Fokus på användarens upplevelse
Studien bygger på så kallade semistrukturerade intervjuer med sju medarbetare från två olika företag som använder Junglemap för cybersäkerhetsutbildning. Analysen har genomförts med hjälp av Blooms taxonomi som kartlägger olika kunskapsnivåer – från att komma ihåg och förstå, till att kunna applicera, analysera och skapa nytt.
Samtliga respondenter uppnådde grundläggande kunskapsnivåer. De kom ihåg, förstod och kunde tillämpa sina kunskaper. Några visade också djupare reflektion kring innehållet och hur det kunde förbättras.
Fyra gemensamma insikter från båda företagen
1. Stress påverkar efterlevnad – men inte träningen
Flera respondenter menade att det inte är utbildningen i sig som upplevs som stressande, utan att arbetsrelaterad stress gör det svårt att tillämpa kunskapen i vardagen.
2. Rätt nivå – även om den känns grundläggande
Många tyckte att utbildningen låg på en låg nivå, men förstod poängen: det säkerställer en gemensam kunskapsbas. Högre nivåer hade riskerat att utesluta mindre tekniskt erfarna medarbetare.
3. Interaktiva moment efterfrågas
Lektioner med quizzes och interaktivitet uppskattades mer än rena simuleringar. Det fanns även intresse för gamification, även om det inte var ett centralt önskemål från början.
4. Utbildningen förändrar beteende
Respondenterna beskrev hur deras kritiska tänkande vid e-post hade ökat. De dubbelkollar nu avsändare, språk, logotyper och sammanhang i mycket högre utsträckning än tidigare.
Ytterligare insikter
Intervjuerna pekar också på ett par områden som är viktiga att organisationer prioriterar för att phishingsimuleringar skall få en organisatorisk effekt som stärker säkerhetskulturen.
- Feedback saknas vid rätt agerande: Användarna får återkoppling när de klickar på fel mejl, men saknar positiv feedback när de gör rätt – något som efterfrågas för att stärka självkänsla och lärande.
- Motivationen ökar när kunskapen går att använda privat: Att kunna applicera säkerhetsprinciper även i privatlivet stärker engagemanget för utbildningen.
- Rapportering av phishing är otydlig: Flera respondenter visste att de borde rapportera misstänkta mejl, men var osäkra på hur, trots att rutiner fanns.
Slutsats
Phishingträning som fungerar måste anpassas till både människor och sammanhang. Användarna uppskattar låga trösklar, konkret tillämpning och interaktivitet – men också feedback, variation och tydliga instruktioner.
För som någon av de intervjuade konstaterade:
“Det är bättre att åka dit i en simulering än att sänka hela företaget i verkligheten.”