Negen tips voor een effectiever awarenessprogramma
Weerbaarheid tegen cyberdreigingen is niet alleen een zorg van de IT-afdeling. Het gaat het hele bedrijf aan en staat of valt met de medewerking van iedereen. Bewustzijnstraining is volgens Nick Deen, senior marketingmanager Noord-Europa bij e-mailsecurityspecialist Mimecast, dan ook beslist meer dan een aardige extra beveiligingsmaatregel. “Organisaties moeten zich afvragen wat voor cultuur ze wensen. Een van onwetendheid en laksheid? Of een waarbij iedereen de schouders onder een zo veilig mogelijke omgeving zet?”
Mimecast hield vorig jaar een grootschalig onderzoek naar het bewustzijnsniveau rond security binnen organisaties. De cijfers waren op zijn zachtst gezegd alarmerend. “Een op de vier medewerkers is zich niet of nauwelijks bewust van de meest basale cyberrisico’s zoals ransomware en phishing,” constateert Deen. Verandering is noodzakelijk, maar wel een uitdaging. “Slechts de helft van alle bedrijven geeft zijn personeel een gedegen bewustzijnstraining.”
Opvallend is ook de rol van jonge medewerkers. “Van mensen tussen de 18 en 24 jaar zou je verwachten dat ze wel degelijk op de hoogte zijn van cyberrisico’s. Ze zijn opgegroeid met technologie. Het tegendeel is waar. Dit deel van de workforce gedraagt zich het minst voorzichtig en vormt van alle demografische groepen medewerkers de grootste dreiging.”
Het is dus allerminst overbodig om uw medewerkers te doordringen van de cyberrisico’s waar uw organisatie mogelijk aan wordt blootgesteld. We geven negen tips om hier meer bewustzijn over te creëren:
1. Zorg voor een solide technische basis
Natuurlijk zijn het niet alleen mensen die de kwetsbaarheid van uw organisatie bepalen. Een solide mix van technische securityvoorzieningen en organisatorische maatregelen is essentieel. “Denk aan zaken als een moderne firewall, een strak patchbeleid, back-upvoorzieningen en draadloze beveiliging,” verduidelijkt Deen. In het bijzonder systemen voor e-mailbeveiliging kunnen volgens hem in hoge mate bijdragen aan de cyberresilience. “Veel aanvallen starten met een mailtje. Dat geldt voor phishing en ceo-fraude, maar ook de verspreiding van ransomware begint vaak met een besmette e-mailbijlage. Naast oplettende medewerkers kunnen ook systemen die bijvoorbeeld gespoofde mailadressen herkennen veel ellende voorkomen.”
2. Breng de zwakke plekken in kaart
Is de techniek op orde, dan kan middels scans en testen worden bepaald wat de grootste risicofactoren zijn. Volgens Deen kunnen die zowel per sector als per organisatie sterk verschillen. “Een zorginstelling die dagelijks grote hoeveelheden persoonsgegevens per e-mail uitwisselt, loopt andere risico’s dan een retailer die veel creditcardinformatie verwerkt. Wie zijn zwakke plekken kent, kan daar in het awarenessprogramma het accent op leggen,” licht hij toe.
Het is verstandig deze zwakke plekken blijvend te monitoren. Bij herhaalde awarenesstrainingen kan speciale analyticssoftware de pijnpunten blootleggen. Op die manier kun je de trainingen continu bijschaven op basis van de resultaten. Dat maximaliseert het uiteindelijke resultaat van een awarenessprogramma.
3. Creëer draagvlak door het tonen van urgentie
Medewerkers lopen niet altijd vanzelf warm voor awarenesstrainingen. Voor voldoende draagvlak moet iedereen het nut en de noodzaak ervan inzien. Deen: “Het is in ieder geval belangrijk dat de gehele boardroom en alle leidinggevenden achter het programma staan. Zij kunnen bijvoorbeeld via een indringende videoboodschap of presentatie de urgentie duidelijk maken aan de rest van de workforce. Vertel met welke dreigingen de organisatie kampt, wat de organisatie hieraan wil doen, en vooral ook welk verschil individuele medewerkers kunnen maken. Het kwartje moet bij iedereen vallen.”
