Hvordan planlegge en intern bevisstgjøringskampanje?


Å delta i nasjonal sikkerhetsmåned er en god start på arbeidet med å skape bevissthet om digital sikkerhet i egen virksomhet. Noen integrerer rett og slett sikkerhetsmåneden inn i virksomhetens årsplan. Det finnes mange måter å drive opplæring på. Sammen med våre samarbeidspartnere utarbeider vi opplæringsmateriell hvert år. Dette kan dere bruke som dere ønsker. For dere som trenger hjelp til å komme i gang har vi samlet noen tips til hvordan dere kan ta i bruk materialet her.

Sørg for forankring hos ledelsen

Det er viktig at ledelsen tar eierskap for opplæringsprogrammet i virksomheten. Når lederen forstår verdien av at alle de ansatte har kjennskap og kunnskap om digital sikkerhet er det lettere å få satt av tid, penger og resurser til arbeidet.

En ledelse som sier tydelig i fra om at dette er viktig og at de forventer at de ansatte bruker arbeidstiden sin på opplæring i digital sikkerhet, gjør det lettere for de ansatte å sette av nødvendig tid i til dette en hektisk hverdag. Det sender også et signal til de ansatte om at det er viktig å prioritere digital sikkerhet.

Sans Institute, Securing the Human har gode råd og eksempler på hvordan man kan forankre sikkerhetsarbeidet hos ledelsen.

Hvordan bevisstgjøre de ansatte?

Nasjonal sikkerhetsmåned foregår i oktober hvert år. Temaene som løftes frem baseres på innspill fra ENISA og våre nasjonale samarbeidspartnere i tillegg til aktuelle cybertrusler og  -trender som treffer norske virksomheter.

Det kan være vanskelig å få de ansatte til å sette av nødvendig tid til opplæring i informasjonssikkerhet. Særlig ansatte i virksomheter som ikke har egen IT-avdeling og derfor ikke har noen internt som kan løfte problemstillingene. Derfor utvikler vi en opplæringspakke som alle kan bruke, fra små til større virksomheter.

Målgruppen for opplæringspakken er likevel først og fremst små-og mellomstore virksomheter. Gjerne virksomheter ikke har egen IT-avdeling. Derfor er opplæringspakken gratis for virksomheter med under 20 ansatte, mens de større må betale for den. Ved å bruke opplæringspakken skal det være mulig å nå frem også til de som ikke selv tar initiativ til å søke kunnskap om digital sikkerhet. Det er likevel viktig å sørge for å forberede de ansatte på at de skal få opplæring, hvorfor det er nyttig og relevant for dem og hvor mye tid de kan forvente at det vil ta.

Sett av tid til opplæring

Vi legger opp til følgende tidsbruk på innholdet i opplæringspakken:

eLæring: Åtte moduler av to-fire minutter per modul. To moduler i uken. Elæringsmodulene knyttes opp mot veiledninger på nettvett.no slik at de ansatte kan lese mer om temaet og finne tilbake til rådene senere.

Presentasjon til internt bruk: Presentasjonen er laget for å kunne deles opp i korte fellessamlinger hver uke, hver på ca 15 minutter. Eventuelt kan dere velge å ha en lengre fellessamling der dere går gjennom alt innholdet på ca en time. Presentasjonen bør holdes av leder eller sikkerhetsansvarlig. Sammen med opplæringspakken får dere også en Kahoot. Vår erfaring er at denne gir en engasjerende og lærerik avslutning på presentasjonen.

Resten av innholdet i opplæringspakken: Plakater, kort, brosjyrer og filmer (i tillegg til andre sikkerhetspåminnelser som dere kan bestille i nettbutikken) er hjelpemidler dere kan bruke til å repetere budskapet. Plakater kan for eksempel henges opp i fellesarealer og på toalettet. Sikkerhetspåminnelser, kort og brosjyrer kan deles ut på felles samlinger eller legges på den ansattes pult, eller i skap eller i posthyller. Filmer kan for eksempel vises på skjermer i resepsjonen eller på intranett.

Trenger du flere råd har Sans Insititute, Securing the Human god veiledning for hvordan man kan planlegge bevistgjøringskampanjer.

Les mer om opplæringspakken

 

Bestill opplæringspakken

Kartlegging av effekten av opplæringen

For å se om opplæringen har hatt noen effekt lønner de seg å legge opp til en kartlegging av eller måling av resultater etter at kampanjen er gjennomført. Resultatene kan dere bruke til å videreutvikle og forbedre internopplæringen og trolig også vise at investeringen i opplæringen har hatt verdi.

Hos Sans Institute, Securing the human, får man gode råd og eksempler på hvordan man kan måle resultater av opplæring.

Informasjonssikkerhetskultur omtales som summen av våre verdier, meninger, holdninger, interesser, kunnskap, skikker og handlinger. Det er gjort mye arbeid og forskning knyttet til å kartlegge ulike former for sikkerhetsadferd. Samtidig er det gjort lite for å avdekke hvilke faktorer som påvirker handlingsmønstrene.

NorSIS har derfor utviklet en metode for å kartlegge nettopp faktorene som påvirker  informasjonssikkerhetskultur. Dette verktøyet tilbyr vi til bedrifter. En slik kartlegging kan enten gjennomføres én gang, eller den kan for eksempel gjøres før og etter opplæringstiltak.

Les mer om kartlegging av informasjonssikkerhetskultur