2023 Cost of Databreach Report från IBM är en fascinerande och nyttig läsning. Trots att det ser lite bättre ut här i Skandinavien visar den med all önskvärd tydlighet att både kostnaderna för dataintrång och tiden det tar att upptäcka och åtgärda intrången på allvar utgör ett hot mot organisationers hela verksamhet.
Utifrån det perspektivet är det nästan lite märkligt att bara hälften av de tillfrågade företagen i rapporten uppger att de är beredda att öka sina investeringar i cybersäkerhet...
Utbildning sänker kostnader
Men viktigare är att fokusera på vad som verkligen gör nytta. Enligt IBM:s rapport är de tre viktigaste faktorerna för att minska kostnaderna av dataintrång i tur och ordning
1. DevSecOps – dvs en metodik som innebär att säkerhetsaspekter integreras tidigt i utvecklingsprocessen för mjukvara.
2. Cybersäkerhetsutbildning av anställda.
3. Planer och system för hantering av incidenter.
På Junglemap arbetar vi med NanoLearning som metod för att öka och bibehålla medvetenheten hos alla anställda i företag och organisationer, året runt. Under 2023 har vi också lanserat en utbildning baserat på ramverket OWASP Top 10, riktat speciellt till produkt- och utvecklingsteam. Det är något som efterfrågas hos många av våra kunder, och uppenbarligen helt i linje med vad IBM:s rapport pekar ut som strategiskt viktigt.
Öka skyddet mot phishing
Enligt IBM:s rapport är phishing och stöld av digitala identiteter fortfarande de två vanligaste typerna av initiala cyberattacker. Och här spelar en ökad vaksamhet och medvetenhet hos alla anställda en nyckelroll, det är de förebyggande mänskliga brandväggarna som hela tiden behöver stärkas.
Men även om just utbildningar i cybersäkerhet kommer högt upp på de insatser som företag planerar att göra, behöver ledningarna också fundera över vilken typ av utbildningsmetoder man väljer. Här räcker det inte med att kunna kryssa i en ruta efter en genomförd utbildningsdag eller föreläsning. Det gäller att skapa medvetenhet på riktigt.
Jag har i tidigare inlägg lyft fram bristen på fungerande cybersäkerhetsutbildningar.
Enligt 2023 Cyber Workforce Resilience Trend Report har över 85 procent av alla organisationer olika typer av program för ökad cybersäkerhet på plats. Men bara 32 procent är nöjda med hur det fungerar.
Siffror från Gartner visar på ett liknande glapp mellan målsättningen med utbildningar och hur det ser ut i verkligheten. Hela 84 procent av alla organisationer uppger att de vill uppnå mätbara förändringar hos sina anställda. Men bara 43 procent uppger att de metoder de använder faktiskt mäter förändringar.
Att utbildning i cybersäkerhet lyfts fram som en strategiskt viktig insats är förstås glädjande. Minst lika viktigt är att företag och organisationer också funderar över vilka metoder de tänker använda sig av.
Varje säkerhetsmedveten företagsledning bör säkerställa att deras säkerhetsutbildning verkligen genomförs och framför allt - att den leder till mätbara beteendeförändringar och ökad medvetenhet.
Gustav Berghog
