Af Henrik Malmgreen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Et gammelt ord siger, at overdrivelse fremmer forståelsen, men man kunne måske også sige, at gentagelse fremmer forståelsen. I hvert fald er det et faktum, at budskabet om, hvordan der udvises rettidig omhu, når det gælder it-sikkerhed, ikke hænger særlig godt fast i medarbejdernes bevidsthed. Mange virksomheder arbejder med awarenesstræning, men selvom ideen er god, er realiteten bare, at medarbejderne ikke er motiverede til at følge anvisningerne.
”De glemmer ganske enkelt alt for hurtigt, hvordan de skal holde virksomheden og ikke mindst sig selv sikre,” siger sikkerhedsfirmaet Kasperskys landechef Mark Beunk. Generelt bliver en virksomheds medarbejdere ofte udnævnt til at være den væsentligste årsag til sikkerhedsbrud, men det er faktisk ikke fair, mener han. I sidste ende er det jo virksomheden selv, der har det overordnede ansvar, men den helt store udfordring er altså at motivere medarbejderne.
Kaspersky demonstrerede for et par år siden et sikkerhedsspil. Det hed Interactive Protection Simulation og blev fremvist på en sikkerhedsmesse i Øksnehallen i København. Fokus var primært på den virkning, som cyberangreb og de deraf følgende ledelsesbeslutninger kan have på en virksomheds effektivitet og indtjening.
Nu er så Automated Security Awareness Platform kommet til, hvor man også benytter interaktive virkemidler, som kendes fra spilverdenen.
Den retter sig mere mod de ansatte og skal øge medarbejderbevidstheden og skabe nye adfærdsmønstre, så cybersikkerheden forbedres. En rapport fra konsulenthuset CapGemini viser nemlig, at 42 procent af medarbejderne synes, virksomhedstræning er så kedsommelig, at den direkte er ubrugelig. Et opsigtsvækkende faktum, når man ved, hvor dyre sikkerhedsbrud kan være.
Inspiration fra spilindustrien
Ifølge Mark Beunk er såkaldt gamification det værktøj, der skal tages i brug, for at man kan opnå bedre sikkerhedstræning i virksomheder. Ved at bruge tricks fra spilindustrien kan man nemlig tilrettelægge et forløb, der både er langt mere spændende og lærerigt for medarbejderne – og som rent er faktisk tilpasset den enkelte medarbejders arbejdsområde og vidensniveau.
Den nye Automated Security Awareness Platform er en fuldautomatisk e-læringsplatform, der ud fra den enkelte medarbejders risikoprofil optræner de it-sikkerhedsfærdigheder, som enhver medarbejder bør besidde for at kunne opretholde den nødvendige it-sikkerhed. Her anvender man mikrolæringssessioner over en længere periode, og den bygger hele tiden videre på medarbejderens eksisterende vidensniveau.
5 gode råd til sikkerhedstræning
For mange regler skaber utilfredshed blandt medarbejdere, mens læring med gode forklaringer kan flytte fastgroede overbevisninger og ændre adfærd. Det bekræftes af Friha Akhtar fra Institut for Cyber Risk, der fortæller, at naturligvis er awarenesstræning vigtig, men virksomhederne kan godt glemme alt om, at ensartet, standardiseret træning er lige god for alle medarbejdere. Her er fem gode råd fra Friha Akhtar:
- Vælg en træningsløsning, der er interaktiv og spændende.
- Det er vigtigt at holde en høj grad af faglighed i forløbet.
- Hvert forløb skal kort, præcist og ikke for tidskrævende.
- Træningen skal skræddersys og segmenteres til målgruppen.
- Budskaberne skal være korte, og nøgleordet er repetition.