Inden for seks måneder har medarbejderne glemt det meste af den phishing awareness-træning, de har modtaget, viser den seneste forskning.
Forskerne studerede hundredvis af medarbejdere, opdelte dem i grupper og gav dem phishing- og awareness-træning med forskellige intervaller.
Resultatet var, at flertallet kunne identificere phishing-e-mails fire måneder efter at have modtaget træning, men blandt dem, hvor der gik seks måneder eller længere uden træning, var effekten af træningen næsten forsvundet.
Dette forsøg viser, hvor vigtigt det er at køre løbende og regelmæssig uddannelse i cyber awareness, samt at frygten for at kede medarbejderne med gentagelser er helt ubegrundet og nærmest skadelig. Forskningen viser, at der er behov for at gentage træningen igen og igen. Og gerne med månedlige phishing-kampagner målrettet medarbejderne.
Ifølge forskerne fungerer uddannelse af medarbejdernes bevidsthed bedst, når den indeholder et visuelt element – hvad enten det er en video eller et interaktivt element.
Undersøgelsen viser også, at awareness-træning, der udelukkende består af tekst – såsom en e-mail eller et sæt politikker – er meget mindre effektiv, da det hele bliver glemt inden for en måned.
Det betyder ikke, at organisationer ikke kan benytte tekstbaseret træning, det må bare ikke stå alene, hvis det skal have effekt.
Grundlæggende kan vi konkludere, at den langsigtede effekt af awareness-træning udebliver, såfremt man ikke arbejder med frekvens, som er nøglen til at ændre adfærd og opnå et højere bevidsthedsniveau hos medarbejderne.
Kilde: https://www.usenix.org/system/files/soups2020-reinheimer_0.pdf