Aan ruim 80 procent van alle cyberaanvallen gaat een handeling van de mens vooraf. Denk aan bijvoorbeeld phishing-e-mails waarmee cybercriminelen hun slachtoffers manipuleren en informatie afhandig maken. Daarom is het belangrijk dat organisaties hun werknemers trainen, zodat ze de tactieken van cybercriminelen leren kennen en zich bewust zijn van de gevaren van het internet. Dat gaat veel verder dan je mensen vertellen dat ze ‘niet op linkjes mogen klikken’. Om de menselijke laag in cybersecurity te verstevigen, moeten organisaties zich ten doel stellen het gedrag van hun medewerkers te veranderen. Een security awareness-trainingsprogramma is hier een belangrijk middel voor. Mits goed voorbereid en ingericht, kan je hiermee een gezonde securitycultuur creëren.
Het veranderen van een cultuur, of het nou gaat om een bedrijfscultuur of een securitycultuur, kost tijd. Het houdt namelijk in dat medewerkers een gedragsverandering moeten ondergaan. En dat lukt alleen als mensen zich ook bewust zijn van hun eigen gedrag en ook welwillend zijn om hun gedrag te veranderen.
In de context van een securitycultuur betekent dit dat medewerkers zich bewust zijn van met welke mogelijke gevaren van het internet zij te maken kunnen krijgen. En welke risico’s hun eigen gedrag, bewust of onbewust, kan hebben voor hun organisatie. Als we de phishing-e-mail als voorbeeld nemen, dan is het onvoldoende dat mensen simpelweg weten wat een phishing-e-mail is en dat ze niet op een linkje mogen klikken. Ze moeten zich ook bewust zijn van de tactieken die cybercriminelen gebruiken om mensen te manipuleren en met welke mogelijke doelen cybercriminelen de phishing-e-mail uitsturen en welke risico’s dat kan hebben. Denk aan het versleutelen of stelen van bedrijfsgevoelige informatie, wat grote consequenties kan hebben voor de voortgang van bedrijfsactiviteiten of zelfs het voortbestaan van een organisatie.
Stapsgewijs securityproject
Een belangrijk middel om de securitycultuur van een organisatie te verbeteren is een security awareness-trainingsprogramma. Het succes van een trainingsprogramma staat of valt met een weldoordachte strategie en aanpak. Het verstevigen van een securitycultuur moet worden beschouwd als een project, waarbij de juiste stakeholders van een organisatie op het juiste moment zijn aangehaakt. En mijn ervaring is dat dit in de meeste organisaties onvoldoende, of zelfs helemaal niet gebeurt.
Het is belangrijk om stapsgewijs te werk te gaan om de kans van slagen van een security awareness-trainingsprogramma te vergroten. Ik heb een aantal tips op een rijtje gezet.
-
Begin nooit zonder commitment van het executive management-team
Een trainingsprogramma heeft pas succes als medewerkers op continue basis worden getraind: geen jaarlijkse PowerPoint in een zaaltje achteraf, maar wekelijkse, relevante online trainingsmodules die medewerkers overal kunnen volgen. Liefst in combinatie met gesimuleerde phishing-e-mails zodat gedragsverandering van medewerkers kan worden gemeten. Dat is een tijdsinvestering. En we weten allemaal: tijd is geld. Zorg daarom dat je, voordat je een security awareness-programma van start laat gaan, eerst commitment van je executive management-team hebt. Bereid een presentatie voor waarin je ingaat op het hedendaagse cyberdreigingslandschap en de noodzaak om medewerkers te onderwijzen. Maar waarin je ook de economische waarde laat zien die rechtvaardigt waarom medewerkers tijd aan het trainingsprogramma moeten spenderen. De calculatiemethode RoSI kan je hierbij helpen.
-
Maak van securitycultuur een gedeelde verantwoordelijkheid
Het creëren van security awareness valt in vrijwel alle organisaties onder de verantwoordelijkheid van it. Gezien de kennis en expertise over het onderwerp, is dat niet vreemd. Maar het is wel vreemd om alle activiteiten die nodig zijn om een security awareness-trainingsprogramma succesvol te maken, uit te laten voeren door it’ers. Net zoals je marketingmedewerker niet moet vragen om een firewall te configureren, is het onzinnig om een it’er te vragen in behapbare taal de interne communicatie te verzorgen. Het creëren van een securitycultuur moet door het executive management worden gezien als een project waaraan meerdere interne stakeholders met de juiste skills een bijdrage moeten leveren. Maak daarom, met goedkeuring van het executive management-team, resources beschikbaar bij afdelingen zoals marketing en hr om het project gezamenlijk vorm te geven en uit te voeren.
