top of page
  • Forfatters billedeKaj Asmussen

Awareness hvordan griber vi det an?

Alle anbefalinger omkring IT-sikkerhed pointerer at træning af medarbejdere i IT-sikkerhed er en meget vigtig foranstaltning.


Rigtig mange af de alvorlige hackerangreb vi ser i denne tid starter med en phishing-mail, der lokker brugeren til at klikke på et link eller åbne en fil, der indeholder skadelig kode.

Et af D-mærkets kriterier siger således at virksomheden skal sørge for, at ansatte og brugere som arbejder med IT får træning i it-sikkerhed. Træningsprogrammet inkluderer, at de trænes i at kunne varetage deres it-relaterede ansvar og opgaver i overensstemmelse med relevante politikker, procedurer og aftaler.


Da de fleste angreb starter med en phishing e-mail bør awareness træning tænkes bredt, da kæden som bekendt ikke er stærkere end det svageste led.


Men det vil være yderst relevant at tilpasse træningen til brugernes roller (og rettigheder), så IT-medarbejdere og udviklere modtager mere omfattende træning end de almindelige brugere.


Da awareness træning skal være en kontinuerlig proces er det vigtigt at man i virksomheden opbygger et awareness-program.


Jeg anbefaler at man sammensætter et awareness-program som en del af sit IT-sikkerheds årshjul.


IT-sikkerhedsgruppen som typisk mødes kvartalsvist, skal arbejde med awareness-træning og ledelsen kan med fordel uddelegere opgaven til denne gruppe.


Man kan starte sin awareness-træning med at foretage en modenhedsanalyse, hertil kan HackerStop.dk med fordel anvendes. Platformen er gratis og den giver IT-sikkerhedsgruppen et grundlag for at prioritere deres indsats. Målingen bør gentages halvårligt, for at kunne dokumentere fremdrift.


Det er en overvejelse værd om man skulle udarbejde en IT-sikkerhedshåndbog for medarbejdere, eller udvide den eksisterende personalehåndbog. Dette vil give den fordel at onboarding af nye medarbejdere sikrer en introduktion til virksomhedens fokus og politikker omkring IT-sikkerhed. Men det er vigtigt at netop nye medarbejdere får en god introduktion til awareness.


Man kan kickstarte awareness-træningen med et morgenmøde eller gå-hjem møde for alle medarbejdere, eller et halvdagskursus for betroede medarbejdere.


Glem ikke ledelsen og virksomhedens bestyrelse, de skal også trænes – minimum årligt.


Når medarbejdere har fået træning, kan det være en god idé at fortsætte med test og træning af dem individuelt.


Vi forhandler en automatisk løsning, som tilpasser et individuelt forløb til den enkelte medarbejder, der sker løbende test af medarbejderens awareness sammen med træning efter behov. På denne måde sikrer vi at medarbejderne løbende trænes, uden at der skal bruges kræfter på dette.


Et godt awareness-program sikrer at der løbende er fokus på IT-sikkerheden og at der opbygges en kultur, hvor IT-sikkerheden er på dagsordenen, både hos ledelse og kolleger imellem.


Awareness kan ikke stå alene, det er vigtigt, men det er blot én foranstaltning ud af en række.


Ønsker du hjælp til at sammensætte et godt awareness-program i din virksomhed, så tag endelig fat i os.

D-mærket og HackerStop er gode værktøjer

9 visninger0 kommentarer

Seneste blogindlæg

Se alle

Comments


bottom of page