Gustav Berghog
Till en början ser det ut som goda nyheter att 85 procent av alla företag med över 1000 anställda har något slags program för cybersäkerhet på plats. Det är en tydligt tecken på att många företagsledningar tar det ökande cyberhotet på allvar, och dessutom tar initiativ för att öka säkerheten. Enligt Immersive Labs-rapporten, är "att stärka cyberkapaciteten" högst upp på listan över strategiska prioriteringar för organisationer under 2023. Och att öka cybermotståndskraften hos säkerhetsspecialister (83 %) och hos alla anställda (75 %) pekas ut som de två högst prioriterade områdena.
Problemet är bara att de flesta av dessa program inte verkar fungera. Enligt rapporten använder sig nästan alla organisationer av olika typer av certifieringar när det gäller cybersäkerhet, men bara 32 procent anser sig själva vara effektiva i sin hantering av cyberhot.
En av framgångsfaktorerna för att skapa en motståndskraftig säkerhetskultur är medvetenhet. För oss på Junglemap, som tillhandahåller regelbunden utbildning för ökad medvetenhet kring cybersäkerhet året runt, kommer rapportens resultat knappast som någon överraskning:
"Klassrumsutbildning erbjuds för sällan för att vara effektiv, och endast 27 procent av de tillfrågade uppger att de får utbildning varje månad."
Det här är också skälet till att nästan hälften (46 %) av de tillfrågade företagsledarna uppger att deras anställda inte vet hur de ska agera om de råkar ut för phishing-mail. Trots åratal av säkerhetsutbildningar och phishingtester.
Slutsatsen jag drar utifrån de här siffrorna är att många organisationer helt måste tänka om kring hur de lägger upp sin utbildning i cybersäkerhet. Tillfälliga klassrumsutbildningar eller traditionell e-learning leder helt enkelt inte till ökad medvetenhet!
Men det gör NanoLearning.
NanoLearning är en metod byggd på tre grundprinciper om lärande: repetition, reflektion och förstärkning. Med lektioner på max 3 minuter, som distribueras till alla medarbetare var tredje vecka året runt, blir lärandet garanterat av. Dessutom ger lektionsfrekvensen utrymme för det som på engelska kallas för the spacing effect och innehållet i lektionerna är designat för att stimulera både reflektion och användning av nyligen inlärda kunskaper.
Mätbara effekter
Inte ens de mest välutformade utbildningarna i cybersäkerhet är en garanti för att helt slippa cyberattacker. Det vi på Junglemap däremot garanterar är att effekterna går att mäta. Det är enligt Immersive Labs-rapporten också något som många organisationer kämpar med:
Nästan hälften (46 %) de tillfrågade IT-säkerhetscheferna säger att de inte har nog med data för att veta om medarbetarna är kunniga nog att stå emot en cyberattack.
För oss är mätbarhet en viktig del när det gäller att skapa en ökad medvetenhet kring cybersäkerhet. Därför innehåller våra utbildningspaket även dynamiska rapporter där chefer och ledare på alla nivåer kan följa upp resultaten från utbildningarna i realtid – och det är något som vi vet är både uppskattat och användbart hos många organisationer. Att bli av med FOFO (Fear Of Finding Out) och istället ta tag i organisationens utmaningar – baserat på fakta – är den bästa vägen framåt.
Så hur ska vi se på certifieringar och efterlevnad av regelverk? När säkerheten i leverantörskedjorna blir allt viktigare, ser vi många små och medelstora företag som kämpar för att visa att de gör sin läxa när det gäller cybersäkerhet.
Och självklart är det viktigt med transparenta certifikat som verkligen visar att organisationen har koll på cybersäkerheten.
Men när det kommer till ökad medvetenhet – då måste de utfärdade certifikaten bekräfta att organisationen har en pågående process. Inte att de har gjort något förut.
Gustav Berghog
Group CEO Junglemap
