IGL-Technologies jest fińskim operatorem zajmującym się ładowaniem i parkowaniem pojazdów elektrycznych. Firma projektuje i produkuje własny sprzęt, dostarcza komponenty innym producentom i zarządza infrastrukturą za kulisami. Z ponad 300 000 klientów i zgodnością z ISO 27001, bezpieczeństwo ma kluczowe znaczenie.
Rozmawialiśmy z Miką Liukkonenem, specjalistą ds. bezpieczeństwa informacji w IGL, który jest również odpowiedzialny za infrastrukturę firmy. W miarę powiększania się zespołu, a security awareness stała się trudniejsza do skalowania, Mika zaczął szukać zrównoważonego rozwiązania szkoleniowego.
Wyzwanie: Od jednoosobowego show do niezrównoważonego
Przez długi czas Mika sam zajmował się wszystkimi szkoleniami z security awareness . "Prowadziłem te kwartalne sesje szkoleniowe. Zawsze był problem z zebraniem wystarczającej liczby uczestników w tym samym czasie. Mówiąc delikatnie, było to dość kłopotliwe".
W tym czasie IGL zatrudniał około 30 do 35 pracowników. "Podzieliłem ich na trzy grupy i organizowałem mniej więcej godzinne sesje, podczas których omawiałem ważne, ogólne tematy" - mówi Mika. Ale nawet wtedy niektórzy ludzie nie mogli w nich uczestniczyć. "Czasami ludzie nie mogli uczestniczyć w jednej lub nawet dwóch sesjach. Oznaczało to, że mogło minąć pół roku, zanim ponownie otrzymali jakiekolwiek szkolenie".
Aby być na bieżąco, Mika używała Slacka do wysyłania przypomnień. Ale to nie wystarczyło. "Publikowaliśmy również przypomnienia na Slacku, aby utrzymać zaangażowanie ludzi, ale nadal uważam, że zawsze istniała luka w wiedzy. Security awareness znacznie spadała między szkoleniami".
"Prowadziłem te kwartalne sesje szkoleniowe. Zawsze był problem z zebraniem wystarczającej liczby uczestników w tym samym czasie. Mówiąc delikatnie, było to dość kłopotliwe".
Gdy IGL zaczęło się rozwijać, sytuacja stała się jeszcze trudniejsza do opanowania. "Jesteśmy teraz bliżej 50 pracowników. Potrzebowałbym pięciu grup, a jestem tylko jedną osobą".
Mika wiedział, że coś musi się zmienić. "Zaraz po sesjach treningowych ludzie rozmawiali o bezpieczeństwie na korytarzach, ale zawsze zanikało to po kilku tygodniach. To był ważny punkt sprzedaży. Seria małych zadań zamiast jednego dużego zadania".
Rozwiązanie: Odpowiednie szkolenie, które działa samo
Mika znalazł to, czego szukał w Guardey. Guardey to platforma security awareness oparta na grywalizacji, która pomaga pracownikom budować bezpieczne nawyki poprzez krótkie, cotygodniowe wyzwania szkoleniowe. "Nie ma możliwości, bym samodzielnie zapewnił taką samą jakość i ilość szkoleń. Utrzymanie długoterminowego zainteresowania ludzi jest znacznie łatwiejsze dzięki gamifikowanej platformie Guardey".
Uruchomił program z krótkim demo podczas comiesięcznego spotkania wszystkich pracowników. "Pokazałem im platformę, wyjaśniłem tematy, konkurs i nagrody. Przyjęli to całkiem dobrze".
Nie ma możliwości, bym sam mógł zapewnić taką samą jakość i ilość szkoleń. A utrzymanie zainteresowania ludzi na dłuższą metę jest znacznie łatwiejsze dzięki gamifikowanej platformie Guardey".
Zespół programistów stał się bardziej zaangażowany, gdy Guardey wprowadził specjalistyczny program treści dla deweloperów. "Szkolenie OWASP dla programistów nie było dostępne, gdy zaczynaliśmy współpracę z Guardey" - wyjaśnia Mika. "Ale kiedy zostało wydane, natychmiast udostępniliśmy je naszemu zespołowi programistów. To był naprawdę dobry pomysł. Programiści docenili to znacznie bardziej, ponieważ tematy były bliższe ich poziomowi i bardziej istotne dla ich codziennej pracy".

Mika zorganizował konkursy drużynowe z nagrodami. "Podzieliłem nasze zespoły według działów, po około pięć osób na grupę. Na przykład dział obsługi klienta miał własny zespół. Podczas naszej letniej imprezy rozdaliśmy nagrody: szampana i małe trofea dla trzech najlepszych zespołów".
Wynik: Zaangażowanie, odpowiedzialność i wpływ
Guardey pozwala zespołom rywalizować w wyzwaniach, śledzić postępy w rankingach i zdobywać nagrody. Dzięki temu trening świadomości staje się wspólnym celem. Ta przewaga konkurencyjna nie pozostała niezauważona wewnętrznie. "Ludzie rozmawiali o rywalizacji, a nawet zachęcali swoich kolegów z zespołu do osiągania lepszych wyników. Dokładnie na to liczyłem".
"Łatwo jest pokazać dowód na to, że faktycznie przeprowadzamy szkolenia podczas audytów ISO 27001. Audytorom spodobał się również aspekt grywalizacji. Uznali, że naprawdę pomogło to w budowaniu świadomości".
Frekwencja pozostaje niezmiennie wysoka, a dane pomagają Mika pozostać proaktywnym. "Każdego miesiąca widzę wskaźniki uczestnictwa na poziomie od 70 do 85 procent. To przyzwoity wynik. Czasami muszę przypominać ludziom, ale ogólnie wszystko idzie dobrze". Wykorzystuje on również spostrzeżenia na poziomie tematu, aby kierować działaniami następczymi. "Mogę łatwo zobaczyć, które tematy są trudniejsze - na przykład RODO - i używam tego do tworzenia małych działań następczych. Mogę wspomnieć o czymś na Slacku lub podczas naszych comiesięcznych spotkań".

Jednocześnie Guardey nie ma na celu zastąpienia wszystkiego. "Nadal zatrudniamy ekspertów do szkoleń tematycznych, takich jak RODO lub DevSecOps, dla odpowiednich pracowników. W przypadku niektórych ról Guardey sam w sobie, uzupełniony przypomnieniem na Slacku lub comiesięcznym spotkaniem, jest już wystarczająco dobry".
Jeśli chodzi o audyty, Guardey ułatwia życie. "Podczas audytów ISO 27001 łatwo jest wykazać, że faktycznie prowadzimy szkolenia. Audytorzy pokochali aspekt grywalizacji aspekt grywalizacji. Uznali, że naprawdę pomogło to w zwiększeniu świadomości".
Dla Miki wartość programu security awareness Guardey jest oczywista. "Guardey jest tak blisko srebrnej kuli dla security awareness , jak to tylko możliwe. Utrzymuje bezpieczeństwo na pierwszym miejscu i robi dokładnie to, co trzeba".
Nie daj się przechytrzyć hakerom
Upewnij się, że Twoi pracownicy są przygotowani do rozpoznawania zagrożeń bezpieczeństwa dzięki Guardey. Rozpocznij 14-dniowy bezpłatny okres próbny już dziś.