Træningsplan for phishing og social engineering

At træne ens medarbejdere i IT-sikkerhed er en essentiel del af alle organisationers IT-sikkerhedsarbejde. Mens GDPR og andre IT-sikkerheds frameworks kræver denne form for træning, hjælper det også med at skabe en stærk IT-sikkerhedskultur. Men at vælge, hvad man skal dække i disse kurser, og hvordan man planlægger kurser på en måde, der giver mening, kan være en udfordring for selv den mest erfarne IT-sikkerhedshaj. Mange synes, at phishing er en af de vigtigste emner at dække og i denne blogpost snakker vi om, hvordan man kan lave træningsforløb omkring phishing os social engineering.

Hvorfor dække phishing og social engineering i IT-sikkerheds træning?
Jeres medarbejdere er jeres vigtigste forsvar, når det kommer til at beskytte vores organisationers datasikkerhed, men de kan også være jeres største svaghed pga. menneskelige fejl. Vi bruger alle en masse tid på at checke e-mails, og derfor prøver IT-kriminelle at udnytte godtroende medarbejdere med phishing e-mails. Desværre kræver det kun én medarbejder, der falder for en phishingmail for at kompromittere hele organisations sikkerhed.

Phishing er derfor en af de største IT-sikkerhedstrusler, som virksomheder står overfor hver dag. Derfor er det vigtigt, at alle medarbejdere ved, hvordan man genkender en phishingmail, hvad man skal gøre, når man spotter en.

Udover phishing, så er det vigtigt at lære dine medarbejdere om andre social engineering taktikker. IT-kriminelle bruger social engineering metoder til at manipulere vores opførsel og få os til at føle, at vi er nødt til at tage handle, som at klikke på en phishingmail. Ved at lære dine medarbejdere om social engineering taktikker vil de lettere genkende angreb, når metoderne bliver brugt mod dem.

At træne dine medarbejdere i disse emner er en effektiv måde at øge awareness mellem dine kollegaer. Udover informativ træning, så anbefaler vi også praktiske øvelser, så som phishing øvelser.