Hur effektiv är utbildning i säkerhetsmedvetenhet?
Om du skulle fråga ett antal IT-proffs om de tycker att utbildning i säkerhetsmedvetenhet är effektiv för att minska mänskliga risker, skulle du förmodligen få blandad respons...
"Vår träning fungerade bra, teamet har verkligen tagit till sig utbildningen"
"Vi försökte, men våra användare föll offer för phishingattacker ändå"
"Det är tidiga dagar ännu men tecknen är goda!"
Problemet är att dessa halvdana recensioner inte riktigt ger ditt företag en tydlig inblick i hur effektiv den här typen av utbildning kan vara, vad som fungerar bra och vad den totala avkastningen på investeringen (ROI) är.
Så i det här inlägget guidar vi dig genom :
- Hur effektiv är utbildning i säkerhetsmedvetenhet för att minska riskerna?
- Vad är avkastningen på investeringen (ROI)?
- Fem sätt att få utbildning i säkerhetsmedvetenhet att fungera
- Hur du kommer igång på rätt spår
Hur effektiv är utbildning i säkerhetsmedvetenhet?
Effektiviteten och avkastningen på investeringen för utbildning i säkerhetsmedvetenhet kan variera baserat på ett antal faktorer – inklusive format, kanaler och frekvens.
Men om det görs rätt kan utbildning av anställda vara en mycket framgångsrik lösning för att minska mänskliga fel, förbättra det dagliga säkerhetsbeteendet och uppnå viktiga standarder för compliance.
I en nyligen genomförd studie , sa 80 % av organisationerna att utbildning i säkerhetsmedvetenhet hade minskat deras personals mottaglighet för nätfiskeattacker. Den minskningen sker inte över en natt, men det kan ske snabbt — med regelbunden utbildning som visas för att minska risken från 60 % till 10 % inom de första 12 månaderna .
Även de minst effektiva träningsprogrammen har en sjufaldig ROI , och det genomsnittliga programmet ger en 37-faldig avkastning på investeringen .
Ponemon Institute
Grafen nedan ger en visuell inblick i en studie som mätte hur personal kunde känna igen hot före och efter utbildning:
Som detta visar, gör utbildning i säkerhetsmedvetenhet personalen mycket mer kapabel att identifiera potentiella cyberhot.
Allt det här med ROI-grejen låter bra, men hur beräknas den?
Med så många olika faktorer som spelar in i ROI av utbildning i säkerhetsmedvetenhet – inklusive företagsstorlek , plats och utbildningskostnader — är det ganska svårt att ta fram en korrekt förutsägelse av siffror som kan vara relevanta för alla företag.
Med det sagt, Osterman Research har tagit fram en av de mest kända kostnads- och ROI-modellerna som utvecklats för utbildning i säkerhetsmedvetenhet.
Deras studie visade att mindre företag (under 1 000 anställda) kan i genomsnitt uppnå en ROI på 69 % från ett utbildningsprogram för säkerhetsmedvetenhet , medan större företag (1 000+ anställda) kan uppnå en ROI på 562 %.
Förbehållet här är att rapporten har baserats på en rad antaganden – som du kan kolla in mer i detalj här — inklusive driftskostnader och potentiella förluster av kunder och intäkter, vilket uppenbarligen varierar från företag till företag.
Men gå inte för vilse i data. Huvudpunkten är att — träning fungerar .
Fem sätt att få din utbildning i säkerhetsmedvetenhet att fungera
För att göra dina anställdas utbildning så effektiv som möjligt finns det ett antal nyckelingredienser som du måste inkludera:
#1 Håll regelbunden träning
Enligt USENIX kommer anställda att börja att glömma sin träning efter fyra månader, så regelbundna sessioner är nyckeln för att se till att informationen hålls fräsch i minnet.
Som framgår av rapporten ovan väljer många företag att utbilda personal på månadsbasis för att hålla informationen fräsch i minnet.
Detta kan låta som mycket, men den här typen av utbildning och datorbaserad (KBT) ) kurser gör att du undviker inlärningströtthet och eventuella hinder för produktiviteten.
#2 Håll engagerande träning
Istället för att visa en checklista med punkter under en PowerPoint-presentation, försök att leverera mer minnesvärda videor och interaktiva datorbaserade utbildningar.
Här är ett snabbt exempel på en utbildningsvideo som är hämtad från usecures plattform för säkerhetsmedvetenhet, uLearn :
#3 Täck de viktigaste ämnena
Det är lätt att tro att det räcker med att utbilda personal i hur man upptäcker en nätfiskeattack för att minska mänsklig risk, men att snävt fokusera på ett fåtal utvalda ämnen lämnar dörren öppen för mänskliga fel och framgångsrika attacker.
Dina anställdas fortlöpande utbildning bör täcka en mängd olika beteendetips, attacktekniker och compliance-standarder Kolla in usecures 12 bästa utbildningsämnen för säkerhetsmedvetenhet .
#4 Starta praktiska phishing-simuleringar
Så du har utbildat din personal i hur man upptäcker en nätfiskeattack? Det är bra, men hur kommer de att reagera när ett falskt e-postmeddelande från finansavdelningen verkligen hamnar i deras inkorg och ber dem att betala en faktura "asap"?
Genom att köra phishing-simuleringar , kan du upptäcka vilka anställda som skulle falla offer för en verklig attack, vilket ger ditt företag en chans att proaktivt utbilda den personen om vad de missat.
#5 Mät effekten av träning
Det är viktigt att mäta effekten av utbildning så att ditt företag kan a) rapportera om ditt tillvägagångssätt fungerar och b) ha ett fågelperspektiv över eventuella potentiella riskområden för människor.
Att köra ett snabbt quiz i slutet av varje kurs är ett bra sätt att förstå vad varje person har lärt sig.
Med uLearn , får varje anställd ett quiz direkt efter kursen, där deras resultat sparas och läggs till i deras individuella profil samt bidrar till företagets totala resultat för mänskliga risker.
Hur du kommer igång på rätt spår
Det absolut viktigaste i ett effektivt utbildningsprogram för säkerhetsmedvetenhet handlar om att utbilda personal ofta, använda engagerande material, täcka det väsentliga och mäta den pågående effekten.
Men att hitta tid och budget för att planera, leverera och hantera den här typen av utbildning kan verka som en ganska stor belastning på resurser för IT och verksamheten som helhet.
Det är därför vi har sammanställt en komplett guide till utbildning i säkerhetsmedvetenhet för att hjälpa dig att lansera kostnadseffektiv och administrationsvänlig utbildning i säkerhetsmedvetenhet från dag ett.