En av de i särklass viktigaste grundstenarna i ett framgångsrikt informationssäkerhetsarbete är utbildning i säkerhetsmedvetande. Det är varken en hemlighet eller ens kontroversiellt att påstå att människorna i organisationen är den största risken och är de utan adekvat utbildning en av de värsta sårbarheterna en organisation kan ha.
Med det sagt framgår det att den här artikeln kommer fokusera på utbildning av användare. Det finns naturligtvis ofta fler grenar och professioner i en organisation som kräver andra varianter av utbildning inom informationssäkerhet, men här vill jag fokusera på den absoluta basen – grunderna i säkerhetsmedvetande.
1 – Inkludera alla och involvera många
Se till att alla medarbetare utbildas och gärna även på andra sätt involveras i hur utbildningen i grundläggande säkerhetsmedvetande ska se ut och gå till. Visst, många vill bara gå igenom utbildningen och svara på frågorna medan andra faktiskt har åsikter, tankar, idéer och inte minst funderingar som är värda att ta med i en utbildning.
3 – Utbilda interaktivt
Det här är en av utmaningarna som Covid-19 pandemin fört med sig – det är svårare att utbilda i samlad grupp interaktivt oavsett hur stor organisationen är uppbyggd eller hur stor den är. Men trots svårigheterna är det fortfarande ack så viktigt att utbilda interaktivt. Det finns gott om möjligheter att utbilda med Powerpoint-presentationer och/eller förinspelade filmer men dessa har en tendens att bli något som går vid sidan av medan man har fokus på någonting helt annat.
Jag tror absolut det bästa är (när vi inte kan samlas fysiskt) att utbilda i ett online-event genom att använda er organisations föredragna verktyg på ungefär samma sätt som om det varit fysiskt. Uppmuntra deltagarna att vara delaktiga genom att ställa frågor under utbildningen. Spela gärna in sessionen om det är möjligt så att exempelvis nya medarbetare kan gå igenom den senaste under sin introduktion.
4 – Upprepa
Jag funderade på om rubriken borde varit ”utbilda regelbundet”, men ”upprepa” är egentligen vad jag är ute efter. Trots allt ligger det mycket i det gamla talesättet:
”Repetition är kunskapens moder”
Ursprungligen latinskt ordskråk – ”Repetitio est mater studiorum”
I säkerhetsmedvetande är repetition oerhört viktigt. Om inte budskapet upprepas så kommer det inte fastna, så enkelt är det generellt. Så kör utbildningarna regelbundet och så ofta som behövs beroende på organisationens förutsättningar. I en organisation med större grad av personalomsättning kanske utbildning behövs kvartalsvis eller rentav månadsvis (vilket är positivt för att vara snabb med att få med nya trender inom säkerhetsområdet), medan en mer statisk organisation kanske klarar att ha halvårsvis utbildningar. Men ha inte mer sällan än årsvis!
5 – Verifiera kunskapen
För det första vill du säkerställa att utbildningen håller en god kvalité och för det andra vill du säkerställa att deltagarna fokuserat under utbildningen, och för det behöver ni verifiera. Det vanligaste sättet är att använda sig av ett frågeformulär (det finns många möjligheter, t. ex. Microsoft Forms och Google Forms) med ett antal frågor, kanske 10-15 stycken, som reflekterar innehållet i utbildningen. Var gärna lite klurig i utformningen så deltagarna inte kan sitta med Powerpoint-presentationen uppe och hitta svaren i klartext. Använd alternativa formuleringar.
Se också till att kunskapsprovet inte blir för komplext och utdraget. Ha som målsättning att deltagarna ska kunna klara av provet på fem minuter. Tar det längre tid är risken stor att deltagarna drar ut på att göra det.
En annan positiv aspekt med ett strukturerat kunskapstest är att organisationen kan få kvitto och spårbarhet på inte bara vilka som utbildats men också dokumenterad information om kunskapsnivån. Är organisationen certifierad mot eller arbetar enligt t. ex. ISO 27001 är detta obligatoriskt. Det ger kanske också en fingervisning om var extra krut behöver läggas i nästkommande utbildning…
6 – Glöm inte bort aktualiteter och trender
Inför varje revidering av utbildningen, ha förutom alla vanliga ”självklarheter” med ett eller flera avsnitt som fokuserar på aktualiteter och trender inom Informations- och IT-säkerhet som ni finner extra viktigt och kanske även intressant. På så sätt blir utbildningen inte blassé utan känns alltid aktuell. Exempel på ämnen kan vara allt från vad ni för närvarande ser som extra hotfullt i omvärlden, nya angreppsvinklar i Phishing och så vidare.
7 – Bedöm behovet av hjälp
Det ska sägas, all utbildning kräver pedagogiskt synsätt och angreppsvinkel för att vara relevant och ge valuta för den investerade tiden och långt från alla har de pedagogiska förutsättningar som kanske behövs i organisationen. Fundera över om det kan vara klokt att ta hjälp – omfattningen kan vara allt från att bara titta på innehåll, till att ge input i genomförande till att ta helhetsgrepp om såväl planering som genomförande och uppföljning. Det kan i slutändan vara mycket värt, inte minst i stora organisationer där en utbildningstimma för ett tusental medarbetare betyder totalt 1 300 – 1 500 nedlagda mantimmar bara i deltagande och uppföljning – då gäller det att ha värde i den nedlagda tiden.