Lad medarbejderne game sig til mere it-sikkerhed
Det var noget af en øjenåbner, da resultaterne fra en af vores egne undersøgelser viste, at mange små virksomheder hverken har givet deres medarbejdere firma-computere med hjem (57 pct.) og ej heller givet dem en opdatering på, hvordan de arbejder sikkert hjemmefra (34 pct.).
Det er nemt at pege fingre ad de ansatte, for det er vitterligt ofte dem, der uforvarende kommer til at lukke de ubudne gæster ind. Men når din chef-pegefinger vifter anklagende i retning af medarbejderne, så er der – som man siger – fire fingre, der peger tilbage på dig selv.
Har du modet til at kigge indad, er det første vigtige spørgsmål, du skal stille dig selv: Hvordan træner I egentlig jeres medarbejdere i it-sikkerhed?
Holder I årlige foredrag for alle jeres medarbejdere? Sender I jævnlige mails ud til hele organisationen – måske endda med den samme besked til alle? Målretter I it-sikkerhedstræningen, så den passer til den enkelte medarbejders vidensniveau og arbejdsområde? Gør I det sjovt at lære? Lidt på spidsen, kan man spørge: træner I eller formaner I?
Vi kan nok hurtigt blive enige om, at en receptionist har brug for et andet sæt regler og viden end en økonomichef. Og netop derfor skal du spærre øjnene op, når undersøgelser som The Digital Talent Gap fra CapGemini viser, at hele 42 pct. af medarbejderne synes, at uddannelse på arbejdspladsen er kedeligt – ofte fordi det er for nemt eller for svært. Lærer man, når man keder sig?
Vi bliver ikke bedre til it-sikkerhed, hvis vi fortsætter som før
Når så mange mennesker peger på, at hovedparten af den obligatoriske træning, de skal gennemgå på deres arbejdsplads, er nytteløs og uinteressant, er det værd at lytte til. Vi hører nemlig den samme historie om virksomhedernes it-sikkerhedskurser, hvor folk er trætte af den traditionelle udbyttesvage undervisning i it-sikkerhedens ABC. Awareness, som er det nye(re) sort inden for it-sikkerhedstræning får én på hatten af Sune Gabelgård fra NETS, der for nyligt i Computerworld tørt konstaterede, at: ”Mange arbejder med awareness, problemet er bare, at levetiden for awareness er meget kort.” Jeg er enig!
Derudover er der en anden faktor, der er værd at overveje: Der findes så megen viden og mange regler om it-sikkerhed, at det samlet svarer til flere bibeltunge værker. At finde vej herigennem vil tage ugevis.
Vi skal lege os til læring
Derimod gør spilbaseret it-sikkerhedstræning noget helt andet ved folk. De synes pludselig, at det både er skægt, interessant og lærerigt.
Alligevel oplever jeg virksomheder, der er utrygge ved at bruge elementer fra spilindustrien til at peppe faglig uddannelse op. De tror stadig, at spil kun er noget for børn og teenagere, og at det er nærmest utænkeligt, at voksne, og særligt de øverste ledere, skal lege sig til læring.
I virkeligheden er spilformater og -processer bare virkelig gode indlæringsteknikker – også for voksne.
I stedet for at indføre træning, der kræver, at medarbejderne gnaver sig igennem en forkromet it-sikkerhedshåndbog, bør man i stedet visualisere, så regler og retningslinjer, der passer til den enkeltes funktionsområde, ryger direkte ind på lystavlen og bliver anvendt i en stresset hverdag. For vi ved da godt, at det er nemmere – dog langt fra sikkert – at have den samme adgangskode til alle sine platforme og dele fortrolige dokumenter gennem sin private cloud end at gå gennem den sikre virksomhedscloud.
Så for at ændre medarbejdernes adfærdsmønstre er det nødvendigt at arbejde med motivation og fleksibilitet. Mennesker lærer bedst af deres egne fejl. Men virksomheder har ikke råd til, at medarbejdere begår fejl, de skal lære af – for konsekvensen ved cyberangreb eller datalæk er simpelthen for stor.
I stedet kan man gennem spil lade medarbejderne begå fejl og lære af dem, uden at det skader virksomheden. Ved at se medarbejdere navigere rundt i billeder, checklister og to-dos i form af dilemmaer i en spilsituation, virker it-sikkerhedsuddannelse pludselig ikke så tør og kompliceret. Man risikerer endda, at folk rent faktisk husker det og bliver inspireret til at bruge den nyerhvervede viden i virkeligheden. Det er jo det, der er målet.
Motivér, informér, følg op og gentag
Hvad du skal gå efter, er altså en løsning, der bruger spilelementer, så du kan:
- Opsætte forskellige scenarier, hvor en medarbejder skal vurdere, om en situation, en mail eller et link er sikkert eller ej.
- Lave forskellig slags træning til forskellige typer af medarbejdere. Nogle behøver hel basal træning, så de har stærke passwords og kan genkende en phishingmail. Andre har brug for flere værktøjer, der sikrer systemer, clouds og platforme.
- Bruge forskellige småtests til at identificere medarbejderens vidensniveau og -huller.
- Selv ledere og folk på bestyrelsesniveau kan have godt af en omgang it-sikkerhedstræning. For eksempel kan man gøre brug af en simulator, hvor ledere prøver en dag i CISO’ens sko, hvor de kan se, hvad dennes beslutninger har af indvirkning på resten af virksomheden.
Spilelementer og gamification er en sjov måde at tackle et seriøst problem på. Læring skal føre til langtidsholdbare vaner, og en grundlæggende forståelse for it-sikkerhed skal altså komme fra forskellige formater. Men spilteknikker kan ikke stå alene i uddannelsen af medarbejdere. For at opnå det ønskede vidensniveau skal det integreres som en del af en større læringscyklus og kombineres med et informationsbaseret kursus. Spil skal være desserten, det sjove, gimmicken, mens hovedmåltidet stadig skal være mere informationsbundet.
Men altså, der er jo ingen der siger, at man ikke må spise desserten først.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores debatredaktion på debat@ing.dk
