Risiciene ved at være online bliver stadig alvorligere for virksomheder. Inden for de seneste to år har 77 % af virksomheder lidt under mindst én cyberhændelse. Det er derfor forståeligt, at organisationer ønsker at indføre forholdsregler for at afbøde disse risici. Her kan uddannelse af medarbejdere i cybersikkerhedsbevidsthed være nyttig. For eksempel ifølge Kasperskys forskning i de trusler, som virksomheder af forskellig størrelse, har oplevet, udgør utilstrækkelige IT-ressourcer og medarbejdernes brud på IT-sikkerhed to af de største trusler, som virksomhederne har oplevet, og den gennemsnitlige omkostning ved én hændelse er USD 337.561. Desuden var 38 % af cyberhændelserne i virksomheder forårsaget af ægte menneskelige fejl, og 26 % skyldtes brud på informationssikkerhedspolitikken.
Uddannelse i sikkerhedsbevidsthed er et vigtigt værktøj for virksomheder eller organisationer, som ønsker at beskytte deres data effektivt, reducere antallet af menneskerelaterede hændelser, reducere responsomkostningen og sikre, at deres medarbejdere forstår, hvordan de på ansvarlig vis kan håndtere kundedata og navigere sikkert, når de er online. Ifølge Kaspersky’s 2022-rapport er chancen for, at angriberen trænger igennem virksomhedens infrastruktur mindre, hvis medarbejderne er bevidste om og forstår, hvad de skal gøre i tilfælde af en sikkerhedshændelse. Disse programmer, der er udviklet og leveret af IT- og sikkerhedseksperter, har et fælles mål om at forsøge at hjælpe med at bekæmpe menneskelige fejl, der fører til databrud og stjålne oplysninger, og som i forlængelse heraf kan føre til finansielle tab og imagetab for en virksomhed. Men hvad består et vellykket uddannelsesprogram af? Og hvordan kan en virksomhed sikre, at medarbejderne umiddelbart husker på cybersikkerhed? Se svarene herpå og mere nedenfor.
Hvad er uddannelse i sikkerhedsbevidsthed?
Uddannelse i sikkerhedsbevidsthed er et uddannelsesprogram, som kan have flere forskellige former. Men alle programmer har et ultimativt mål: at udstyre en virksomheds medarbejdere med den viden og de færdigheder, de behøver for at beskytte organisationens data og følsomme oplysninger mod hacking, phishing eller andre brud, som til gengæld vil beskytte virksomhedens IT-infrastruktur. Uddannelse i cyberbevidsthed har mange forskellige aspekter, og et godt program dækker mange af disse aspekter for at give medarbejderne helhedsorienterede kompetencer, så de kan administrere data og onlineaktivitet sikkert.
Nogle virksomheder er ved lov forpligtet til at opfylde visse brancheregler, f.eks.
Databeskyttelsesforordningen (GDPR) eller endda Health Insurance Portability og Accountability Act (HIPAA), og som led i disse eksempler må de uddanne medarbejderne i cybersikkerhed. Dette finder normalt sted en eller to gange om året for at holde medarbejderne opdaterede om de seneste cybersikkerhedsproblemer, som konstant udvikler sig.
Hvorfor er uddannelse af medarbejdere i cybersikkerhed vigtig?
Da mange brud på cybersikkerhed kan være resultatet af menneskelige fejl og social engineering, skal virksomhederne sikre, at deres medarbejdere er bevidste om, hvor sårbare de er over for angreb og sikkerhedsbrud, så de kan imødegå disse trusler mest muligt. Det er derfor, at uddannelse af medarbejdere i sikkerhedsbevidsthed er altafgørende. Uddannelse i effektiv cyberbevidsthed lærer medarbejderne om, hvilke cybersikkerhedstrusler der er mod virksomheden, hjælper dem med at forstå potentielle sårbarheder og lærer dem hensigtsmæssige vaner, så de kan genkende faresignaler og undgå sikkerhedsbrud og angreb, samt hvad de skal gøre, hvis de laver fejl, eller de er i tvivl. Desuden vil mange virksomheder have behov for at gennemføre cybersikkerhedsuddannelse for at sikre, at de overholder complianceregler.
Vellykkede programmer om sikkerhedsbevidsthed gør medarbejderne i stand til at forstå deres ansvar for cybersikkerheden i virksomheden og at være på vagt, når de arbejder med virksomhedsdata – når de er online og når de bruger virksomhedens enheder både på og udenfor kontoret. Dette kan i betydelig grad gøre en virksomhed mindre sårbar over for cyberangreb og databrud.
Hvad bør onlineuddannelse i sikkerhedsbevidsthed dække?
