Kundecase: Awarenesstræning har ændret sikkerhedsadfærden hos Lemvigh-Müller


Lemvigh-Müllers strategi med masser af awarenesstræning, som bliver tilpasset virksomhedens virkelighed, samt et fokus på overlappet mellem it-sikkerhed i privat- og arbejdsregi fungerer efter hensigten og nedbringer antallet af klik i phishingmails.

 Lemvigh-Müller er Danmarks største stål- og teknikgrossist med 1.400 medarbejdere, som hver dag sikrer, at varer fra tusindvis af producenter, bliver samlet, pakket og leveret rundt om i hele Danmark. Med en klar bevidsthed om, at en kompromittering reelt set kan være ét forkert klik væk, har Lemvigh-Müller valgt at komme truslerne i forkøbet ved at undervise medarbejderne i it-sikkerhed. Gennem de seneste to år har virksomheden tilkøbt it-sikkerhedsydelser fra IFCR, som både underviser i og tester deltagernes forståelse for it-sikkerhedsudfordringer.

 ”Vores valg faldt på IFCR’s awarenesstræning og phishingplatform, fordi de to ydelser supplerer hinanden. Med awarenesstræningen får medarbejderne den grundlæggende viden om sikkerhedsrisici, og med phishingplatformen får alle i Lemvigh-Müller mulighed for at teste, om undervisningen har båret frugt, og om vi kan anvende den tillærte viden i praksis,” siger CISO hos Lemvigh-Müller, Claus Bartholin.

 Træningen i awareness, som Lemvig-Müller har købt, foregår i Alice og Bob-universet, og det er her, medarbejderne bl.a. lærer at spotte en phishingmail og at håndtere GDPR korrekt. Hos Lemvigh-Müller har de besluttet, at medarbejderne i år skal igennem femten træningsmoduler, grupperet i fem træningsdele som udsendes periodisk med forskellige temaer fra IFCR.

 ”IFCR har lige nu 15 standard awarenessmoduler, og inden vi begyndte på træningen i Lemvigh-Müller, samarbejdede vi med IFCR om, hvordan rækkefølgen på modulerne var mest logisk og optimal. For at træne opmærksomheden på phishingangreb, sender vi hver måned phishingmails ud til alle medarbejdere. Phishingmailens indhold er enten baseret på en af vores egne ideer til et tema, eller også får IFCR frit slag til at finde på noget relevant. Så sender de en test til os, som vi godkender og sender derefter phishingmail ud til alle medarbejderne,” siger Claus Bartholin og uddyber:

 

”Hvis du spørger, om det har været alle pengene værd – så er svaret ”absolut!”
Claus Bartholin, CISO hos Lemvigh-Müller.

”Det første år valgte vi at bruge alle awarenessspørgsmålene fra IFCR, som de var, men i år har vi valgt at tilpasse dem for at gøre spørgsmålene mere nærværende for vores organisation. Det, synes vi, giver nogle endnu bedre resultater og øger fleksibiliteten.”

 Ved at udnytte muligheden for selv at modificere spørgsmålene, har Lemvigh-Müller også fået et andet stærkt kort på hånden: At tydeliggøre vigtigheden af it-sikkerhed i både arbejde og privat regi.

 

”Vi så det ikke lige i begyndelsen, men vi blev hurtigt klar over, hvor stærkt det virker – at læringen også vinkles til privatbrug. Det har betydet, at awarenesstræningen har været en øjenåbner for mange medarbejdere. Al træning er derfor tilrettelagt sådan, at det også dækker privatsfæren – blandt andet har vi også inkorporeret læring om overgangen fra NemID til MitID,” siger Claus Bartholin.

 Da universet med Alice og Bob i sin tid skulle implementeres, valgte Lemvigh-Müller at købe nogle timer hos IFCR, sådan de fik en fiks og færdig løsning og ikke behøvede at bruge for meget tid på det internt. Og det var – og er – en rigtig god oplevelse, når IFCR bliver bragt i spil, synes Claus Bartholin.

”IFCR er altid meget lydhøre og hjælpsomme, og de forstår kundens behov. Der er ikke så mange bortforklaringer eller ”det er ikke lige os, der skal klare det”-svar. De tager hånd om spørgsmål og udfordringer med det samme. Det betyder ikke, at vi ikke selv kommer på banen, når det gælder det endelige produkt – nu har vi valgt at ændre på en række spørgsmål, for vi har også erkendt, at vi optimerer læringen for vores medarbejdere, hvis vi bruger tid på det internt,” siger Claus Bartholin.

 ”Internt har vi gjort meget ud af at understrege ledelses- og direktionsopbakningen til awarenesstræningen, og vi har også valgt, at træningen er obligatorisk. Jeg orienterer løbende ledelsen om, hvordan status er på gennemførsel samt en opsummering og statistik efter hver phishingmail, sådan vi hele tiden har fokus på, hvor i organisationen, vi har brug for at sætte ind med yderligere træning og undervisning,” siger Claus Bartholin.

Det har også betydning, at Lemvigh-Müller er i trygge hænder hos IFCR. ”Vi ved, at IFCR som personer er meget optagede af, at løsningen kører godt, og at vi som kunder er glade for de produkter, vi køber af dem. Det er dét, det handler om for dem. Det er tydeligt at mærke, at IFCR har et stort fokus på at fastholde eksisterende kunder, og ikke kun sætter ind på at få nye kunder i porteføljen,” siger Claus Bartholin og afslutter:

”Hvis du spørger, om det har været alle pengene værd – så er svaret ”absolut!”