Myten om den velutdannede medarbeideren
Årets awareness-kampanje om sikkerhet er nettopp avsluttet. CISO-en sitter i styrerommet og peker på en slide som viser en gjennomføringsgrad på 95 %. Styret nikker tilfreds over at boksen for "menneskelig risiko" nå er krysset av.
Samtidig, i markedsavdelingen, velger en medarbeider bort deres sikre (men tungvinte) fildelingssystem til fordel for en personlig Dropbox. Det er ikke ondsinnet; de har det bare travelt.
Dette kaller jeg for "Treningsparadokset". I vår 2025-undersøkelse blant 2 000 nordiske medarbeidere fant vi ut at kun 5 % aldri hadde mottatt trening. På papiret er deres arbeidsstyrke mer velutdannet enn noen gang før.
Våre data forteller oss imidlertid at trening alene ikke er en mirakelkur. Selv om nesten alle respondenter har gjennomført sin årlige e-læring, innrømmer 25 % at det overhodet ikke har endret adferden deres. Enda mer bekymringsverdig er det at en tredjedel av medarbeiderne fortsatt tror at IT-sikkerhet utelukkende er IT-avdelingens ansvar.
Gapet mellom kunnskap og handling
Jeg snakket nylig med adferdsdesigner Casper Danholt Iuul for å finne ut hvorfor dette gapet eksisterer. Han forklarte at hjernen vår jobber i to moduser: System 1 (rask, intuitiv og styrt av vaner) og System 2 (langsomt, logisk og analytisk).
Policyer og quizer er designet for System 2. De stiller opp de nødvendige reglene og den logiske rammen. Men når en tidsfrist presser på og stressnivået stiger, tar System 1 over. Vi faller tilbake til den enkleste løsningen – vanen – fremfor den policyen vi skrev under på for tre måneder siden.
Nesten 15 % av respondentene var usikre på når de sist mottok instruksjoner. Dette kan tyde på at treningen sannsynligvis bare har vært en "huk av i boksen"-øvelse, fremfor noe som faktisk satt fast. Vi er nødt til å bevege oss mot en integrert tilnærming, hvor policyen ikke bare er et dokument, men en levende del av kulturen.
3 steg du kan ta i dag
- Fortell dem hva de SKAL gjøre: Bytt ut teknisk sjargong med konkrete instruksjoner. I stedet for å forklare skadevare (malware), prøv: "Klikk kun på lenker fra folk du kjenner". Ved å fjerne den kognitive motstanden blir den sikre veien den enkleste.
- Segmenter målgruppene dine: En utviklers hverdag er annerledes enn en resepsjonist. Gå bort fra "one-size-fits-all" og skreddersy innholdet til de spesifikke daglige oppgavene. Relevante verktøy er alltid mer effektive enn obligatoriske foredrag.
- Se på deres "friksjonsfaktor": Medarbeidere setter regler til side for å forbli produktive. Hvis du ønsker at folk skal rapportere phishing, skal de ikke lete etter en IT-håndbok – gi dem en "Rapporter"-knapp direkte i innboksen. Når du reduserer innsatsen, skifter sikkerhet fra å være en bevisst anstrengelse til å bli en uanstrengt vane.
For mer innsikt i hvordan du kan bygge bro over gapet mellom kunnskap og handling, kan du se hele webinaret mitt med Casper Danholt Iuul her.
Du kan også laste ned vårt whitepaper om security awareness og ansattes atferd, hvor vi går i dybden på hvordan organisasjoner kan omsette kunnskap til sikker praksis.
Sikkerhet er ikke en statisk sjekkliste du går gjennom én gang i året; det er en sammenhengende reise. Det starter med en forståelig policy, fortsetter med et engasjerende awareness-program og lykkes når reglene har blitt til rutiner – selv på en travel arbeidsdag.
Styrk security awareness
Se hvordan NorthGRC hjelper deg med å dele policies, trene ansatte og følge opp awareness på tvers av organisasjonen.
Les mer om Awareness-modulen
