Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
”Det kan vara skrämmande för organisationer att ta itu med cybersäkerhetsrisker” skriver Per Erngård från Yubico och levererar en mycket bra lista på saker som alla organisationer både kan och borde göra. Det finns dock ett problem. Fem-punkts-listan avslutas med uppmaningen att införa ett kontinuerligt lärande i hela organisationen, men det är här vi måste börja diskutera hur det lärandet ska se ut för att verkligen ge effekt.
Jag har i tidigare inlägg lyft fram behovet av en ny syn på awareness training för att få de effekter på medvetenheten om cybersäkerhet som vi vill åt. Allt för många organisationer förlitar sig fortfarande, på väg in i NIS2-året 2024 (!), på klassrumsutbildningar ett par gånger per år.
De gör att de kan sätta ett kryss i en compliance-ruta, men inte att de skapar ökad medvetenhet på riktigt.
När Per Erngård avslutar sitt inlägg med att efterlysa å ena sidan ”årliga utbildningar” å andra sidan ”kontinuerligt lärande i organisationen” så är det en slags spegling av den slentrian som verkar råda när det handlar om metoder och best practice för att skapa awareness.
I en färsk studie bland både små och stora företag från OpenText visar det sig att hela 83 procent av små och medelstora företag visserligen kräver att deras anställda genomför utbildningar i cybersäkerhet eller phishing simuleringar, men att 38 procent gör dessa en gång i kvartalet och 41 procent bara två gånger per år.
Med över 15 års användardata i ryggen kan vi på Junglemap med säkerhet säga att en utbildning en gång i halvåret inte är best practice när det handlar om att öka medvetenhet och påverka säkerhetsbeteenden. Fungerande awareness training måste bygga på en repetition, reflektion och förstärkning av inhämtad kunskap – hela året runt.
Per Erngård efterlyser också utbildning som är rolig och engagerande. Helt rätt. Men många av våra kunder vittnar om att annat betyder mer. Det är först när de anställda förstår att det här med cybersäkerhet faktiskt handlar om dem, både på jobbet och i privatlivet, som engagemanget växer och bidrar till att skapa det som vi alla är ute efter: en säkerhetskultur byggd på kommunikation och öppenhet och där frågor kring informationssäkerhet blir snackisar vid fikabordet och där chefer och ledare går före och visar vägen.
I den miljön blir det också mindre skrämmande att vidta de kloka steg som Per Erngård föreslår.