Det er ikke uvanlig at den første veien inn i et angrep går via personer som blir lurt til å klikke på en lenke, åpne vedlegg eller på annen måte legge til rette for et angrep. Det er derfor viktig å sørge for at vi mennesker blir inkludert i arbeidet som gjøres for å styrke sikkerheten.
NIS2 har tatt hensyn til dette ved å legge til to krav om opplæring innen informasjons- og cybersikkerhet. I NIS2-direktivet er dette regulert i artikkel 20 gjennom følgende to deler:
Opplæring er også normalt en del av styringssystemet for informasjonssikkerhet (ISMS), hvis du ser på ISO 27001:2022, er det kontroll 6.3 som omhandler området.
Opplæring er normalt en del av styringssystemet for informasjonssikkerhet (ISMS)
Tar vi utgangspunkt i den mer generelle opplæringen som skal tilbys de ansatte, handler det om å bygge opp en mer omfattende kunnskap om de truslene som er relevante, og samtidig gi kunnskap om hvordan de kan unngås. Det er dette som vanligvis inngår i de mer klassiske "Awareness"-programmene.
Det er viktig å holde disse oppdatert for å sikre at nye trusler inkluderes i opplæringen, og at det gjøres oppdateringer om trusler som endrer seg. Det bør også være mulig å sikre at opplæringen tar hensyn til eventuelle sektorspesifikke trusler.
Cegal kan tilby vår tjeneste "Cyber Security Awareness" på dette området, som inkluderer et grunnmateriale for opplæring på området. Tjenesten kan enkelt utvides med sektorspesifikke deler. Som standard inngår også muligheten for å teste de ansattes kunnskaper gjennom simulerte forsøk på såkalt phishing.
Les mer om vår tjeneste Cyber Security Management her >
Det er også viktig å vurdere om enkelte deler av virksomheten kan ha behov for tilleggsopplæring på mer spesifikke områder, for eksempel ansatte med ansvar for IT- og OT-utstyr, ansatte i deler av virksomheten som anses som ekstra sensitive, osv.
I tillegg til den generelle opplæringen bør ledelsen også få en grundigere og mer tilpasset opplæring. Kravet er at ledelsen skal ha forståelse for de risikohåndteringstiltakene som iverksettes for å sikre virksomheten mot truslene mot virksomheten. Artikkel 21 §2 beskriver hvilke områder som skal dekkes.
Vi anbefaler at lederopplæringen for NIS2 gjennomføres som et lærerstyrt opplæringsprogram, for å sikre god interaksjon med mulighet til å gå dypere inn i de problemstillinger som ledelsen tar opp under opplæringen. Opplæringsmateriellet bør også tilpasses ledelsens kunnskapsnivå, samt virksomhetens spesifikke forhold med hensyn til implementerte IT- og OT-systemer og identifiserte trusler.
Cegals konsulenter innen informasjons- og cybersikkerhet kan støtte dere i arbeidet med å etablere LIS, enten ved å ta et overordnet ansvar og drive arbeidet sammen med dere, eller som støtte i spesifikke deler av etableringen av LIS.
Cegals tjeneste "Cyber Security Awareness" tilbyr både standardisert opplæring innen informasjons- og cybersikkerhet, samt mulighet for spesialtilpasset opplæring. Tjenesten muliggjør god oppfølging av hvem som har gjennomført opplæringen og mulighet for simulerte phishing-tester for å måle kunnskapsnivået på dette spesifikke området.