Denna artikel tar upp utmaningarna med att lära ut och främja säkerhetsmedvetenhet i dagens digitala värld. Genom att använda online-kurser och simulerade cyberattacker, strävar vi efter att göra användare medvetna om deras roll inom cybersäkerhet. Artikeln belyser fem kärnutmaningar: kunskapsförmedling, bibehållande av kunskap, praktisk tillämpning, kundrelationer och användarrelationer – och hur vi på datorsäkerhetsföretaget Nimblr hanterar dem.
Vi är lärande individer, födda med förmågan att lära av egna och andras erfarenheter. Vi har lärt oss allt vi kan, nästan allt vi gör samt hur vi ska förstå och interagera med vår omvärld. Trots vår inlärningsförmåga är det inte alltid helt okomplicerat att lära ut. Även om lärandet kan vara både belönande och motiverande, måste kunskap förmedlas på ett sätt som möter inlärningen. Vårt uppdrag på Nimblr är att lära ut säkerhetsmedvetenhet (Security Awareness, SA) till våra användare via online-kurser och simulerade cyberangrepp. Många cybersäkerhetsincidenter uppstår på grund av användarnas misstag och brist på kunskap, och det är därför mycket viktigt att hjälpa användare att förstå deras betydelse när det gäller cybersäkerhet. Ett effektivt utbildningsprogram i SA stärker användarnas medvetenhet om de säkerhetsrisker som deras beteenden kan medföra, och belyser misstag som användare ofta begår, till exempel när de hanterar e-post, surfar på internet eller hanterar hårdvara. Att konstruera en effektiv SA-tjänst fordrar betydligt mer än att bara rada upp instruktioner systematiskt. Här följer fem specifika utmaningar förknippade med förmedlandet av säkerhetsmedvetenhet, samt beskrivningar av vårt förhållningssätt och hanteringsstrategier när det gäller dessa utmaningar.
Den första utmaningen: Kunskapsförmedling
Online-lärande har gjort det möjligt att övervinna begränsningar beträffande tid och plats, men fordrar hög motivation hos deltagarna på grund av den begränsade sociala interaktionen. Motivationsfrågan är särskilt relevant för den sortens SA-utbildning som vi bedriver, där kunderna beställer en utbildning som deras anställda, slutanvändarna, sedan förväntas genomföra. Inlärningen sker således inte på självvald basis, utan utgör ett extra arbetsmoment för användarna. Det är därför förståeligt att användare uppfattar utbildningen som en sekundär, lågprioriterad uppgift. Eftersom framgången med SA i hög grad beror på hur väl användarna accepterar utbildningsverktyget är vår utmaning att öka deras engagemang och att göra utbildningen relevant, intressant och tidseffektiv. Här får vi inte glömma det primära uppdraget, vilket är att ge användarna lämplig och relevant kunskap för att möjliggöra en beteendejustering i säkerhetsmedveten riktning. Läromålet är således ett processmål snarare än ett examensmål. En viss nivå av baskunskaper är nödvändig. Om användaren exempelvis inte vet att Microsoft inte aktivt ringer upp kunder för att tala om att deras dator är infekterad av virus är det mycket troligare att användaren uppfattar samtalet som legitimt. När tillräcklig kunskapsnivå är uppnådd blir dock vaksamhet och träning viktigare än faktakunskaper.
Vi har hittills valt att inrikta kursinnehållet på vad alla inom organisationen behöver känna till. Vi har noterat att användare är mindre benägna att ta till sig kunskap från ett SA-program om de överväldigas av för mycket information och om programmet kräver en stor tidsinvestering. Detta kan istället resultera i minskad motivation att lära sig och mindre effektiv kunskapsbehållning. Utbildningen ska således aldrig ta mer tid i anspråk än nödvändigt – vanligtvis mindre än en halvtimme per månad – och undvika informationsöverbelastning. Vidare strävar vi efter att hålla en konstruktiv och stödjande ton och göra inlärningen intressant och levande med hjälp av verkliga exempel, illustrationer och humor.
Andra utmaningen: Bibehållande av kunskap
Säkerhetsmedvetenhet är inte resultatet av en enstaka träningsinsats, utan en kontinuerlig process som strävar efter att öka användarnas medvetenhet om risker, hot och hur deras individuella handlingar kan påverka organisationens totala riskexponering. Av central betydelse för denna process är att användare bibehåller sin kunskap över tid samt att kunskapen uppdateras i takt med den snabba teknologiska utvecklingen. På Nimblr bemöter vi denna pedagogiska utmaning främst genom s.k. “spaced repetition”, en inlärningsteknik som innebär att användarnas tidigare kunskaper friskas upp med jämna mellanrum.
