4 voorwaarden voor security awareness
Ruim 70% van alle informatiebeveiligingsincidenten wordt nog altijd veroorzaakt door de eigen medewerkers. In veruit de meeste gevallen veroorzaken medewerkers deze incidenten, zoals datalekken, onbewust. Ze versturen persoonsgegevens naar de verkeerde ontvanger, delen een wachtwoord met een cybercrimineel of klikken op een phishinglink. Met soms desastreuze gevolgen.
Het is dus van belang om medewerkers bewust te maken van de risico’s van cybercrime, maar zeker ook van de rol die zij hebben in het voorkomen van incidenten. Zeker nu we vaker thuiswerken. Want laten we eerlijk zijn, de meeste medewerkers vinden security vooral een onderwerp voor de IT-afdeling – en die heeft lang niet altijd zicht op wat er thuis allemaal gebeurt.
Er zijn organisaties die denken een veiligheidsbewuste werkomgeving te kunnen creëren door er een eenmalig project van te maken. Die bieden een e-learningtraject van een aantal weken en/of organiseren een phishing-simulatie. Het is onwaarschijnlijk dat medewerkers hierdoor daadwerkelijk beveiligingsrisico’s leren herkennen en al helemaal dat ze hierdoor langdurig veilig(er) gaan werken. Om medewerkers blijvend bewust en veilig te maken is meer nodig dan een eenmalige security awareness training. Het vraagt continue aandacht voor vier belangrijke punten.
1: Laat het belang zien
Werkelijk security awareness creëren begint met het benadrukken van het belang van het voorkomen van incidenten. Omdat veel medewerkers zich niet verantwoordelijk voelen voor de informatiebeveiliging van hun organisatie, is het belangrijk om privésituaties aan te halen. Het gaat dan ineens over de eigen gegevens – en dan zien mensen vaak wel het belang in van een goede beveiliging. Want wat zou jij ervan vinden als jouw trouw- en/of geboortefoto’s ineens publiekelijk online staan of juist ineens gewist zijn? Stel de juiste vragen en omschrijf herkenbare situaties. Zo daag je medewerkers uit om op een andere manier na te denken over informatiebeveiliging.
Een goede start kan ook het simuleren van een incident zijn, om zo de kwetsbaarheid van mensen en de organisatie aan te tonen. Een gesimuleerde phishing-aanval, een bezoek van een mystery guest en/of een telefonisch phishing-onderzoek leggen vaak grote kwetsbaarheden bloot en kunnen een enorme indruk maken. Van belang is dan wel dat deze simulaties goed worden uitgevoerd en dat de resultaten op de juiste manier bekend worden gemaakt, bijvoorbeeld door de onderzoeker zelf.
2: Deel kennis en inzicht
Kennis is een onmisbaar aspect binnen security awareness. Het gaat dan bijvoorbeeld over het kunnen herkennen van de kenmerken van een phishingmail en het maken van een sterk en uniek wachtwoord dat ook nog eens gemakkelijk te onthouden is.
Maar hoe draag je deze kennis over? Kies voor een methode die past binnen de organisatie en waar de medewerkers enthousiast over zijn. Dat kan een bijeenkomst zijn, of een online training, zo lang deze maar aantrekkelijk is om aan deel te nemen. Korte, interactieve modules met video’s, quizjes en games zorgen bijvoorbeeld voor een stuk meer enthousiasme dan een saaie online training met alleen meerkeuzevragen, of een langdradige bijeenkomst.
3: Maak mensen alert
Het geleerde toepassen in de praktijk lukt alleen als medewerkers alert blijven. In een gecontroleerde omgeving, zoals een leeromgeving, zijn mensen vaak prima in staat om malafide e-mails te onderscheiden van legitieme e-mails. Dit wil niet zeggen dat diezelfde medewerker een toevallige phishingmail ook meteen herkent tijdens zijn of haar dagelijks werk.
Om medewerkers blijvend alert te houden, moet je ze blijven prikkelen, bijvoorbeeld door continu of geregeld tests te doen, al dan niet aangekondigd. Houd deze tests wel realistisch – zorg dat medewerkers ze niet als flauw gaan ervaren of het gevoel krijgen dat ze erin geluisd worden.
4: Blijf het herhalen
Om bewustwording te creëren is herhaling van de boodschap onmisbaar. Eenmalige aandacht voor het risico van cybercrime leidt slechts tot kortdurende alertheid van medewerkers. Maak dus een langetermijnplanning en verspreid acties, zowel trainingen als tests, over een langere periode. En zorg voor variatie. Benader het onderwerp vanuit verschillende invalshoeken en gebruik regelmatig andere manieren om het onder de aandacht te brengen. De regelmaat en de vorm bepaal je als organisatie zelf; probeer zoveel mogelijk aan te sluiten bij wat medewerkers willen en waar ze warm voor lopen.
En tot slot, vergeet de nieuwe medewerkers niet! Betrek hen meteen tijdens de onboarding en leg uit welke rol zij spelen bij het creëren van een bewuste en veilige werkomgeving.
In samenwerking met partner AwareTrain bieden wij Security Awareness als dienst aan.
Lees hier meer over onze Security Services.
Meld je aan voor de Solvinity Nieuwsbrief
Ontvang het laatste nieuws, blogs, artikelen en events. Meld je aan voor onze nieuwsbrief.
Lees ook
Meer
Wat maakt een Secure Managed Cloud écht ‘secure’?
Wat maakt een Secure Managed Cloud écht ‘secure’? In een tijdperk waarin cyberdreigingen voortdurend evolueren, is...
READ MOREDe complexe wereld van IT-regelgeving voor gemeenten
Voor IT- en compliance-verantwoordelijken bij gemeenten wordt de wereld steeds complexer. Naast de dagelijkse uitdaging om...
READ MORESecurity controls in hybride cloudomgevingen
Een holistische benadering van security controls is cruciaal voor het verhogen van de digitale weerbaarheid.