Ifølge Kaspersky’s 2023 Human Factor Survey, der analyserede den menneskelige fejlfaktor ved sikkerhedshændelser på arbejdspladsen, var den mest almindelige medarbejderfaktor download af malware, og den næstmest almindelige: brug af svage adgangskoder eller at undlade at ændre dem jævnligt. Dette understreger behovet for, at et godt program for sikkerhedsbevidsthed skal være omfattende og dække en lang række elementer, som samlet giver medarbejderne et helhedsorienteret synspunkt på cybersikkerhed, og hvad det betyder for virksomheden. Det kan for eksempel omfatte at lære gode vaner om adgangskoder, kunne genkende social engineering-scams, udvise sikre e-mailvaner og overholde lovgivningsmæssige krav.
Da der er mange sikkerhedsemner, der skal dækkes, vil hver virksomheds program være en smule anderledes baseret på deres behov. Mange elementer af cybersikkerhedstrusler og beskyttelse vil imidlertid være relevant for alle organisationer som beskrevet nedenfor:
- Ansvar for virksomhedens data: Medarbejdere skal kende deres ansvar med hensyn til at beskytte følsomme oplysninger og overholde love om håndtering og fortrolighed.
- Adgangskodesikkerhed: At oprette og bruge stærke adgangskoder, forstå behovet for jævnligt at ænd og potentielt bruge en adgangskode-manager.
- Bevidsthed om phishing: At kunne genkende potentielle phishing-e-mails og undgå scams eller afsløre privilegeret information.
- Compliance: At overholde forordninger, f.eks. GDPR og HIPAA.
- Databeskyttelse: At beskytte kundedata eller følsomme virksomheds- og medarbejderoplysninger.
- Insidertrusler: At kunne genkende interne trusler og sårbarheder, der kommer indefra i virksomheden.
- Procedurer: At forstå politikker og protokoller for at kunne reagere på sikkerhedshændelser.
- Hensigtsmæssig onlineadfærd: At lære, hvordan man bruger internettet sikkert i organisationens systemer og at genkende mistænkelige hjemmesider og kilder.
- Ansvarlig brug af e-mail: At lære medarbejderne, hvordan de bruger e-mails sikkert for at undgå databrud og hacking.
- Brug af enheder: At lære medarbejderne om bedste praksis for at bruge virksomhedsejede enheder, f.eks. bærbare computere og telefoner.
- Sikkerhed på enheder: Behovet for at bruge VPN og antivirus-software for at beskytte virksomhedens enheder mod eksterne trusler, f.eks. malware.
- Brug af software: At forstå, hvilken software der må bruges på virksomhedens enheder, og hvor den må hentes, og hvad man skal undgå.
- E-mailvaner: At vide, hvordan man bruger e-mails på ansvarlig vis, herunder at genkende legitime afsendere og ikke videregive følsomme data.
- Ekstern brug: At beskytte enheder og systemer, når man arbejder uden for virksomheden, f.eks. ved at bruge VPN eller en ekstern gateway.
Et godt uddannelsesprogram for cybersikkerhedsbevidsthed skal ikke blot dække alle ovennævnte emner, men skal også omfatte forskellige formater, således at uddannelsen bliver motiverende, og der bruges teknikker, der hjælper med at huske materialet. Desuden skal et godt uddannelsesprogram omfatte adskillige tilfælde fra den virkelige verden, så medarbejderne kan se koblingen med virkeligheden. Et godt uddannelsesprogram skal ikke blot besvare spørgsmål om, hvad der er tilladt, og hvad der ikke er tilladt, men skal også omfatte "hvad nu hvis-scenarier", og hvad man skal gøre, hvis en cybersikkerhedsløsning ikke registrerer en trussel, eller der sker et angreb. At øge færdighederne gennem simulerings- eller spilmatiseringselementer er også utroligt vigtigt.
De bedste tips til cybersikkerhed i organisationer
Det er vigtigt at have en dyb forståelse af sikkerhedsbevidsthed, men det er lige så vigtigt at implementere de rigtige strategier. Hvilke strategier bør virksomheder søge at fremme gennem uddannelse af medarbejderne i cybersikkerhed? Der er adskillige foranstaltninger, som virksomheder kan træffe for at øge sandsynligheden for, at deres programmer lykkes. Her er nogle få eksempler på bedste praksis, man bør huske på:
- Brug stærke adgangskoder: Adgangskode-hygiejne skal være et hovedfokuspunkt i uddannelse i sikkerhedsbevidsthed, og derfor skal virksomheder udarbejde stærke regelsæt, som omfatter særlige tegn, minimumslængde og både store og små bogstaver. En virksomhedsgodkendt adgangskode-manager kan være nyttig, da den hjælper medarbejderne med at generere komplekse adgangskoder, som er mindre sårbare over for hacking og katalogangreb.
- Prøv flerfaktorgodkendelse: Mange større organisationer kræver i dag, at brugerne opretter tofaktorgodkendelse for at beskytte deres brugerkonti og e-mails. Dette sikrer, at selv om det lykkes hackere at kompromittere brugerens adgangskode, er det meget mindre sandsynligt, at de vil være i stand til at få adgang til kontoen, den er knyttet til, da de for eksempel ikke vil kunne få fat i den engangsadgangskode, der sendes til brugerens mobiltelefon.
