Hvorfor fejler de fleste awareness kampagner?
Det gør de ofte, hvis man som organisation vælger at se på det som en enkeltstående kampagne og ikke som et forløb. Og hvis man vælger blot at gennemføre det for at kunne dokumentere, at så er det gjort. Dernæst er det også et spørgsmål om indhold, kvalitet og struktur.
It-sikkerhed er lige så meget en adfærdsproces som en læringsproces
Bruger du f.eks. en 20-minutters video til at forklare om phishing for derefter at stille en række spørgsmål og bedømme ud fra det, så har du ikke ændret noget. Awareness handler om at ændre adfærd, at få medarbejderne til at forstå og lære og ikke om (kun) at teste. Hvis formålet kun er at teste, vil et resultat heller ikke lære medarbejderne, hvordan deres handlinger kan påvirke deres organisations it-sikkerhed.
Kend dine medarbejdere
Du bør som i mange andre henseender overveje din målgruppe. Hvem er modtagerne af en awareness kampagne? Det skal være på plads, før du beslutter dig for både indhold og kanaler. Hvilke emner skal der indgå, hvor ofte skal de gentages, og hvordan skal de leveres? En tommelfingerregel er, uanset målgruppe, gør det engagerende. Gør det interaktivt og giv dem muligheden for at ”gennemleve” rigtige scenarier, så de faktisk lærer og forstår. For at styrke hver enkelt aktivitet, bør du overveje at bruge en blanding af forskellige formater, eks.: Blogs, sociale medier, videoer, gaming, quiz og nyhedsmail - evt. med sjove præmier som motivator.
Awareness er ikke en kampagne, det er et forløb
Langt de fleste organisationer udfører årlige tests for at vurdere deres medarbejderes viden om it-sikkerhed. Test er en god idé, men fordi medarbejderne består en test lige nøjagtig den dag, er det ikke ensbetydende med, at de ændrer adfærd. Dernæst er det heller ikke ensbetydende med, at de er opdateret på den næste store trussel. En kontinuerlig awareness forløb øger sandsynligheden for, at medarbejderne er bevidste, har fokus på problematikken og rent faktisk ændrer adfærd.
Et awareness forløb giver dedikerede medarbejdere
Det er måske et modigt statement. Men det er vores erfaring, at medarbejdere, der føler sig fortrolige med viden om it-sikkerhed og det aktuelle trusselsbillede, er mere tilbøjelige til at overholde regler og er mindre tilbøjelige til at forårsage større uheld.
Skift træningsstrategi
Hvis din awareness-kampagne(r) af den ene eller anden grund ikke er succesfulde, så bør du måske overveje din strategi? Hvis du spekulerer på, hvorfor dine medarbejdere endnu ikke har succes med de rigtige vaner, så er det måske på tide at overveje din træningsstrategi og se på om du kender din målgruppe godt nok? Se på dit program og find ud af, om nogle af disse faktorer hæmmer dets succes? Hvis du er interesseret i at få mit besyv med på din awareness-strategi, er du velkommen til at skrive til mig på thomas.wong@nixu.com