Ditt företag har väl inte en dinosaurie till informations-säkerhetsutbildning?

Idag arbetar vi på ett helt annat sätt än vad vi gjorde för 20 år sedan. Idag är det självklart att vi ska kunna läsa mejl i telefonen, delta i globala videokonferenser från sommarstugan och beställa varor via internet. Vi har på kort tid lyckats effektivisera vårt sätt att arbeta. Problemet är att många företag utbildar sina medarbetare på samma sätt som när kassettbandspelare var det vanligaste sättet att lyssna på musik.

Fyra sätt att skapa ett effektivt utbildningsprogram inom informationssäkerhet:

1. Analysera nuläget. Att leverera en utbildning som inte är anpassad till målgruppens behov är förödande. De anställda behöver utbildning som är utformad utifrån deras behov i det dagliga arbetet.

2. Planera. Alla anställda har inte tillgång till samma information och konsekvenserna av ett felaktigt beteende varierar beroende på den anställdes befattning. Ett företag som arbetar riskbaserat, delar upp de anställda i riskkategorier (vanligtvis tre nivåer), beroende på den anställdes tillgång till information och påverkan på företaget. Utbildningsinsatserna anpassas sedan utifrån respektive riskgrupp och dess behov.

3. Förändra beteende. Syftet med utbildnings- och informationskampanjer är att förändra de anställdas beteenden. En vanlig missuppfattning är att mer information är synonymt med högre säkerhetsmedvetenhet. För att lyckas förändra beteenden krävs pedagogiska utbildningsverktyg, exempelvis:

- Cyber Security Roadmaps, praktiska säkerhetstips, som de anställda kan använda kan ta fram när de möter olika risker, exempelvis phishing.
- Dialogkartor, ett workshop verktyg där arbetsgruppen tillsammans diskuterar dilemman och utmaningar kring deras säkerhetsarbete i det dagliga arbete.
- Ett pedagogiskt intranät, där de anställda på ett enkelt sätt kan söka fram informationen när de väl behöver den, vilket gör det möjligt att minska utbildningstiden.

4. Mäta och optimera effekten. Modern forskning har utvecklat metoder för att mäta verkliga förändringar i de anställdas beteenden. Indikativa scenariometoder gör det möjligt att utvärdera effekterna av genomförda insatser och prioritera kommande insatser.

Anställda framställs ofta som den svagaste länken i säkerhetsarbetet, men de är också nyckeln till en ändamålsenlig och dynamisk säkerhetsnivå. Frågan är bara om din organisation använder gårdagens tekniker för att hantera dagens och framtidens behov?

Lyssna gärna på Combitech-podden där jag och mina kollegor berättar mer om Security Awareness och Social Engineering

Podbean: https://combitechpodden.podbean.com/

Acast: https://www.acast.com/combitechpodden

iTunes: https://itunes.apple.com/se/podcast/combitech-podden/id1156503722?mt=2