- Brug falske angreb: For at øge bevidstheden om, hvor nemt det kan være for cyberkriminelle at bryde en virksomheds cybersikkerhedsprotokoller, kan IT-teamet med jævne mellemrum anvende simuleringer af phishing-angreb, som viser, hvordan sådanne angreb ser ud, og hvordan medarbejderne undgår dem.
- Tjek testmålepunkter: Efter brug af angrebssimuleringer kan administrationer samle og analysere resultaterne for at vurdere cyberbevidsthedsuddannelsens effektivitet og tage beslutninger om, hvordan den skal tilpasses.
- Jævnlige opdateringer: Sørg for, at al software er opdateret, så de seneste sikkerhedsprogramrettelser anvendes i alle virksomhedens systemer og enheder.
- Begræns eksponering: Gennem en virksomheds sikkerhedsbevidsthedsprogram bør medarbejderne have en god forståelse af, hvilke oplysninger de kan og ikke kan dele online, og hvordan de minimerer deres digitale aftryk.
- Brug VPN: Uanset om medarbejderne arbejder på eller uden for kontoret, bør de bruge virtuelle private netværk (VPN) til at kryptere deres trafik på nettet og hjælpe med at skærme for eventuelle følsomme oplysninger.
- Jævnlig sikkerhedskopiering af data: Ved at sørge for, at alle data sikkerhedskopieres ofte, kan organisationen sikre, at i tilfælde af et sikkerhedsbrud kan de gendanne så meget som muligt.
- Sørg for at ledelsesteamet bakker op: Det kan være særdeles nyttigt, at virksomhedens ledere støtter op om det, når der gennemføres uddannelse af medarbejdere i cybersikkerhed. Ikke blot vil det være med til at sikre, at programmet tildeles de nødvendige ressourcer, men det kan også være nødvendigt for at sikre, at hensigtsmæssige cybersikkerhedspolitikker implementeres.
- Udfør jævnlige risikovurderinger: Cybersikkerhed er en verden, hvor trusler konstant udvikler sig. Jævnlige risikovurderinger kan være med til at identificere potentielle sårbarheder og trusler i en organisations systemer, og administratorer kan følgelig tilpasse uddannelsesprogrammet i cyberbevidsthed efter behov.
- Lav informative, interaktive kurser: Gennemsnitsmedarbejderen tænker måske ikke på cybersikkerhed hver eneste dag og har måske ikke den fornødne viden om potentielle risici. Derfor vil et vellykket uddannelsesprogram om sikkerhedsbevidsthed give et overblik, der er nemt at forstå, og indeholde øvelser, som hjælper medarbejderne med at forstå potentielle sårbarheder, og hvordan de imødegår dem.
- Opdater politikker: Da der altid er nye sårbarheder og trusler mod en organisations cybersikkerhed, er det vigtigt, at administrationer jævnligt vurderer deres politikker og om nødvendigt indfører og håndhæver nye.
- Genuddannelse er vigtig: Uddannelse i cyberbevidsthed er ikke en engangsforteelse, og derfor bør medarbejderne deltage jævnligt i genopfriskningskurser, så de er på forkant og ajour med cybersikkerhed.
- Begynd ved ansættelsen: Uddannelse i cybersikkerhed bør være en del af onboardingprocessen, således at nye medarbejdere forstår nuancerne i virksomhedens særlige politikker.
Vigtigheden af uddannelse i cyberbevidsthed
I Kaspersky’s 2023 Human Factor 360-rapport blev respondenter i spørgeundersøgelsen spurgt om, hvor det var mest sandsynligt, at deres virksomhed ville investere i cybersikkerhed i de næste 12-18 måneder, og den understregede, at 39 % af respondenterne var interesserede i at investere i uddannelser for cybersikkerhedsprofessionelle, og 38 % ville sandsynligvis investere i generel uddannelse af medarbejdere, blandt andre områder. Det er derfor altafgørende at forstå, at det er nødvendigt at øge og investere i medarbejdernes cyberviden og -forståelse for at sikre omfattende beskyttelse af en virksomhed. Udover dette er det meget vigtigt at vælge det rette uddannelsesprogram, som dækker alle de nødvendige emner og har en moderne tilgang til undervisning for at have en reel indflydelse på ændret cyberadfærd. Ved at involvere alle niveauer i organisationen,, selv det øverste chefniveau, sammen med støtte fra virksomhedens ledelse opnår man en vellykket implementering og vedligeholdelse af et cybersikkerhedsmiljø.
Relaterede artikler og links:
Hvad er slutpunktssikkerhed, og hvordan fungerer det?
Sådan undgår du angreb med social engineering
Relaterede produkter og tjenester:
Kasperskys uddannelse i sikkerhedsbevidsthed