Omdat praktijken als spear phishing en ceo-fraude toenemen, is het als it’er een nobel voornemen om de organisatie waarvoor je werkt beter te beveiligen tegen social engineering. Een security awareness-training is het geijkte middel. Maar hoe je collega’s zover te krijgen zo’n training serieus te nemen?
Als je goede resultaten wilt boeken met een trainingsprogramma moet je je werknemers enthousiast maken en hun ingesleten gewoontes veranderen. Net als andere it’ers wil je doen wat goed is voor jouw organisatie – in dit geval een verdedigingslinie bouwen tegen cybercriminelen – maar weet je waarschijnlijk niet hoe je dat voor elkaar krijgt.
Enthousiasme
Vanuit mijn functie zie ik hoe organisaties wereldwijd security awareness-training implementeren. Vaak succesvol, maar soms vallen de resultaten tegen omdat het enthousiasme in de organisatie stokt. Daarom is het essentieel om als it-afdeling met een solide plan te komen, zodat je gaandeweg niet hoeft te verzinnen wat er nodig is de neuzen dezelfde kant op te krijgen.
Bij het opstellen van zo’n plan is het aan te raden korte interviews of enquêtes te houden, zodat je erachter komt hoe verschillende afdelingen en leidinggevenden naar cybersecurity kijken en wat hun gewoontes zijn. Dit geeft je inzicht in de verschillen en overeenkomsten tussen de collega’s. Bovendien ontdek je of leidinggevenden dezelfde visie hebben als de it-afdeling en of je nog politieke hordes moet nemen voordat je jouw plan presenteert.
Raamwerk
Met deze kennis in het achterhoofd kun je doelen stellen. Het is handig een raamwerk te gebruiken, zodat je de doelen zo tastbaar mogelijk maakt. Ik heb weinig op met goeroes, maar het smarter-raamwerk van productiviteitsgoeroe Michael Hyatt is praktisch en makkelijk in gebruik.
Volgens dit raamwerk moeten jouw doelen op het gebied van security awareness-training voldoen aan het volgende:
- Specifiek genoeg om te weten waar je de focus moet leggen. Wat hoop je te bereiken? Specificeer met welke middelen je de security awareness-training gaat promoten en wat voor gedragsverandering je voor ogen hebt.
- Meetbaar om voortgang bij te kunnen houden. Bedenk wat je gaat meten (aantal trainingen, aantal kliks in gesimuleerde phishing e-mails, testscores van afdelingen?).
- Actief met werkwoorden die duidelijk aangeven wat er in de organisatie moet gebeuren. Bijvoorbeeld: We verlagen het aantal kliks in gesimuleerde phishing e-mails van 22 naar twee procent voor het eind van dit jaar. Of we bouwen een security awareness-dashboard voor het eind van het eerste kwartaal.
- Risicovol (genoeg) om jezelf uit te dagen. Schat de toekomstige resultaten extra optimistisch in zodat je een duwtje in de rug krijgt om zo snel en efficiënt mogelijk aan de slag te gaan.
- Tijdsgebonden zodat je weet wanneer je wat moet doen. Als je een datum aan bepaalde activiteiten of doelen hangt, ben je veel meer geneigd om die doelen te behalen dan wanneer het ‘ooit een keer’ moet gebeuren.
- Enthousiast genoeg om jezelf en anderen te inspireren. Bedenk waarom een doel belangrijk is om te behalen (het grote plaatje!) en hoe je dat op een positieve, verrassende manier kunt communiceren.
- Relevant in de context van jouw organisatie en collega’s. Maak van cybersecurity geen abstract concept waar collega’s niets mee kunnen. Train met voorbeelden die medewerkers in het echt kunnen tegenkomen en die gerelateerd zijn aan jouw branche.
Amerikaans
Smarter dus. Een tikje Amerikaans is het wel, maar ik moet toegeven dat zo’n raamwerk functioneel is als je heldere doelen moet stellen en het gedrag binnen een organisatie wil veranderen. Ik ben benieuwd of er it’ers zijn die al op deze manier (of middels een soortgelijk raamwerk) hebben geïmplementeerd. En of er wellicht andere letters toe te voegen zijn aan dit lijstje? Laat het weten in de reacties.