NorSIS har undersøkt hvilken effekt opplæring i informasjonssikkerhet gir.
Årets sikkerhetsmåned nærmer seg raskt, og mange sikkerhetsansvarlige i norske bedrifter og virksomheter vurderer nå om de skal kjøpe opplæringspakker for sine ansatte. Situasjonen kan for mange virke mer alvorlig enn noen gang. Datakriminalitet er i følge politiet nå den 3. mest vanlige kriminalitetstypen i Norge, og nyhetsbildet er daglig preget av alt fra direktørsvindel, digital utpressing, tap av sensitiv informasjon og krenkelser av enkeltpersoner. Opplæring og bevisstgjøring fremstår derfor som helt nødvendig dersom en skal ha en sjanse til å motvirke alt dette, men hva vet vi egentlig om effekten av opplæring i informasjonssikkerhet?
Unikt prosjekt
NorSIS har tidligere fortalt om sitt prosjekt der vi har utviklet en metode for å kartlegge informasjonssikkerhetskultur, både i bedrifter og på nasjonalt nivå. Prosjektet er delvis finansiert av Justis- og beredskapsdepartementet, og delvis av næringslivet. Det er unikt i både nasjonal og internasjonal sammenheng fordi undersøkelsen har stor bredde, og fordi den omfatter mange ulike sektorer og virksomheter. Hele 150.000 personer i Norge har mottatt undersøkelsen.
Kunnskap, kompetanse og læring er sentrale begreper i det vi omtaler som informasjonssikkerhetskultur. Vi har i vår studie både undersøkt hvordan opplæring blir gitt til ansatte i Norge, og hvilken effekt opplæringen har. Seniorrådgiver i NorSIS, Bjarte Malmedal, presenterte denne uken noen av funnene på ISFs høstkonferanse.
Overraskende resultater
NorSIS har avdekket at ca 60% av ansatte i Norge har fått opplæring i informasjonssikkerhet i løpet av de to siste årene. Tallene viser at det er mer vanlig å gi slik opplæring i offentlig sektor. 63% av de ansatte i offentlig sektor har fått opplæring, mens 53% i privat sektor har fått det. Dette betyr at det fremdeles er mye å hente på opplæring i informasjonssikkerhet i både privat og offentlig sektor. NorSIS mener at det er helt avgjørende at alle bedrifter i Norge vurderer å gi sine ansatte opplæring. I vårt digitaliserte samfunn er vi alle avhengige av hverandre. Produkter og tjenester blir i dag til i det vi omtaler som “lange og komplekse digitale verdikjeder”. Kort forklart betyr det at alt henger sammen med alt, og at et sikkerhetsbrudd i en bedrift eller sektor, kan gi svært alvorlige konsekvenser også for andre. Det er nødvendig at alle ansatte har kunnskap og ferdigheter om hvordan en skal være trygg på nett.
En sentral del av vår studie er å få svar på om opplæring i informasjonssikkerhet har en effekt. Får de ansatte mer kunnskap og ferdigheter? Blir deres atferd på nett mer sikker?
Vår studie viser at de ansatte selv mener at de får bedre ferdigheter etter opplæring. Hele 77% mener at ferdighetene blir bedre, mens 10% ikke synes at opplæring har gitt dem økte ferdigheter. Dersom vi undersøker såkalt sikker atferd på nett kan vi innenfor noen området observere en tydelig sammenheng mellom opplæring i informasjonssikkerhet, og sikker atferd. Det betyr for eksempel at de som får opplæring er flinkere til å undersøke om et nettsted er trygt, og de bruker passord på en mye sikrere måte enn de som ikke har fått opplæring. 21,1% av de som ikke har fått opplæring sier at de bruker det samme passordet over alt, mens kun 14,7% av de som har fått opplæring sier det samme. På andre områder kan vi ikke vise til at opplæring har hatt noen effekt på sikker atferd. Dette gjelder spesielt for bruken av sikkerhetsprogramvare, som anti-virus og brannmur, og når det gjelder rutiner for å sikkerhetsoppdatere datamaskiner, nettbrett og mobiltelefoner.
NorSIS er naturligvis kjent med at opplæring i informasjonssikkerhet kan gjennomføres på mange ulike måter, både når det gjelder innhold og fremføringsmetode. Vår metode er ikke spesifikk for en type opplæring, og kan derfor brukes til å evaluere om opplæring virker i alle virksomheter.
Bestill kartlegging til din virksomhet
NorSIS tilbyr kartlegging av informasjonssikkerhetskultur som en tjeneste til bedrifter og virksomheter i Norge, og den kan enten brukes for å kartlegge informasjonssikkerhetskulturen i egen virksomhet, eller for å evaluere effekten av opplæring og andre bevistgjøringsaktiviteter.
Les mer, og bestill opplæring og kartlegging på sikkert.no
NorSIS rapport om Den Norske Informasjonssikkerhetskulturen blir presentert på pressekonferansen den 29.september i forbindelse med Nasjonal sikkerhetsmåned.