SecureFirst — STAY AHEAD, STAY SECURE
SecureFirst — STAY AHEAD, STAY SECURE

CIS Control 14 - Security Awareness and Skills Training

CIS Controls — 18. marts 2026

I dette afsnit gennemgår vi CIS Control 14: Security Awareness and Skills Training.

Formålet med denne kontrol er at etablere og vedligeholde et sikkerhedsbevidsthedsprogram, der påvirker adfærd i organisationen, så medarbejdere arbejder sikkerhedsbevidst og har de nødvendige færdigheder til at reducere cybersikkerhedsrisici.

Menneskelige handlinger spiller en afgørende rolle i en virksomheds sikkerhed. Angribere udnytter ofte brugere gennem eksempelvis phishing og social engineering i stedet for at finde tekniske sårbarheder direkte. Derfor kan et effektivt sikkerhedsprogram ikke fungere uden en struktureret tilgang til træning og bevidsthed.

Hvad indebærer Control 14?

Control 14 kræver, at virksomheden etablerer og vedligeholder et formelt sikkerhedsbevidsthedsprogram.

Programmet skal

• Udføres ved ansættelse • Gennemføres mindst årligt • Gennemgås og opdateres årligt eller ved væsentlige ændringer i virksomheden

Et effektivt program er ikke begrænset til én årlig træningsaktivitet. Der bør også være løbende, emnebaserede budskaber og påmindelser om sikkerhed, særligt når nye trusler opstår.

Træning kan leveres på flere måder, herunder

• Fysisk undervisning • Online kurser • Videoer • Tests og scenariebaseret træning • Supplerende materialer som plakater og e-mail påmindelser

Virksomheden skal beslutte, hvordan træningen leveres, og sikre, at den opfylder interne og eventuelle lovmæssige krav.

Security Awareness Training Lifecycle

Control 14 beskriver en struktureret livscyklus for træningsprogrammet, bestående af fire faser:

Assess

Virksomheden skal identificere krav og behov for træning. Dette kan være lovkrav, interne politikker eller risikovurderinger. Træningen skal være relevant for virksomhedens kontekst og trusselsbillede.

Develop

Der skal etableres et dokumenteret og godkendt program for sikkerhedstræning. Træningen kan udvikles internt, købes eksternt eller være en kombination. Der skal tages stilling til hyppighed og indhold.

Educate

Alle brugere med adgang til virksomhedens systemer og information skal modtage træning. Deltagelse og gennemførelse skal følges og dokumenteres.

Træningen skal minimum omfatte

• Genkendelse af social engineering angreb, herunder phishing, business email compromise, pretexting og tailgating • Bedste praksis for autentifikation, herunder multifaktor autentifikation og håndtering af legitimationsoplysninger • Håndtering af følsomme data, herunder identifikation, lagring, overførsel, arkivering og destruktion • Clear screen og clean desk praksis • Årsager til utilsigtet dataeksponering • Genkendelse og rapportering af sikkerhedshændelser • Identifikation og rapportering af manglende sikkerhedsopdateringer • Risici ved at forbinde til og overføre data over usikre netværk

Hvis virksomheden har en proces for rapportering af sikkerhedshændelser, skal denne være etableret, vedligeholdt og tilgængelig for alle medarbejdere.

Validate

Virksomheden skal sikre, at træningen faktisk gennemføres. Det indebærer kontrol af deltagelse og gennemførelse inden for fastsatte tidsrammer.

Derudover kan virksomheden anvende supplerende metoder som eksempelvis phishing tests eller scenariebaserede øvelser for at understøtte læringsmålene.

Træningsmateriale skal opdateres, når

• Virksomhedens politikker ændres • Ny teknologi implementeres • Nye trusler opstår

Konkret: Hvad skal man have styr på?

For at leve op til Control 14 skal virksomheden sikre

• Et etableret og dokumenteret sikkerhedsbevidsthedsprogram • Træning ved ansættelse og mindst årligt • Opdatering af træningsindhold mindst årligt eller ved væsentlige ændringer • Træning i social engineering, autentifikation og databeskyttelse • Træning i genkendelse og rapportering af hændelser • En etableret proces for rapportering af sikkerhedshændelser • Dokumentation for gennemførelse af træning

Målet er at sikre, at medarbejdere interagerer sikkert med virksomhedens aktiver og data og reducerer risikoen for cybersikkerhedshændelser.

Afslutning

CIS Control 14 fastlægger kravene til at etablere og vedligeholde et struktureret sikkerhedsbevidstheds- og færdighedsprogram.

Kontrollen understreger, at cybersikkerhed ikke alene er et teknisk spørgsmål, men i høj grad handler om adfærd, viden og korrekt håndtering af virksomhedens aktiver og data.

Tak fordi du lyttede med.