Utbildning av medarbetare - En viktig faktor för informationssäkerheten
Ingen organisation är säkrare än sina medarbetare
Informationssäkerhet
Informationssäkerhet handlar om tillgänglighet, riktighet och konfidentialitet. En organisations medarbetare måste kunna lita på att informationen de använder är riktig och att den bara är tillgänglig för dem som är behöriga. Informationen måste vara tillräckligt skyddad så att ingen ska kunna skada, stjäla eller förändra den.
Den mänskliga faktorn
Mer än hälften av alla säkerhetsincidenter hos företag och organisationer beror på felaktigt agerande från medarbetare. Oftast handlar det om omedvetet slarv eller okunnighet. Dessa orsaker brukar tillskrivas den mänskliga faktorn.
Men den mänskliga faktorn är inte bara svaghet och ogenomtänkta ageranden. Man kan vända på det och inse att det är människors medvetenhet och kunskaper som kan förebygga och avvärja incidenter. Med ett sådant synsätt inser man att man kan stärka det mänskliga säkerhetsskyddet genom gedigen utbildning i informationssäkerhet.
Säkerhetskultur
En bra personalutbildning leder till en säkerhetsmedvetenhet som är en förutsättning för en god informationssäkerhet i en organisation. Medarbetarnas kollektiva säkerhetsmedvetenhet skapar företagets säkerhetskultur eller säkerhetsklimat.
Generella och speciella utbildningar
Utbildning är ett sätt att stärka säkerhetskulturen. Det kan vara både generella säkerhetskurser som riktar sig till alla medarbetare, och speciella kurser som är riktade till utvalda grupper.
Utbildningar bör anpassas efter de olika roller som finns inom organisationen och efter vilka ansvar och behörigheter som inkluderas i de olika rollerna. Ibland kan ren individanpassning vara effektivt. Interaktiva datorspel kan vara kompletterande utbildningsverktyg och skapa mer personligt engagemang.
Återkommande utbildningar
Det är viktigt med återkommande och uppdaterade utbildningar, hotbilden förändras ständigt med nya typer av attacker. Man kan kombinera kortare och längre utbildningar i olika intervaller, såsom kortare utbildningar flera gånger per år som komplement till mer omfattande årliga säkerhetsutbildningar.
Organisationens ledning måste vara engagerad
Alla medarbetare i en organisation behöver delta i säkerhetsutbildningarna. Ledningens uppriktiga engagemang är det allra viktigaste. Man måste avsätta tid och resurser till säkerhetsutbildningarna. Ledningen måste själva ta hoten på allvar. Kostnaderna för en allvarlig incident kan vida överstiga kostnaderna för gedigna säkerhetsutbildningar. Det gäller både ekonomiska kostnader och kostnader i form av tappat förtroende från kunder och samarbetspartners.
Några speciella områden som det är viktigt att ha kunskap om för alla medarbetare är till exempel social manipulation och phishing.
Social manipulation eller social engineering är vanligt inom cybervärlden. Det handlar om att utnyttja människors godtrogenhet och bristande vaksamhet. Man lurar folk genom listiga knep att begå olika typer av ogenomtänkta handlingar, som till exempel att uppge kontouppgifter, lösenord eller annat som en bedragare kan ha nytta av.
Phishing eller nätfiske är en speciell form av social manipulation som lurar folk att begå olika typer av ogenomtänkta handlingar. Phishing-metoden är att skicka mail eller falska webbsidor agnade med olika typer av falska erbjudanden eller annat som det kan vara frestande att klicka på. Vanliga metoder vid phishing är att angriparen utger sig för att vara någon form av känd institution med legitimt ärende. Man kan också antyda möjligheter till ekonomisk vinst eller påskina att ett konto är hotat och att det är bråttom att klicka på en viss länk för att stoppa skeendet och rädda det som räddas kan.
Secure State Cyber erbjuder E-Learning och phishingträning deluxe för sina kunder. Läs mer här och hör av er för att höra mer: https://www.securestatecyber.se/tjanster/phishingkampanjer
