En ny rapport från Fortinet Training Institute visar på att säkerhetsmedvetenhet inte längre enbart handlar om efterlevnad, utan att det utgör ett mätbart och effektivt verktyg för att minska antalet incidenter. Samtidigt tar rapporten upp flertalet sårbarheter, särskilt till följd av den snabba AI-utvecklingen och utmaningar i genomförandet.
Nästan nio av tio organisationer rapporterar att den ökade användningen av AI från cyberkriminella har fått anställda att inse vikten av säkerhetsutbildningar. Samtidigt uppger bara omkring 40 procent av cheferna att deras medarbetare är redo för att hantera AI-baserade cyberhot.
Utbildningsprioriteringarna speglar utvecklingen. Datasäkerhet och dataskydd förblir visserligen de främsta fokusområdena, men AI-baserade verktyg och hot följer tätt därefter.
Interna risker ökar
Externa hot, tidigare intrång och incidenter inom branschen är fortsatt de främsta skälen till att organisationer investerar i säkerhetsutbildning. Vad som däremot har förändrats är den kraftigt ökade oron för interna risker. Mer än en fjärdedel av organisationerna pekar på insiderhot som en av anledningarna att införa utbildning – en markant ökning från förra året.
Drygt två tredjedelar rapporterar färre intrång och incidenter efter implementering av säkerhetsmedvetenhet och -träning.
Brist på säkerhetsmedvetenhet
Trots positiva resultat uppger sju av tio ledare att medarbetare fortfarande saknar tillräcklig säkerhetsmedvetenhet. Rapporten pekar på praktiska förbättringar som kortare och mer frekventa utbildningsmoduler, tydligare ansvar för fullföljandet, bättre anpassning mellan innehåll och aktuella hot, samt synligt ledarskapsstöd. Dessutom betonas behovet av regelbunden mikroträning för att hålla jämna steg med AI-utvecklingen.
De flesta ser säkerhetsmedvetenhet som ett delat ansvar över hela organisationen, inte bara en IT- eller säkerhetsfunktion. Effektiv säkerhetsutbildning handlar om att skapa rutiner, förstärka gott beteende och minska risker. Utbildning måste vara kontinuerlig, relevant och behandlas som en central riskhanteringskontroll, inte som ett sidoprojekt.
