt større chance for, at man forstår eksemplet til venstre, og det er derfor også lettere at huske. 

LÆS OGSÅ: Hvad er Malware?

#2: Tag det stille og roligt

Fra adgangskoder til phishing-angreb og fra GDPR til social engineering – IT-sikkerhed er et bredt område.  

Derfor kan awareness-træning dække en bred vifte af emner. Det er dog umuligt for dine medarbejdere at blive fortrolige med alle informationer fra alle emner på én gang.  

Du kan ikke give dine medarbejdere hele Harry Potter-serien på én gang og forvente, at de husker det hele med det samme.  

Træningen skal opdeles i mindre sessioner. Dette øger chancerne for, at dine medarbejdere husker indholdet, og dermed får noget ud af træningen. Med andre ord vil du ved at opdele træningen i mindre sessioner øge chancerne for, at den overordnede indsats bliver en succes. 

Pres ikke dine medarbejdere til at tage alle kurser om alt på én gang – opdel det over en periode og giv derefter én session ad gangen. Dette kaldes micro-learning 

På denne måde giver du ikke kun dine medarbejdere tid til at reflektere, øve sig og slappe af. IT-sikkerheden forbliver også på agendaen i en længere periode. Om du vælger at udføre ét kursus om måneden eller ét kursus hver anden måned, er det op til dig. Du skal finde frem til træningens intensitet afhængigt af dine behov og vigtigheden af det emne, du afdækker.  

Et træningsskema kunne se ud som nedenstående, som indeholder kurser fra vores katalog. Det er et miks af it-sikkerhed og GDPR:  

Skemaet viser, hvordan denne organisation har valgt at strukturere deres kurser med et månedligt kursus, hvor de grønne kurser indikerer, at emnet er IT-sikkerhed, hvorimod de blå er om GDPR og persondata. Kalenderen viser også, at organisationen vil køre en phishing-simulation i maj måned – altså to måneder efter, at medarbejderne har haft et kursus omhandlende phishing. Et kursus i måneden sikrer, at der er tid til at tage læringen ind, inden man hælder mere viden på. 

#3: Kommunikér og frem indsatsen

Awareness-træningen bør ikke være et projekt, som kun skubbes ud til medarbejderne fra IT-afdelingen. For at få vellykket awareness-træning, skal den fremmes af den øverste ledelse.  

Ledelsen skal tydeligt støtte op om træningen, før den kan blive succesfuldt implementeret i hele organisationen.  

At bede medarbejdere om at tage kurser i IT-sikkerhed uden den rigtige støtte fra den øverste ledelse vil sandsynligvis ikke motivere dine medarbejdere til at allokere deres tid til awareness-træning, og de vil sandsynligvis have forbehold omkring kurserne.  

Sørg for at få støtte fra ledelsen og kommunikér hvorfor dine medarbejdere bør tage træningen fra starten af.  

Forklar dine medarbejdere, hvorfor din organisation har behov for awareness-træning og prøv at gøre det til noget fedt – noget som dine medarbejdere værdsætter og er glade for at lære mere om, i stedet for at gøre det til noget de bare ”skal”.  

Husk, at hvis ledelsen behandler awareness-træning som noget, de skal implementere for at ”afkrydse et felt”, vil medarbejderne have det på samme måde.  

#4: Brug forskellige læringsmetoder

Du har opnået støtte fra ledelsen til din awareness-træning, du har kommunikeret det til dine medarbejdere, opdelt emnerne i mindre sessioner og gjort det relevant for alle.  

Hvad så nu?  

Du er ikke helt færdig. Du er faktisk lige startet.  

Awareness-træning er en løbende proces. Selvom det er vigtigt at skabe awareness omkring IT-sikkerhed blandt dine medarbejdere, er det lige så vigtigt at vedligeholde den awareness. For at gøre det, skal du overveje forskellige læringsmetoder. Små e-læringskurser er en god idé, men du bør supplere dem med andre former for læring for at bevare medarbejdernes awareness 

Skift dit læringsformat fra tekstbaseret til noget andet. Brug videoer til at vise eksempler, brug interaktive slides til forklaring af koncepter og udfordr dine medarbejdere med quizzer, så de kan teste deres viden.  

Skab så mange kontaktpunkter du kan for konstant at minde dine medarbejdere, om det de har lært – dette kan f.eks. være gennem phishing-simulationer eller ved at hænge plakater på kontoret.  

Disse kontaktpunkter vil gøre det sjovere for dine medarbejdere at arbejde med IT-sikkerhed og vedligeholde deres awareness. Der er utallige måder at skabe og vedligeholde awareness på – kun din fantasi sætter grænserne. 

#5: Følg op med dine medarbejdere

Når du har udrullet din awareness-træning, skal du periodisk overvåge fremgangen for dine medarbejdere.  

 

Prøv at søge feedback fra dine medarbejdere angående kurser og den overordnede awareness-træning. Hvad kunne dine medarbejdere lide ved kurset, og hvad kunne de ikke lide? Det er vigtigt at bemærke, at awareness-træning skal være værdifuldt og fordelagtigt for dine medarbejdere. Du kan vide dig sikker på, at hvis dine medarbejdere ikke kan lide træningen, vil du kunne se det på resultatet.  

 

Awareness-træning er en dynamisk proces – du bør prøve at lære fra dine medarbejdere og justere træningen herefter. Hvis dine medarbejdere ikke tager kurset, hvad skyldes det så? Skal de have mere tid til at færdiggøre kurset? Bør indholdet være endnu mere tilpasset? Prøv at finde grundene bag dét, så du kan rette op på problemet. Sørg for at awareness-træningen er sjov og noget som dine medarbejder har lyst til at lave.  

Opsummeringen er, at kontinuitet er vigtigst!

Det vigtigste, du skal huske fra denne artikel, er, at du skal huske, at awareness-træning ikke er et engangsprojekt, men i stedet en løbende indsats. En plug-and-play-tilgang fungerer ikke for awareness-træning. Det skal tilpasses, overvåges og tilpasses igen undervejs baseret på behovene i din organisation og dine medarbejderes behov. 

De fem konkrete råd, som vi har givet dig i denne artikel, hjælper dig med at nå dine mål med din awareness-træning.  

Vi håber, at denne artikel inspirerer dig, og vi opfordrer dig også til at kontakte vores ekspertteam, hvis der er noget, vi kan hjælpe dig med! 

Vil du holdes opdateret på IT-sikkerhed?

Tags: No tags

Comments are closed.