Met saas-platforms voor security awareness-training kan ontzettend veel. Maar gave technologie is niet genoeg om cybersecurity te laten leven in organisaties.
Een van de meest kostenefficiënte maatregelen die organisaties kunnen nemen tegen cybercrime is security awareness training voor medewerkers. De technologie achter saas-platforms voor security awareness training maakt het voor it’ers eenvoudig om een trainingsprogramma op te zetten. Toch is er meer nodig voor een effectieve training dan alleen het uitrollen van een trainingsprogramma, hoezeer je dat ook afstemt op de behoeftes binnen jouw organisatie. Ik druk it-managers in binnen- en buitenland op het hart dat een trainingsprogramma moet worden ingebed in het bedrijf middels goede communicatie, aandacht voor mensen en een cultuur waarin beveiliging door iedereen gedragen wordt (‘security culture’).
Valkuilen
Ik geloof er sterk in dat we als organisaties kunnen leren van elkaar, zeker als het gaat om cybersecurity, een dreiging waar we immers allemaal mee te maken hebben. Het is belangrijk om het volle potentieel van security awareness-training te benutten en zo de risico’s van phishing, ransomware en allerlei vormen van social engineering in te perken. Valkuilen bij het opzetten van een trainingsprogramma zijn er genoeg, maar ze zijn allemaal overkomelijk. Hieronder een aantal missers ter inspiratie.
Wat niet te doen bij security awareness-training?
- Vergeten te communiceren met medewerkers
Waarom is security awareness training nodig? Waarom is het verplicht? Waarom moet het zo vaak? Vragen die medewerkers ongetwijfeld zullen hebben. Als je die vragen niet beantwoordt of als je slechts eenmalig uitleg geeft, voelen medewerkers weinig enthousiasme om deel te nemen. Praat de collega’s daarom continu bij over de noodzaak van een training en gebruik actuele voorbeelden van cyberaanvallen binnen de branche. Verval daarbij niet in fear, uncertainty and doubt. Ja, bedreigingen zijn er nu eenmaal, maar wat is het specifieke risico voor jouw organisatie en hoe eng is dat dan eigenlijk? Vertaal wat je ziet in de wereld naar concrete stappen die het bedrijf kan nemen om de risico’s te verkleinen. Blijf realistisch en positief (‘dit is wat we samen allemaal kunnen doen’). Een negatieve benadering is voor medewerkers geen stimulans.
- Het alleen proberen te doen
Nobel, maar de it -afdeling kan een training niet in zijn eentje succesvol toepassen. Door iedereen erbij te betrekken (directie, hr, communicatie) creëer je een cultuur waarin het trainingsprogramma breed gedragen wordt en een vanzelfsprekendheid is. Dat wordt nog eens versterkt als de directie het belang van een training regelmatig onderstreept. Dit alles vergt samenwerking en coördinatie tussen veel verschillende mensen. Niet altijd makkelijk voor it’ers die gewend zijn meer bottom-up dan top-down te werken, en soms niet weten hoe de scheidslijnen tussen afdelingen te doorbreken. Het bouwen van een security culture is daarom typisch iets voor ‘mensenmensen’ met verstand van technologie. Mensen die meningen, gewoontes en gedragingen van collega’s ten positieve kunnen beïnvloeden. Schuif de training dus niet bij it’ers in de schoenen die zich liever met technologie alleen bezighouden.
- Generaliseren
Bij security awareness-training gaat one-size-fits-all niet op. Je hebt te maken met individuen die allemaal op hun eigen manier en in hun eigen tempo leren. De een doet het goed in een klassikale setting, de ander is een typische autodidact en weer en ander pakt spelenderwijs de meeste informatie op. Geef gebruikers zelf de keuze hoe ze het trainingsprogramma doorlopen. Dat kan door verschillende vormen van content aan te bieden, waaronder videoseries, presentaties, games en podcasts. Houd met voortgangsrapportages en gesimuleerde phishingaanvallen in de gaten hoe mensen scoren, en stuur per persoon bij waar nodig. Met andere woorden: ga in het trainingsprogramma niet tegen mensen in maar werk met ze mee. Dat ze informatie oppikken is veel belangrijk dan dat het hokje ‘security awareness-training’ is af te vinken.
- Het te eenvoudig houden
Realiseer je dat de reguliere manier van trainen bijzonder saai is. En dat maakt een training voor medewerkers een vervelend taakje. Gelukkig kun je met een trainingsprogramma alle kanten op. Wees creatief! Dat begint al met de keuze voor een aanbieder met vermakelijke trainingscontent, maar je kunt als organisatie zelf ook een hoop doen. Zo zijn er bedrijven die in plaats van presentaties in de vergaderzaal een maandelijkse ‘security borrel’ houden. De opkomst is vrijwel gegarandeerd hoog, en tijdens het borrelen krijgen mensen in minder dan tien minuten wat belangrijke securitykennis mee middels een plenair praatje. Ook een middag met themaspelletjes is al eens gedaan. Pas overigens wel op voor een teveel aan informatie. Doseer onderwerpen en uitspattingen, anders slaat de verveling toe en verlies je de aandacht van eindgebruikers.
Verdedigingslinie
Houd deze missers in gedachte als je zelf met een trainingsprogramma voor security awareness aan de slag gaat voor jouw organisatie. Medewerkers trainen tegen cyberaanvallen is een absolute noodzaak, maar als het door collega’s wordt gezien als een ‘moetje’ vanuit compliance is training niet effectief. Om van medewerkers een echte verdedigingslinie te maken tegen cybercrime moet je mensen centraal stellen en samen aan een security culture bouwen.
“Maar gave technologie is niet genoeg om cybersecurity te laten leven in organisaties.”
Ik neem aan dat hier beveiligingsbewustzijn bedoeld wordt want cybersecurity lijkt me een dood ding waar je geen leven in kunt blazen. Wat betreft ergens leven in blazen is er trouwens meer dan cybersecurity als we kijken naar de trainingsprogramma’s voor veiligheid. Gave technologie is niet genoeg om iemand van de bodem te vissen. Er verdrinken er tenslotte meer in het glas dan in de zee als het om de maandelijkse ‘security borrel’ gaat.