Det finns många olika rapporter som pekar på att mänskliga misstag fortfarande utgör den vanligaste källan till lyckade dataintrång. Enligt Verizons årliga Data Breach Investigation Report är det så många som 74% av alla intrång som beror på mänskliga misstag.
Att cyberattacker drabbar alla typer och storlekar av företag och organisationer är också ett faktum. Men något som fått mer uppmärksamhet på sistone är att små och medelstora företag, med mer begränsade resurser, ofta är mer sårbara och utsatta. Begreppet supply chain security blir strategiskt avgörande när det många gånger handlar om att underleverantörens underleverantör är den som kan stå för misstagen som leder till omfattande dataintrång hos en eller flera andra aktörer i leverantörskedjan.
Glädjande nog visar flera rapporter, bland annat Fortinets Global Ransomware Survey att antalet små och medelstora företag som faktiskt genomför någon typ av awareness training ökar.
Utbildningen måste ha effekt
Men att uppge att man genomför någon typ av utbildning innebär inte automatiskt att man uppnår de effekter man är ute efter. Jag har i tidigare artiklar pekat på glappet mellan utbildning och effekt.
Ett exempel är 2023 Cyber Workforce Resilience Trend Report där över 85 procent av alla organisationer uppger att de har olika typer av program för ökad cybersäkerhet på plats. Men där bara 32 procent är nöjda med hur det fungerar.
Siffror från Gartner visar på ett liknande glapp mellan målsättningen med utbildningar och hur det ser ut i verkligheten. Hela 84 procent av alla organisationer uppger att de vill uppnå mätbara förändringar hos sina anställda. Men bara 43 procent uppger att de metoder de använder faktiskt mäter förändringar.
Med det ständigt ökade antalet attacker och med NIS2-direktivet runt hörnet är det helt uppenbart att vi inte kan nöja oss med att genomföra enstaka klassrumslektioner och sedan kryssa i en ruta där vi intygar att våra medarbetare har en hög säkerhetsmedvetenhet. Vi måste se till att de metoder vi använder ger effekt.
Begränsade resurser ett hinder
Frågan vem som egentligen är bäst rustad för att ansvara för utbildningen inom en organisation är också viktig att ta på allvar. Inte sällan ses cybersäkerheten (felaktigt) som en IT-fråga, vilket gör att ansvaret för att utbilda personalen hamnar på IT-chefens bord. Men tids- och resursbrist riskerar att utbildning i cybersäkerhet inte får den genomtänkta omsorg och planering den förtjänar.
På Junglemap möter vi ofta ansvariga för företagets informationssäkerhet som helt enkelt bara vill ha en metod som de vet att de kan lita på – och mäta effekterna av.
Vi brukar bland annat lyfta fram följande fem råd och rekommendationer för att skapa ett effektivt träningsprogram:
1. Använd phishingsimulering som en del av er övergripande utbildning
Phishing fortsätter att vara ett av de vanligaste metoderna som hotaktörer använder sig av. Den snabba AI-utvecklingen har dessutom gjort att attackerna både blir mer sofistikerade och svårare att avslöja, samt att de blir tillgängliga för allt fler kriminella.
Det gör att phishing-simuleringar blir en helt central del av en fungerande awareness träning. Men det räcker inte. För att ge en varaktig och hållbar effekt måste phishing-simuleringar vara en del av en ständigt pågående träning.
Läs mer om Junglemaps Phishing-simulering här.
2. Gör det lättare att använda säkra lösenord
Användandet av säkra lösenord är en återkommande och central del av Junglemaps kurser i informationssäkerhet. Men att veta att man ska ha säkra lösenord räcker inte. Det måste vara lätt att hantera sina lösenord i praktiken också.
Budskapet från t.ex LastPass Annual Report 2022 talar för sig självt: Av dem som fick utbildning i cybersäkerhet slutade bara 31% att återanvända lösenord. Och bara 25 % började använda en lösenordshanterare. Som vi konstaterat i tidigare artiklar behöver en återkommande utbildning i cybersäkerhet i sin tur vara en del av en säkerhetskultur där jag som medarbetare erbjuds verktyg för att göra säkerhet.
3. Ta med företagets säkerhets-tänk hem
Pandemin förändrade i ett slag hur vi ser på distansarbete. De flesta företag och organisationer praktiserar idag en typ av hybrid lösning där medarbetare varvar arbete fysiskt på plats med att arbeta hemifrån – eller från andra platser.
Just gränslandet mellan arbete på distans eller på kontoret har givit upphov till en ökad sårbarhet. Olika typer av malware-attacker siktar ofta in sig på människors privata digitala miljö. Den som ligger utanför IT-chefen och företagets regler för cybersäkerhet. Den där det är den enkla digitala tillgängligheten som styr beteendet; gamingen, shoppingen, underhållningen, sociala medier eller resebokningarna.
I ett avsnitt av Junglemap Podcast uppmanar krypterings- och IT-säkerhetsexperten Carl Hössner att vi bör ta med oss företagets (högre) säkerhetstänk med oss hem. Ett gott råd, men minst lika viktigt är att företag och organisationer sätter upp tydliga regler och riktlinjer för hur medarbetare ska agera säkert när de jobbar på distans.
4. Fysisk och digital säkerhet hänger ihop
Cybersäkerhet handlar inte bara om vad som händer i digitala system eller uppe i molnet. Hur vi till exempel använder våra digitala enheter, laddar våra mobiler, delar lösenord, hanterar fysiska dokument och hur vi följer våra kontorsrutiner, är också viktiga delar av vårt säkerhetsbeteende. De kriminella letar ständigt efter nya sätt att komma åt känslig eller privat information. Tillgång till kontorsytor, att plantera loggar för att komma åt uppgifter, eller post-it lappar med lösenord ”gömda” under tangentbordet, är perfekta sätt för kriminella att komma åt din och företagets information. Det här är ett av fem special-teman i 2024 års version av Informationssäkerhet för alla anställda.
Läs mer om Junglemaps kurs i informationssäkerhet här.
5. Se lärandet som en process – inte som ett event
Ett första steg för att få ordning på sitt organisatoriska lärande är att se det som en kontinuerlig process och inte som ett event. Junglemap uppfann NanoLearning redan 2006 och har sedan dess nåt över 7 miljoner användare i mer än 1400 organisationer. Vi har robusta användardata som visar att en max 3-minuters lång lektion var tredje vecka, året runt, är den modell som ger bäst effekt.
I grunden handlar det om att skapa ett lärande som bygger på repetition, reflektion och förstärkning för att över tid påverka och stärka rätt säkerhetsbeteenden. Det är så som vi ser till att våra medarbetare inte längre är en potentiell säkerhetsrisk, utan en tillgång i säkerhetsarbetet.
Det är så vi bygger mänskliga brandväggar.