En nyligen genomförd DataMotion-studie visade på chockerande statistik om attityder till utbildning i efterlevnad under 2015.
Undersökningen visade att 33 % av företagsägarna ansåg att deras anställda inte förstod de grundläggande säkerhetsförfaranden som garanterar datasäkerheten.
33 procent är en astronomiskt hög siffra. Kriminellt högt
Men det är inte allt. DataMotion-undersökningen visade också att 44 % av de tillfrågade ansåg att säkerhets- och efterlevnadsförfaranden endast i måttlig utsträckning tillämpades.
Om det finns VD:ar, direktörer eller chefer som läser detta vill jag säga att det är ert ansvar att utbilda era anställda om policyer och förfaranden för efterlevnad. Hur kan du förvänta dig att de anställda ska följa grundläggande rutiner för efterlevnad om du inte skapar en kultur inom företaget som sätter efterlevnaden i främsta rummet i varje aktivitet?
Utbildade anställda, som leds av engagerade ledare som också förstår och tror på nödvändigheten av efterlevnad, är motiverade att följa företagets rutiner för efterlevnad.
DataMotion-studien stöder detta.
Studien visade att fyra av fem anställda respekterar företagets strategier för efterlevnad så länge de får utbildning om hur de måste följa rutinerna och, vilket är ännu viktigare, förklaras varför de måste göra efterlevnad till en daglig del av sitt arbete.
För att uttrycka det rakt ut: de anställda är inte problemet.
Bob Janacek, CTO på DataMotion, har en bra poäng när det gäller utbildning av anställda: "Även om undersökningen visar att antalet företag som inför säkerhets- och efterlevnadsåtgärder ökar från år till år, är de utbredda säkerhetsriskerna mycket oroande."
Vi kan inte kontrollera det ökande antalet dagliga säkerhetsattacker - ingen kan det - men du kan se till att ditt företag skyddas så mycket som möjligt genom att investera i utbildning av den viktigaste komponenten i varje säkerhetsstrategi: din personal.
Janacek stöder behovet av att fokusera på utbildning av personalen: "Särskilt i en tid då ett antal organisationer - både stora och små - har drabbats av allvarliga dataintrång är det viktigt att företagen har starka säkerhets- och efterlevnadspolicyer och att de ser till att deras anställda förstår dem till fullo och följer dem noggrant."
Kontinuerlig utbildning om efterlevnad
Enligt DataMotion-undersökningen erbjöd 66 % av företagen fortlöpande utbildning om efterlevnad.
Det är inte tillräckligt högt.
Jag har skrivit om det upprepade misslyckandet med att ta säkerhetsmedvetenhet på allvar. Konsekvenserna av att förbise behovet av kontinuerlig utbildning i efterlevnad är tydliga:
- En ointresserad och självbelåten arbetskraft
- Kraftiga böter från tillsynsmyndigheter
- Ökad sårbarhet för säkerhetsattacker
- Riskera dina kunder (och deras personuppgifter)
Det modeord som nu är på tapeten i debatten om utbildning om efterlevnad är "utvärdering". Enkelt uttryckt vill företagen ha system som mäter om deras strategi för efterlevnad är effektiv eller inte.
Vissa företag anser att effektiviteten kan visas genom att man tittar på hur många som slutför programmet.
Utbildning i efterlevnad är inte en övning som går ut på att kryssa i rutan.
Dirk Thissen, direktör på IMC Learning, menar att utvärdering är en pågående process som måste införlivas i varje del av utbildningen.
Jag skulle vilja tillägga att utvärderingen bör ingå i varje del av varje anställds dagliga arbete.
Det bör påpekas att utvärderingen kan och bör vara kvalitativ, t.ex. genom att be om feedback från de anställda, använda enkäter för att mäta förändringar i de anställdas attityder eller testa om de anställda har lärt sig vissa fakta om efterlevnad och företagets förfaranden.
Och eftersom man måste ta ett nytt grepp om utbildningen i efterlevnad är den största frågan, som ofta nämns av företagsledare, tiden.
Kanske finns det ett argument för att det är svårt att hitta tid att ta med de anställda på en tredagars utbildning utanför anläggningen (för att inte tala om kostnaden!).
Svaret kan vara eLearning.
Att använda eLearning för att skapa en kultur för efterlevnad
Vad vissa företagsledare inte inser är att en investering i ett utbildningsprogram för eLearning kan vara katalysatorn för att skapa en blomstrande efterlevnadskultur.
I DataMotion-undersökningen svarade endast 43 % av de tillfrågade att deras företag hade någon form av teknik för att övervaka säkerhetsöverensstämmelse.
En svit som Metacompliances programvara för hantering av efterlevnad gör det möjligt att planera och schemalägga interna revisioner för att bedöma vilken anställds prestation som helst och när som helst Det individualiserade utbildningsprogrammet gör det möjligt för de anställda att genomföra moduler när det passar dem och deras prestationer övervakas av ledningen. Cheferna kan också få feedback från användarna med hjälp av undersökningar om medvetenhet. Slutligen kan fall av bristande överensstämmelse spåras och rekommendationer för förbättringar erbjudas.
Thissen påpekar att "investeringar i innovation och flexibla e-lärande lösningar [...] kanske inte är billiga, men kan ge betydande avkastning på investeringen för företag som gör rätt, särskilt de som annars betalar för att tusentals anställda ska delta i externa kurser."
Dessutom finns det en antydan om att utbildning som ges som en del av arbetet, snarare än utanför den normala dagliga verksamheten, tillmäts extra betydelse av personalen: "Utbildning som ges inom ramen för arbetsflödet kan vara mycket framgångsrik och är mer sannolikt att den behålls eftersom den ger stöd till de anställda när de verkligen behöver det."
Det man kan ta med sig från den här bloggen är att ett utbildningsprogram som integreras i det dagliga arbetslivet hjälper företagen på tre fronter: för det första skapar det en sund efterlevnadskultur som de bästa medarbetarna vill arbeta för, för det andra håller det företagen på rätt sida av tillsynsmyndigheterna och för det tredje lockar det fler kunder, eftersom kunderna vet att skyddet av deras personliga information är företagets högsta prioritet.
I världen av regelefterlevnad är utbildning en investering som garanterar avkastning.
