SECURITY AWARENESS: VAN PROJECT NAAR PROCES
Security Awareness groeit als elk ander bewustzijn
Over het exacte percentage wordt nog altijd gediscussieerd maar ruim 70% van alle informatiebeveiligingsincidenten worden nog altijd veroorzaakt door eigen medewerkers. Natuurlijk gebeurt dit over het algemeen onbewust maar het lastige is dat je geen firewall op je medewerkers kunt zetten. Dus wanneer zij per abuis persoonsgegevens naar het verkeerde e-mailadres sturen of een link aanklikken in een e-mail afkomstig van directielid@bedrijf.nl is het vaak al te laat. Het enige dat een organisatie op dat punt nog kan is reactief optreden. Dit neemt echter niet weg dat je wel degelijk goede stappen kunt zetten om medewerkers meer bewust te krijgen van de gevaren die dagelijks op de loer liggen.
Maar dat dit nog niet zo gemakkelijk is dat maken wij geregeld mee op de werkvloer bij opdrachtgevers. Zo zien veel organisaties security awareness als een project in plaats van een proces, en hier gaan ze de mist in. Om echt het bewustzijn te verhogen onder de werknemers is er vooral tijd nodig. Maar veel organisaties opteren toch voor een zeer intense middag van e-learning trajecten en seminars om hun medewerkers bewust te krijgen. En dit werkt wel, maar dit heeft een zeer korte houdbaarheidsdatum. In de periode kort na dit trainingskamp zullen de medewerkers inderdaad meer op hun hoede zijn voor phishing-aanvallen. Daarnaast zullen ze ook bewuster omgaan met persoonsgegevens. Maar voor hoe lang? Wij van Beschermheren adviseren onze opdrachtgevers om te beginnen bij het begin en dat is, zoals bij de meeste processen, het creëren van draagvlak.
Draagvlak creëren als solide basis van het proces
Voordat er begonnen wordt met de lessen zo herken je phishing en wat zijn de meest voorkomende gevolgen van een datalek, is het belangrijk om het waarom te benadrukken. Dit heeft het meeste effect wanneer je een zekere mate van herkenning creëert bij de medewerkers. Bijvoorbeeld door privésituaties aan te halen. Een medewerker voelt zich namelijk niet half zo verantwoordelijk voor de data van een bedrijf als voor zijn eigen gegevens. Dus wanneer deze persoon gevraagd wordt of hij de inhoud van zijn telefoon even met iedereen aanwezig wil delen, creëer je een herkenbare situatie. Je daagt de medewerker als het ware uit om informatiebeveiliging niet te zien als iets dat de IT-afdeling maar moet afhandelen, maar juist als iets dat iedereen aangaat.
Een andere optie voor het creëren van draagvlak is het simuleren van aanvallen. Dit kan bijvoorbeeld aan de hand van een phishing-simulatie. Hierbij wordt vaak op een “pijnlijke” manier duidelijk hoe kwetsbaar de organisatie is, en daarmee ook de mensen die er werken. En wanneer deze onderzoeken goed worden uitgevoerd kan dit voor bewustwording en gedragsverandering zorgen. Het is daarom dat Beschermheren ervoor kiest om een presentatie te geven op basis van de uitgevoerde phishing-aanval omdat dit de meeste indruk maakt. Desgewenst zou de onderzoeker zelfs per medewerker kunnen aantonen op welk vlak van security awareness deze zich nog kan verbeteren. Hoe persoonlijk wil je het hebben?
De kracht van herhaling is ongekend groot
Nu dat de interesse er is, is het belangrijk om goed na te denken over de leer- of trainingsmethode waar je als organisatie voor kiest. Deze methode moet namelijk passen binnen de organisatie en de medewerkers moeten er warm voor lopen. Kies je bijvoorbeeld voor online- of offlinetrainingen? En kies je dan vervolgens voor interactieve modules met games en video’s? Of juist voor een voornamelijk tekstuele training? Maar al te vaak wordt een trainingsmodule ingekocht door een bedrijf om zo maar compliant te zijn conform ISO, NEN, AVG of BIO. Maar hier bereik je uiteindelijk bijzonder weinig mee. Het is daarom ook dat ons advies luidt om de trainingen of kennissessies te spreiden over een langere periode. Zo vermijd je een kennispiek en kies je echt voor gedragsverandering voor de lange termijn.
De volgende stap is het creëren van een constante staat van alertheid. Is dat mogelijk? Zeker, maar dit is wel hard werken. Een alerte medewerker past de opgedane kennis op elk moment van de werkdag toe om zo bijvoorbeeld binnenkomende e-mails te beoordelen. Maar ook dit is weer een proces en zal niet over één nacht ijs gaan. De organisatie moet daarom blijven doorgaan met het prikkelen van de medewerkers op het gebied van security awareness. Laat bijvoorbeeld constant tests uitvoeren en laat je medewerkers dit ook weten. Dit zorgt er namelijk voor dat ze alerter te werk gaan om zo de test goed te doorstaan. En dit is uiteindelijk precies het doel dat je als organisatie wilt behalen.
Stel een plan op en houd je eraan
Ter conclusie kunnen we stellen dat de kracht van herhaling een belangrijke schakel is bij het creëren van een veilige en informatiebewuste werkomgeving. Maak daarom een langetermijnplanning waarbij diverse acties worden verspreid over een langere periode. En wees daarnaast ook niet bang om te variëren in je meet- en leervormen. Op het moment dat dit te repetitief wordt zal het gewenste resultaat minder snel behaald worden en daalt het bewustzijn weer. Het proces begint vanaf de eerste dag van een nieuwe medewerker, dus leg bij hun onboarding al uit wat hun rol zal zijn bij het creëren van een veilige werkomgeving. Neem je als organisatie hier echt de tijd voor en stel je een adequaat plan voor de lange termijn op? Dan ben je een flinke stap dichterbij een veiligere en informatiebewuste werkomgeving. Wil je weten hoe je organisatie ervoor staat op het gebied van informatiebeveiliging? Doe dan de gratis quickscan.
Beschermheren
1101 BS Amsterdam Zuid Oost
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving
A man should look for what is, and not for what he thinks should be.
Albert Einstein