Myten om den veluddannede medarbejder
Årets awareness-kampagne om sikkerhed er netop lukket. CISO’en sidder i bestyrelseslokalet og peger på en slide, der viser en gennemførelsesrate på 95 %. Bestyrelsen nikker tilfredst; checkboksen ud for "menneskelig risiko" kan nu krydses af.
Imens, i marketingafdelingen, sætter en medarbejder jeres virksomheds sikre (men besværlige) fildelingssystem til side til fordel for en personlig Dropbox. Det er ikke ondsindet; de har bare travlt.
Dette kalder jeg for "Træningsparadokset". I vores 2025-undersøgelse blandt 2.000 nordiske medarbejdere fandt vi ud af, at kun 5% aldrig havde modtaget træning. På papiret er jeres arbejdsstyrke mere veluddannet end nogensinde før.
Vores data fortæller os dog, at træning alene ikke er en mirakelkur. Selvom tæt på alle respondenter har gennemført deres årlige e-learning, indrømmer 25%, at det overhovedet ikke har ændret deres adfærd. Endnu mere bekymrende er det, at en tredjedel af medarbejderne stadig tror, at it-sikkerhed udelukkende er it-afdelingens ansvar.
Kløften mellem viden og handling
Jeg talte for nylig med adfærdsdesigner Casper Danholt Iuul for at finde ud af, hvorfor denne kløft eksisterer. Han forklarede, at vores hjerner arbejder i to tilstande: System 1 (hurtig, intuitiv og styret af vaner) og System 2 (langsom, logisk og analytisk).
Politikker og quizzer er designet til System 2. De opstiller de nødvendige regler og den logiske ramme. Men når en deadline presser sig på, og stressniveauet stiger, tager System 1 over. Vi falder tilbage til den nemmeste løsning – vanen – frem for den politik, vi skrev under på for tre måneder siden.
Næsten 15% af respondenterne var usikre på, hvornår de sidst modtog instruktioner. Dette kunne tyde på, at træningen sandsynligvis blot har været en "tjek-boksen"-øvelse frem for en noget der faktisk sad fast. Vi er nødt til at bevæge os mod en integreret tilgang, hvor politikken ikke bare er et dokument, men en levende del af kulturen.
3 skridt du kan tage i dag
- Fortæl dem, hvad de SKAL gøre: Udskift teknisk jargon med konkrete instruktioner. I stedet for at forklare malware, så prøv: "Klik kun på links fra folk, du kender". Ved at fjerne den kognitive modstand bliver den sikre vej den nemmeste.
- Segmentér dine målgrupper: En udviklers hverdag er anderledes end en receptionists. Gå væk fra "one-size-fits-all" og skræddersy indholdet til de specifikke daglige opgaver. Relevante værktøjer er altid mere effektive end obligatoriske foredrag.
- Se på jeres "friktionsfaktor": Medarbejdere sætter regler til side for at forblive produktive. Hvis du ønsker, at folk skal rapportere phishing, skal de ikke lede efter en it-håndbog – giv dem en "Rapportér"-knap direkte i deres indbakke. Når du reducerer indsatsen, skifter sikkerhed fra at være en bevidst anstrengelse til at blive en ubesværet vane.
For mere indsigt i, hvordan du kan bygge bro over kløften mellem viden og handling, kan du se hele mit webinar med Casper Danholt Iuul her.
Du kan også downloade vores whitepaper om security awareness og medarbejderadfærd, hvor vi går i dybden med, hvordan organisationer kan omsætte viden til sikker adfærd i praksis.
Sikkerhed er ikke en statisk tjekliste, du gennemgår én gang om året; det er en sammenhængende rejse. Det starter med en forståelig politik, fortsætter med et engagerende awareness-program og lykkes, når reglerne er blevet til rutiner - selv i en travl arbejdsdag.
Styrk security awareness
Se hvordan NorthGRC hjælper dig med at dele policies, træne medarbejdere og følge awareness på tværs af organisationen.
Læs mere om Awareness-modulet