Tredje utmaningen: Görandet
Detta hänger ihop med den förra utmaningen. Säkerhetsmedvetenhet är inte någonting vi har, utan något vi gör. Säkerhetskunskap saknar värde om det inte leder till att användare förstår vikten av informationssäkerhet, är medvetna om potentiella hot och motiverade att lära sig och implementera rätt säkerhetsbeteenden. Användare behöver förstå varför SA är viktigt, både för den egna och för organisationens säkerhet, samt träna in säkerhetsfrämjande rutiner med utgångspunkt i den egna organisationskontexten. SA-utbildningen behöver således integreras i den dagliga verksamheten. Vi är måna om att utbildningen utformas på ett sätt som tillåter den att löpa parallellt med användarens normala arbetsuppgifter. De simulerade angrepp som vi erbjuder som primära träningsredskap är anpassade efter kundspecifika variabler, och följs upp med feedback och påminnelser. Genom att göra utbildningen personligt relevant och integrerad i användarens verklighet vill vi främja ett tillväxtinriktat tankesätt, där deltagarna upplever att deras förmågor utvecklas genom övning och där misstag ses som inlärningsmöjligheter.
Fjärde utmaningen: Kundkontakten
För att användaren ska kunna se sina misstag som lärotillfällen fordras att organisationen har samma inställning. När säkerhetsmisstag leder till utpekanden och bestraffningar blir säkerhetskulturen lidande. I en sådan arbetsmiljö försöker användare hemlighålla sina klavertramp vilket ofta leder till att incidenter och säkerhetsbrister åtgärdas för sent. Misslyckanden bör självfallet inte eftersträvas för sin egen skull, men kan ge värdefulla insikter, främja problemigenkänning, uppmuntra organisatorisk flexibilitet och erbjuda erfarenhet för att hantera problem i framtiden. En organisations förmåga att etablera ett klimat som främjar lärande och stödjer individuell utveckling är av enorm betydelse för en SA-utbildnings effektivitet. Här begränsas vår roll till att ge användare och kunder den kunskap och beredskap som behövs för att skydda sig själva från säkerhetsmisstag och cyberangrepp. Framgången med säkerhetsmedvetenhet beror i hög grad på hur väl kunden accepterar verktygen. Ibland kan organisationer betrakta utbildning som en kostnad snarare än en investering. En sådan inställning leder till att de endast uppfyller minimikraven för utbildning, vilket inte är tillräckligt för att skapa en stark säkerhetskultur. Chefer spelar en avgörande roll i detta sammanhang. De behöver inte bara förmedla effektiva och engagerande budskap om cybersäkerhet, utan också föregå med gott exempel.
Femte utmaningen: Användarrelationerna
Ett effektivt och framgångsrikt ramverk för SA online levererar inte bara innehåll, utan fokuserar även på att skapa en positiv, stödjande och engagerande inlärningsmiljö, där deltagarna är i centrum för sin egen inlärning. Inom traditionellt e-lärande poängteras ofta vikten av att både användare och utbildare uppfattas som ”riktiga personer” i medierad kommunikation, men i fallet SA-utbildning är detta mer komplicerat. Som tidigare nämnts har våra användare blivit ålagda att genomgå utbildningen av sina arbetsgivare, våra kunder. Relationen mellan oss och våra användare bör således genomsyras av lyhördhet och respekt för användarnas integritet. Vi behöver måna om sekretess och personuppgiftsskydd; vi profilerar inte våra användare i onödan och samlar inte heller in mer användarinformation än absolut nödvändigt för att kunna erbjuda interaktiva kurser och simuleringar. På samma gång som vi diagnosticerar organisationens säkerhetsberedskap och rapporterar om användarnas kursdeltagande och säkerhetsefterlevnad strävar vi efter att föra en transparant dialog med användarna om vad som rapporteras och varför.
Sammanfattningsvis är SA en cyklisk process av medvetenhet, träning och utbildning på både individuell och organisatorisk nivå, och uppdraget att lära ut säkerhetsmedvetenhet innebär specifika och lärorika utmaningar när det kommer till alla dessa faktorer. Detta är vår läroprocess. Vi är, när allt kommer omkring, lärande individer, och lärandet fortsätter.
Martin Karlqvist är Online Behavioural Specialist på Nimblr.
Jonas Hedbäck är Account manager på Nimblr.
