Utbildning av personal för medvetenhet om GDPR

Utbildning för personalmedvetenhet är en viktig del av GDPR (General Data Protection Regulation), men vet du hur det fungerar i praktiken?

1. Tänk på dina krav

Det finns inget enda tillvägagångssätt för att öka medarbetarnas medvetenhet. Varje organisation behöver anpassa sitt program baserat på flera faktorer, framför allt storlek.

Ju färre anställda du har, desto mer praktisk kan du vara och desto mer tid behöver du för att se till att alla förstår vad de gör.

Nackdelen är att färre människor i allmänhet betyder färre resurser, vilket gör utbildningsalternativ dyrare per person jämfört med större företag.

Du måste också planera dina träningspass mer noggrant, eftersom små organisationer inte har råd att utbilda tiotals eller fler personer samtidigt.

2. Skapa mått för framgång

Det är inte en bra idé att genomföra ett medarbetarprogram för medarbetare om du inte vet om det fungerar eller inte. Det är därför du måste ställa in mätbara mål.

Du kan till exempel säga att du vill ha en minskning av andelen säkerhetsincidenter på grund av mänskliga fel under hela året, eller att du inte vill rikta dig mot framgångsrika nätfiskebedrägerier.

Helst är dessa siffror relaterade till dina nuvarande informationssäkerhetsnivåer. Men du kanske inte spårar dessa uppgifter ännu. Detta är särskilt troligt om det är första gången du seriöst överväger en medarbetares medvetenhet.

Lyckligtvis finns det en enkel lösning för att sätta upp kortsiktiga mål. Ta en titt på hoten du möter varje månad, till exempel, och skapa långsiktiga mål baserat på det.

3. var specifik

Utbildning av anställda handlar om mycket mer än att bara sätta ner sina anställda och lära dem riskerna med informationssäkerhet.

Snarare bör det vara en detaljerad och pågående process för att visa anställda hur risker kan uppstå och hur dina policyer och processer hanterar dessa risker.

Informationsteknikavdelningen erbjuder ett antal resurser som du kan använda för att utbilda anställda, inklusive böcker, affischer och anpassade utbildningskurser.

4. Involvera dina anställda

Som med föregående punkt, bör utbildning av anställda inte bara vara en övning som anställda går igenom. Organisationen förväntar sig att alla kommer ihåg alla punkter som tas upp. Det bör vara en pågående process som ingår i din organisations kultur.

Att engagera anställda på olika sätt är avgörande i denna process, och människor lär sig på olika sätt. Till exempel föredrar vissa människor att lyssna medan andra föredrar att skriva ner eller visa informationen visuellt.

Företagen bör använda så många av dessa metoder som möjligt. E-lärande kurser är bra för interaktivt lärande, affischer ger visuella instruktioner och e-postuppdateringar om instruktionerna är användbara och enkla att komma åt.

5. Fokusera på beteendet, inte kunskapen

Anställda klarar testet annorlunda, men det är helt annorlunda när de testar sin kunskap i den verkliga världen.

Det tydligaste exemplet på detta är nätfiske: De flesta kan upptäcka bedrägliga e-postmeddelanden i testinställningarna. Men när de är på kontoret en hektisk arbetsdag kan de öppna en skadlig länk eller bilaga utan att ifrågasätta dess giltighet.

För att överbrygga klyftan mellan kunskap och praktik bör organisationer kontextualisera pedagogiskt innehåll och skapa rollspel eller realistiska fallstudier så mycket som möjligt.

Du kan till exempel testa dina anställdas förmåga att upptäcka phishing-e-postmeddelanden med en simulerad attack.