4. Integreer contextuele trainingen
Als ze los van de context van de dagelijkse praktijk staan, kunnen awarenesstrainingen als erg theoretisch worden ervaren. Daarom is het volgens Deen goed de lessen ook in die dagelijkse praktijk te integreren. “Denk daarbij aan een systeem dat automatisch herkent wanneer een medewerker een phishingmail opent. Dan kun je diezelfde dag nog een korte opfriscursus aanbieden. Met zo’n directe link naar de praktijk houdt men de lesstof langer vast.”
5. Gebruik humor
Deen beseft dat awarenessprogramma’s op desinteresse of zelfs weerstand kunnen stuiten. “Awarenesstrainingen kunnen aanvoelen als een ‘verplicht nummer’ dat kostbare tijd van de medewerkers vraagt. Bovendien past de materie niet per se bij ieders interesse. Toch moet een organisatie de aandacht zien vast te houden en resultaten behalen. Dat is geen gemakkelijke opgave.”
Humor is daarbij een heel krachtig wapen, zegt Deen: “Voorzie de trainingen van een knipoog, laat mensen ook af en toe lachen. Het hoeft niet altijd zo serieus te zijn. Sterker nog, lesstof die met humor wordt gebracht, blijft vaak beter hangen.”
6. Integreer securitybewustzijn in het onboardingproces
Het is goed medewerkers vanaf dag 1 bewust te maken van cyberdreigingen en risicomijdend gedrag. Volgens Deen kan dat heel effectief door het awarenessprogramma te integreren in de onboardingprocedure. “Slechte gewoonten zijn lastig af te leren. Maar wie oplettendheid vanaf het eerste moment krijgt ingepeperd, is er simpelweg meer mee vertrouwd en integreert het makkelijker in de dagelijkse werkzaamheden.”
7. Organiseer competities
Awarenessprogramma’s kunnen na een aantal maanden meestal wel een frisse wind gebruiken. Een interne competitie is daarvoor erg geschikt. Deen: “Denk aan een wedstrijd waarbij afdelingen punten kunnen verdienen door het afwenden van gesimuleerde aanvallen. Een ander idee is het verdelen van de organisatie in een aanvallende (‘red team’) en verdedigende partij (‘blue team’). Het red team moet daarbij het blue team uit de kast lokken. Een substantiële beloning kan de motivatie verder vergroten. Denk aan extra vakantiedagen, of aan een enorme beker die een afdeling met trots kan tonen.”
8. Doe een simulatietest
Iedere organisatie wil natuurlijk weten of en hoe de geïnvesteerde euro’s zich uitbetalen. Een bedrijfsbrede test is daarvoor een goed ijkmiddel. “Dat kan bijvoorbeeld door het (laten) simuleren van een grootschalige phishingaanval. Een periodieke, bedrijfsbrede test kan veel helderheid verschaffen in de effectiviteit van het awarenessprogramma en de ontwikkeling van het algehele bewustzijnsniveau. Zo kunnen organisaties tijdig het programma aanscherpen en de gespendeerde budgetten verantwoorden.”
9. Herhaal, herhaal, herhaal
Het is een wet van Meden en Perzen: de herhaling is de sleutel tot succes. Het bewustzijn en gedrag verbeteren niet of nauwelijks als bewustzijnstrainingen een ‘one-off’ zijn. Maak van deze trainingen dan ook een terugkerend event. Organisaties kunnen zich hiermee onderscheiden, want regelmatig terugkerende trainingen zijn in Nederland helaas nog een zeldzaamheid. Volgens onderzoek geeft slechts 16 procent van de organisaties zijn medewerkers een training die vaker terugkeert. Wereldwijd ligt dat aandeel op een kwart. Daar valt dus nog winst te behalen.