Markedsplassen for skytjenester (MPS) har nylig avsluttet et pilotprosjekt som utforsket nytteverdien av en nettbasert tjeneste for bevisstgjøring og opplæring innen cybersikkerhet og personvern for ansatte og ledere innen offentlig forvaltning.
Målsetning med prosjektet
Formålet med utprøvingen var å undersøke hvordan e-læring innen cybersikkerhet og personvern kan bidra til å bygge kompetanse og styrke sikkerhetskulturen i virksomhetene.
Konklusjon
Basert på resultatene fra utprøvingen, anbefaler prosjektet at det gjennomføres en anskaffelse av en slik tjeneste, med hensyn til fleksibilitet, segmentering, integrasjon, opplæring og pris. En slik tjeneste vil være et viktig verktøy for å styrke sikkerhetskulturen og redusere risikoen for cyberangrep og personvernbrudd i det offentlige Norge.
Opprinnelig meldte 19 virksomheter interesse for programmet, hvorav 17 deltok i utprøvingen. Til sammen var det 11.118 deltakere, hvor 18% gjennomførte hele kurset, 19% gjennomførte deler av kurset, og 62% ikke gjennomførte noen del av kurset. Det ble gjennomført 2 fysiske samlinger, flere on-line møter og en avsluttende spørreundersøkelse.
Viktige funn
Utprøvingen av sikkerhet- og bevisstgjøringstjenesten var vellykket, og viste at det er et behov og en interesse for en slik tjeneste i offentlig sektor. Tjenesten ble oppfattet som relevant, nyttig, brukervennlig og tidsbesparende av deltakerne, og bidro til å øke kompetansen og bevisstheten innen informasjonssikkerhet og personvern i virksomhetene. Tilbakemeldingene fra deltakerne ga også verdifulle innspill til hvordan tjenesten kan forbedres og tilpasses ulike behov og forventninger.
Det bemerkes:
- Flere deltakere mener at tjenesten er nyttig for å kartlegge deres nåværende situasjon og identifisere områder som trenger forbedring.
- Noen virksomheter mener at tjenesten bidrar til å øke bevisstheten om sikkerhetsrisikoer og trusler, samt hvordan de kan forebygges eller håndteres.
- Tjenesten gjør at både ledelsen og ansatte blir mer involverte i sikkerhetsarbeidet og skaper en felles forståelse og ansvar.
- Noen deltakere forslår at tjenesten kunne tilpasses mer til spesifikke behov og sektor, og at det kunne inkludere mer veiledning og anbefalinger.
Veien videre
Det anbefales å videreføre prosjektet med å etablere en eller flere rammeavtaler for en sikkerhet- og bevisstgjøringstjeneste basert på utprøvingen.
Rammeavtalen bør legge til rette for fleksibilitet til å tilpasse avrop etter virksomhetens behov, og hovedfokus bør ligge på tjenester som kan dekke behovet i bredden av offentlig sektor, inkludert for mindre virksomheter.
For å imøtekomme de identifiserte behovene innen sikkerhet og bevisstgjøring, anbefales det å anskaffe et verktøy og/eller en tjeneste som dekker følgende:
- Grunnleggende cybersikkerhet: Et verktøy som inkluderer moduler som dekker phishing, sosial manipulering, passordsikkerhet, databeskyttelse og samsvar. Disse modulene skal gi en solid grunnleggende forståelse av cybersikkerhet for alle ansatte.
- Avanserte cybersikkerhetstemaer: Leverandører som tilbyr moduler om avanserte cybersikkerhetstemaer, inkludert standarder, beste praksis, risikostyring, regelverksoverholdelse og hendelseshåndtering. Disse modulene bør være utformet for å møte de avanserte læringsbehovene til eksperter og ledere, og sikre at de holder seg oppdatert på de nyeste utviklingene og truslene innen cybersikkerhet.
Innholdet bør oppdateres jevnlig for å reflektere utviklende regelverk, relevante industristandarder og nye trusler, slik at lærende får den mest relevante og oppdaterte informasjonen.