Medewerkers die bij hun collega's moeten zorgen voor meer bewustwording van cyberrisico's, hebben daarvoor te weinig tijd of onvoldoende vaardigheden. Dat concludeert opleider Sans Institute na wereldwijd onderzoek onder ruim duizend security awareness-professionals.
Veel grote organisaties hebben mensen aangesteld die verantwoordelijk zijn voor verbetering van de security awareness onder het personeel. Dit gebeurt dan meestal aan de hand van awareness-programma’s. Daarmee kunnen beveiligingsteams achterhalen welke menselijke cyberrisico’s de organisatie kent, hoe medewerkers daar alerter op worden en hoe ze hun gedrag aanpassen om de risico’s te verkleinen.
Veruit de meeste mensen die verantwoordelijk zijn voor security awareness, besteden daaraan weinig tijd. Zo’n zeventig procent van hen besteedt er minder dan de helft van hun tijd aan, blijkt uit het onderzoek. Bovendien gaat het vaak om technische medewerkers zonder vaardigheden om collega’s aan te spreken in eenvoudige taal.
Tijdgebrek
Het optuigen van een awareness-programma kost tijd en daar wringt meestal de schoen. Veel ondervraagden ondervinden een gebrek aan tijd voor projectbeheer en gebrek aan educatietijd. Wat ook niet helpt, is dat organisaties vaak een tekort aan personeel hebben.
Toch worden ook successen geboekt qua bewustwording van cyberrisico’s. Uit de benchmark van Sans blijken minstens drie factoren die bijdragen aan een succesvol awareness-programma: sterke steun vanuit het management, een groot programmateam en een hoge trainingsfrequentie.
Precies dit probleem hebben wij in mijn ogen opgelost. Om er niet een reclame show van te maken, zal ik algemeen stellen hoe je deze uitdaging aangaat:
– Bewustwording ontstaat niet in een dag en is een doorlopend iets.
– Om het doorlopend onder de aandacht te krijgen heb je herhaling nodig
– Maar mensen hebben het druk en ook nog veel andere dingen te doen dan bezig zijn met beveiligen van de organisatie.
– Dus zorg niet voor saaie herhaling met animatie poppetjes
– Maar vertel een verhaal met echte interactie
– Zorg dat iemand zijn of haar eigen situatie herkend en de gevolgen daarvan ziet
– Dus geen vertalingen uit het Engels, maar de eigen omgeving of situatie
– Help ook de IT-ers of enthousiastelingen met hen helpen anderen te helpen
– Biedt voldoende verdieping voor deelnemers die een stapje meer willen weten
Zorg ervoor dat dit in leven houden vanzelf gaat en dat mensen zelf over de onderwerpen gaan praten en nadenken.
Beloon dit ook.
En ja, ook KPI’s zijn belangrijk, maar om mijn reactie kort te houden zal ik deze (nog) niet invullen. Het is geen rocket science, maar deel je successen.
Tot slot: Ben je als organisatie slachtoffer geweest? Deel jouw lessen. Er is niets om je voor te schamen, ook niet als de voordeur niet goed op slot zat. Delen maakt de beste verhalen die mensen wel echt helpen hun gedrag aan te passen.
Geen wij van WC-eend? Mij bekruipt het gevoel dat mijn reacties niet alleen gelezen worden maar ook begrepen want eerlijk is eerlijk, ik ben het met Henri eens over het gebruik van eigen taal. De e-mail in perfect Nederlands over een prins die hulp nodig heeft is nu eenmaal geloofwaardiger dan een prins met een Duits accent.
Kudos voor de beloning Henri maar met een witte jas aan wordt je nog geloofwaardiger;-)
Dank oudlid, en het is duidelijk wat ik doe, maar door in ieder geval iets van waarde te geven ligt de nadruk niet op de WC-eend maar op een schoon toilet 🙂
“Bovendien gaat het vaak om technische medewerkers zonder vaardigheden om collega’s aan te spreken in eenvoudige taal.”
hoe zouden die gesprekken gaan :
kun je niet lezen ? wat staat daar nou ? wat snap je niet aan aan geen vreemde attachments openen ? zal het uitlegge, heee das een vreemde attachment, die niet openen !
usercode/wachtwoord, ja waarom zou je dat nou moetuh invulluh. ja precies, die daar op die gele briefjes op je scherm.
waarom ? wat denk je, voor security misschien, zou het ?
alleen ssl jahaa met dat kinderslotje, zucht.
had ik maar een vak geleerd, dan hoefde ik geen cyberkleuterjuf te speluh.
Ik roep al jaren dat ICT een leuk vak was tot ze de gebruiker uitvonden want vroeger was alles beter Dino. We hadden geen discussie over de communicatie, iedereen begreep direct wat er met hot-plug ‘reet’ unit met twee nippels bedoeld werd. Want vooral in de technische IT moest je vrouwen nog zoeken maar aan alle goede dingen komt een eind en wat rest is de herinnering. Want eerder is het de kleuterjuf die geen weet heeft van de materie. Dit geldt niet alleen ICT maar alles wat techniek betreft, luister maar eens naar gesprekken bij de garage.
Iedereen opleiden tot niveau automonteur 2 is een optie, we’re all indians als het om collega’s gaat want door uitbesteding zijn de verhoudingen anders komen komen te liggen. Geen tijd, geen geld voor opleidingen is vooral een keus op het niveau management.
En voor Henri, in mijn tijd boenden we de WC’s met een tandenborstel en de groene zeep. Onze tanden waren bruin maar onze toiletten stralend wit;-)
https://www.youtube.com/watch?v=CFdZWgiAj8I The Cloud volgens Kitty Flanagan