Metod, planering och effektmätning - nycklar till framgångsrik utbildning i informationssäkerhet
Vilka metoder ger egentligen bäst effekt för den som vill utbilda sin personal i informationssäkerhet? Israa Fakih, som själv använt NanoLearning i sin roll som säkerhetsspecialist i offentlig verksamhet, genomför nu en studie vid Göteborgs universitet där hon jämför effekten av NanoLearning med andra utbildningsformer.
Oavsett vilken metod man väljer, bygger framgång på planering och effektmätning. Det konstaterade Israa Fakih i ett webinarium tillsammans med Joakim Hejestad, senior rådgivare och affärsutvecklare och Per Lagerström,kommunikationschef på Junglemap.
Nanolearning som komplement
Webinariet inleddes med att deltagarna fick svarade att de använder NanoLearningsom ett komplement till annan utbildning. Något som både Israa och Joakim menarär helt naturligt och att det behövs olika metoder för att täcka in alla behovinom informationssäkerhet.
Några organisationer i Israa Fakihs pågående studie poängtera ratt även om NanoLearning är en effektiv metod för att höja medvetenheten över tid, så finns det behov som inte täcks in. Som t.ex begränsade möjligheter tilldiskussion och reflektion samt svårigheter att täcka avancerade eller specifika behov utifrån olika roller. Israa föreslog att organisationer kan öppna andra forum för frågor och diskussioner för att hantera NanoLearningens begränsningar, och att traditionell utbildning å andra sidan bör kombineras med NanoLearning för bästa effekt.
God planering avgörande
Kan det ”bli för mycket NanoLearning” i en organisation? I en enkät under webinariet var det många deltagare som svarade att de får den reaktionen både från slutanvändare och chefer i organisationen.
Joakim betonade att noggrann planering är avgörande för att undvika att utbildningen upplevs som repetitiv eller överväldigande, och att utbildningen bör bygga på reflektion snarare än ren repetition. Israa lyfte att en bra kommunikationsplan och involvering av ledning och chefer i utbildnings insatser ökar deltagande och engagemang, särskilt om chefer föregår med gott exempel och följer upp utbildningen i arbetsgrupper.
I sin studie får Israa också bekräftat att engagemang och utmaningar varierar beroende på organisationens storlek och ledningens intresse för säkerhetsfrågor, vilket kräver anpassad planering och olika tillvägagångssätt.
Viktigt mäta rätt saker
Webinariet avslutades med en diskussion om svårigheterna med att mäta effekterna av säkerhetsutbildning. Flera deltagare menade att de ser många bevis för att säkerhetsbeteendena förändras i vardagen, medan andra har svårt att se kopplingen mellan genomförd utbildning och ökad säkerhet.
En av organisationerna i studien har satt minskat antal klick i phishing-tester som ett av sina mål med utbildningen. Ett konkret och tydligt mål, men som samtidigt väcker frågan om vad klick i tester verkligen visar. Är det verkligen en mätning på ett verkligt beteende? Både Israa Fakih och Joakim Hejestad menade att mätpunkterna ofta inte speglar det verkliga målet med insatsen och Joakim beskrev exempel där phishingtester med social manipulation ledde till oväntade resultat och ökade diskussioner i organisationen, vilket kan vara mer värdefullt än enbart minskad klickfrekvens.
Israa avslutade med att rekommendera att mätningar och mål bör kommuniceras tydligt och kopplas till policies eller underliggande dokument för att skapa större effekt och engagemang i organisationen.
Israa Fakihs pågående studie beräknas vara färdig i september 2026 och kommer då att finnas tillgänglig via Junglemap.
Fyll i formuläret för att få tillgång till inspelningen av detta webinar:
