Awarenesstræning

”Amatører hacker systemer, professionelle hacker mennesker” – Bruce Schneier

 

Den allerstørste trussel indenfor IT-sikkerhed er medarbejderne. Hvis medarbejderne aldrig klikker på et link eller åbner en vedhæftning fra de kriminelle, ville en stor del af truslen være mitigeret.

Statistikken siger, at 90% af alle hackerangreb starter med en e-mail. De resterende 10% er en række andre angrebsvinkler som et hacket website, port-scanning m.v.

Der er forskellige måder, at man kan træne medarbejderne. Mange organisationer har prøvet at sende mails ud med advarsler om, at der er en specifik kampagne i gang på ransomware og måske har man haft et seminar om IT-sikkerhed. Det er en ganske god idé, at gøre disse ting – det er bare langt fra nok.

Folk lærer ikke af, at få ting fortalt – folk lærer af deres oplevelser.

Det betyder, at den suverænt mest effektive form for awareness-træning, når vi taler cyberangreb er simulerede phishing mails i kombination med video-træning og pop quiz. I denne proces sætter man brugerne i et scenarie som er realistisk i forhold til, hvordan et angreb fra cyberkriminelle kunne se ud.

Derfor kombinerer vi følgende elementer i vores awareness-træning:

  • Månedlig video
  • Månedlig pop quiz
  • Kvartalsvise phishingmails

Når en bruger ikke svarer rigtigt på mindst ud af 4/6 spørgsmål eller medarbejderen ikke ser videoen og gennemfører pop quizzen, så bliver der automatisk sendt en reminder til medarbejderen 14 dage efter.

Nedenstående tabel viser, hvordan vi oplever, at brugerne bliver dygtigere og dygtigere til at spotte om en e-mail er et angreb:

Hvis man derfor kun foretager en enkelt kampagne, så får man ikke den fulde værdi. Samtidig er viden noget, man skal opdatere – ellers bliver den mistet. Dertil er der i de fleste organisationer en udskiftning af medarbejdere, hvilket betyder, at det er nødvendigt at gentage processen. Vores phishing kører 4 gange om året, og de simulerede cyberangreb tilpasses de angreb vi ser i markedet.

Afhængigt af hvor meget man som virksomhed ønsker at gøre, så har man mulighed for f.eks. lave konkurrencer mellem afdelingerne, hvor der også indgår elementer som at trykke på en tast på en ulåst computer, se hvor mange der sætter et usb stik i en pc m.v.

Alt dette kan samles på et kampagnesite, så brugeren/afdelingen/virksomheden kan se, hvor godt de klarer sig og følge fremskridtet.

Sammen med awareness-træning anbefaler vi, at der bliver opsat procedurer for, hvordan din virksomhed håndterer rigtige cyberangreb. Vores anbefaling er, at man opretter en e-mail, hvor mistænkelig mails, telefonopkald m.v. bliver indrapporteret. Så man kan undersøge, om det måske er en indikator på et større angreb og/eller få afklaret kritikaliteten af det angreb, som rammer virksomheden.

Det er også vigtigt at få procedurerne på plads omkring dataopbevaring. Måske er det en stor udfordring for virksomheden, hvis brugerne benytter sig af deres private Dropbox, gemmer CV’er på forskellige fil-drev og lægger fortrolige dokumenter i mapper, hvor mange brugere har adgang til disse data. Så i forbindelse med awareness-træning er det en god idé at opdatere IT-sikkerhedshåndbogen og bruge 10 minutter på et halvårligt eller årligt møde på at orientere om dit firmas datapolitik.

Ved at arbejde struktureret med awareness har din virksomhed taget ét af de allervigtigste skridt til at nedbringe jeres risici i forbindelse med cyberkriminalitet.

Content bliver leveret i samarbejde med Kelsa Media.

http://www.kelsa.dk/

Interesseret i Awarenesstræning?
Udfyld nedenstående og vi vil kontakte dig.