IT-sikkerhet er et tema som for mange ansatte ikke oppleves som særlig synlig, og kanskje heller ikke relevant for deres arbeidshverdag. Dessverre kan lærepengen ved ikke å ha alle ansatte med på forståelsen av hvor viktig dette arbeidet er, bli svært kostbar og ubehagelig.
Vi i Netsecurity bistår gjerne med intern opplæring i IT-sikkerhet, og i denne artikkelen forklarer jeg litt om hvordan vi gjør dette.
Opplæring i IT-sikkerhet er en del av et årshjul vi etablerer i samarbeid med kundene våre. På samme måte som man har en plan gjennom året for alt fra markedsføring til fredagskaffe, lager vi en oversikt over hva slags tiltak som skal gjennomføres for å øke fokus på IT-sikkerheten. I tillegg vil årshjulet inneholde andre sentrale IT-sikkerhetsaktiviteter som rekognosering, penetrasjonstesting, revisjon, rådgivning med mer.
Målet med den interne opplæringen er å sørge for at alle ansatte forstår at den enkeltes bidrag og innsats er like viktig. Det er irrelevant om det er resepsjonisten eller daglig leder som velger ikke å forholde seg til gjeldende retningslinjer eller går på limpinnen og som en konsekvens av det lager en åpning som cyberkriminelle kan utnytte. Skadeomfanget er det samme, og det går ut over hele bedriften.
I starten av et samarbeid gjennomfører vi ofte phishingsimuleringer, der vi øver sammen med de ansatte. Når vi deretter presenterer resultatet av slike simuleringer for ansattgruppen, er det en effektiv vekker for mange. Å se hvor lett det er å bli lurt av slike forsøk, og hvordan rask og riktig håndtering kan begrense skadene, øker som regel forståelsen for IT-sikkerhetsarbeidet vi holder på med. Når vi ser hvordan bedriften er rustet mot lignende trusler, peker det oss i retning av hvilke grep vi må ta i selve systemet og det digitale forsvaret generelt, og til hva slags intern opplæring det er behov for.
Gjennom flere år har vi sett at måten bedrifter jobber med ansattes forhold til IT-sikkerhet på, i grove trekk havner i én av to kategorier. Enten er det omtrent ikke-eksisterende, eller så er øktene begrenset til en time, én til to ganger i året.
Hvor mye som blir sittende igjen av det folk lærer, kommer an på hvor viktig de opplever at det de lærer om, er. Siden menneskehjernen lærer best når den blir introdusert for én ting om gangen, tror vi på en metode hvor ansatte jobber med IT-sikkerhet jevnlig. Et av verktøyene vi har i kofferten for å ha et kontinuerlig fokus på IT-sikkerhet, er en e-læringsplattform som vi inkluderer alle bedriftens ansatte i.
Denne plattformen kjører et opplæringsløp hvor alle ansatte hver tredje uke får en kort, effektiv og intuitiv opplæringsøkt. Den varer i tre minutter, noe som gjør at folk faktisk gjennomfører, følger det opp, og holder fokus mens det pågår. Hver økt er lagt opp med en viss andel repetisjon eller forsterkning av det den ansatte allerede har vært gjennom, før vedkommende introduseres for noe nytt. Denne kombinasjonen av å etablere læring samtidig som den ansatte opplever mestring, er en pedagogisk forankret metode som mange synes er lystbetont og lærerik.
Dette foregår året rundt, og bidrar til å skape kontinuerlig læring, årvåkenhet og dialog rundt IT-sikkerhet. Det er tydelig at porsjonering av kunnskap er sentralt, og vi ser at bedriftene får svært god effekt av å kjøre slike korte leksjoner jevnlig.
Ansatte i en bedrift vil ha ulike oppgaver og ansvarsområder, og dermed ulike måter å bruke PC og andre digitale enheter på. Dermed kan det være forskjellige behov for opplæring og innhold i seksjonene. Vi kan tilpasse opplæringen og disse korte seksjonene mot enkelte grupper i bedriften dersom det er behov for det, eller vi kan kjøre en felles læring for hele miljøet. Dette tilpasser vi i dialog med kunden, og med fleksibiliteten i systemet er dette en dynamisk, pågående prosess året gjennom.
Dukker det opp aktuelle tema eller digitale trusler som det er ønskelig å øke bevisstheten omkring umiddelbart, kan vi fokusere neste læringsseksjon på nettopp dette. Hvis vi ser at noe bør ha særskilt fokus i en periode, kan vi lage et innlegg eller kurselement som adresserer det.
Selv om opplæringsplattformen er et viktig verktøy i den interne opplæringen, utgjør den ikke alene en komplett intern opplæring innen IT-sikkerhet. Det er når vi som IT-sikkerhetsselskap kan berike plattformen med vår best practice og våre erfaringer, at vi ser de beste resultatene. Vi kan verdiøke læringsprogrammet og tilpasse det til den aktuelle kunden og hvor de er i sin læring. Noen ganger er det behov for andre virkemidler i tillegg, som webinar eller flere phishingøvelser, her har vi et hav av komponenter å ta i bruk.
Det er gode grunnlag i plattformen for å ta ut gode rapporter, som kan brukes til å fortsette å spisse og målrette arbeidet med bevisstgjøring rundt IT-sikkerhet. Her bruker vi vår kompetanse til å hente ut verdien av e-læringsprogrammet, og sammen med kunden bestemme veien videre. Når ansatte forstår hvor viktig deres egen rolle er for bedriftens IT-sikkerhet, og opplever å bidra til økt trygghet på sin egen arbeidsplass, gir det gode resultater for hele bedriften.