#46 ”Utbildning i cybersäkerhet missar ofta målet”

Mycket av utbildning i cybersäkerhet är anpassad utifrån ett medelvärde. Men en metod som passar för 9 av 10, gör ändå att vi missar 10 procent av vår målgrupp och då har vi förlorat matchen i alla fall. Det säger Joakim Kävrestad, forskare vid Jönköping university, med inriktning på människans roll i cybersäkerheten. Många organisationer mäter medarbetarnas medvetenhet och kunskap om cybersäkerhet utifrån ett organisatoriskt medelvärde. Men att den som ”kan lite grann lär sig lite till” har en mycket liten ...

Mycket av utbildning i cybersäkerhet är anpassad utifrån ett medelvärde. Men en metod som passar för 9 av 10, gör ändå att vi missar 10 procent av vår målgrupp och då har vi förlorat matchen i alla fall. Det säger Joakim Kävrestad, forskare vid Jönköping university, med inriktning på människans roll i cybersäkerheten.

Många organisationer mäter medarbetarnas medvetenhet och kunskap om cybersäkerhet utifrån ett organisatoriskt medelvärde. Men att den som ”kan lite grann lär sig lite till” har en mycket liten effekt på organisationens säkerhet menar Joakim Kävrestad.

Att det är svårast att nå dem som behöver informationen bäst är ett generellt problem, men han menar att säkerhetsbranschen är ”ovanligt dåliga”.

- Säkerheten är helt enkelt inte anpassad till vår kognitiva förmåga, konstaterar Joakim Kävrestad. Dessutom fortsätter vi att lära ut saker som helt enkelt inte stämmer eller skapar en bättre säkerhet.

Han tar rekommendationer om långa, komplexa lösenord som ett exempel. Eller förbudet mot att skriva ner lösenord på papper.

- Varför då? Om jag låser in min bok med lösenord i ett kassaskåp på kontoret är ju det säkrare än alla digitala lösenordshanterare.