Awareness er et første men ikke sidste skridt
Mange myndigheder og virksomheder har de seneste år fokuseret på at oplyse og skabe awareness blandt de ansatte om den korrekte håndtering af digitale trusler. Opgaven med at skabe awareness er forankret i ISO 27001-standarden.
Awareness er imidlertid et første men ikke sidste skridt i at gennemføre tiltag, der skaber en ønsket adfærd. En god sikkerhedsadfærd handler ikke kun om medarbejdernes viden, kompetencer og intentioner. Det handler også om at gøre den ønskede sikkerhedsadfærd attraktiv og nem, så valgene ikke forstyrrer eller forsinker medarbejdernes primære funktion.
Center for Cybersikkerhed og Digitaliseringsstyrelsen har udarbejdet en vejledning til at arbejde med adfærdsindsatser på cyber- og informationssikkerhedsområdet.
Læs Metode til adfærdsindsatser indenfor cyber- og informationssikkerhed
I filmen præsenteres, hvordan man skaber adfærdsændringer, hvor der er mest fokus på kommunikations- og uddannelsesindsatser. Undervejs i filmen kan du teste din viden.
Et adfærdsændrende tiltag kan både bestå af uddannelses- og kommunikationsindsatser og/eller tekniske og organisatoriske foranstaltninger. Hvis I fx ønsker, at medarbejderne benytter længere kodeord, så vil en plakat med det rådet om langt kodeord sandsynligvis være mindre effektfuld. En teknisk foranstaltning, der kun accepterer lange kodeord, vil derimod være effektfuldt.
Inspiration til phishing kampagne
Se et eksempel på hvordan man kan igangsætte en phishing-kampagne, der effektivt kan ændre medarbejderes adfærd.