-
Ga langs bij alle afdelingen om hun it-uitdagingen te doorgronden en buy-in te krijgen
Voordat je alle medewerkers van je organisatie deelgenoot maakt van het security awareness-trainingsprogramma is het van belang om buy-in te krijgen bij alle afdelingsleiders. Hierbij helpt het om in eerste instantie een meeting in te plannen om de it-uitdagingen van elke afdeling scherp te krijgen. Die zijn voor een salesafdeling weer anders dan voor een finance-afdeling. Waar een deel van de trainingscontent afdelingsoverstijgend is, is het van belang om ook afdelingsspecifieke uitdagingen te belichten. Want hoe relevanter de content, hoe beter de trainingen beklijven en hoe succesvoller de resultaten zullen zijn. Door samen met afdelingsmanagers hun it-uitdagingen te bespreken en hen mede hierdoor te overtuigen dat het trainen van teamleden van belang is, zorg je ervoor dat je trainingsprogramma de urgentie krijgt die het verdient.
-
Simuleer een social engineering-aanval om de benchmark te bepalen voor je organisatie
Voordat je een security awareness-programma uitrolt, is het aan te raden om eerst een social engineering-aanval te simuleren. Bijvoorbeeld door zelf een phishing-e-mail te sturen naar een deel van je medewerkersbestand om te onderzoeken hoeveel medewerkers zich laten verleiden op een linkje te klikken. Het aantal mensen dat geneigd is op een phishing-link te klikken (ook wel het phish-prone percentage genoemd) geeft namelijk een goede indicatie van hoe kwetsbaar je organisatie is voor social engineering-aanvallen. Dit helpt je om een benchmark te bepalen en het effect van je security awareness-programma te monitoren, en hopelijk te bewijzen, nadat het van start is gegaan.
-
Communiceer over het belang van security awareness-programma voordat je van start gaat
Wanneer je je executive management-team hebt overtuigd, alle afdelingshoofden het belang van training onderschrijven en je de benchmark voor je programma hebt bepaald, komt het aan op de communicatie aan alle medewerkers. Stuur een duidelijke e-mail, geschreven vanuit de belevingswereld van de ontvanger, waarin je uitlegt welk doel het programma dient en wanneer het van start gaat. Maar waarin je ook vermeldt wat medewerkers mogen verwachten en wat van hen wordt gevraagd en hoe vaak, met daarbij meteen een link naar de eerste trainingsmodules. Zorg ook dat er een landingspagina beschikbaar is waar medewerkers antwoorden op hun vragen kunnen vinden en de contactgegevens van degene die het programma leidt.
-
Monitor de voortgang en maak reporting transparant
Maak in een dashboard inzichtelijk wat de resultaten zijn van het trainingsprogramma. Hoeveel medewerkers hebben hun trainingen op tijd voltooid? Wat is het phish-prone percentage, en neemt dat af ten opzichte van de nulmeting die je eerder hebt gedaan? Transparantie is belangrijk: zorg ervoor dat elk afdelingshoofd toegang heeft tot dit dashboard om zicht te houden op de vorderingen van het eigen team. Met de buy-in van de afdelingsleiders zorg je ervoor dat het trainingsprogramma wordt besproken in de wekelijkse meetings en dat het ook op de agenda blijft staan om de voortgang te bespreken.
Continue activiteit
Training is geen eenmalige, maar een continue activiteit. Wanneer je medewerkers zich bewust zijn van het belang van training en intrinsiek gemotiveerd zijn om de trainingen te volgen, zorg je ervoor dat je organisatie beter is beschermd tegen cyberaanvallen.
Prima te verdedigen opsomming.
Uiteraard zijn er ook nog aanvullingen zoals zorgen dat het programma aansluit bij de doelgroep door de situaties herkenbaar te maken. Cultuur verander je pas als mensen zichzelf herkennen het programma willen omarmen.
Allemaal waar maar never waste a good crisis signaleert PwC een toename van fraude als gevolg van een pandemie, ik weet niet of de fraude met coronasteun inclusief of exclusief is. Wel weet ik dat bedrijfsprocessen door inferieure platformen ondersteund worden als we kijken naar hetzelfde liedje over IdAAM. Oja, zolang je de schade/diefstal door kunt geven aan de klant is er niks aan de hand. Want als WC-eenden onder elkaar weten we dat de compliance kosten alleen maar stijgen, hieronder vallen namelijk:
1. Training en bewustmaking
2. Technologie- en infrastructuurkosten
3. Monitoring en rapportagekosten naleving
4. Tijd en inspanningen van medewerkers
5. Juridische kosten
6. Boetes en sancties
Wat betreft kostenmodellen liet recentelijke ophef bij KPMG zien dat een fraude met compliance vinkjes bij iedereen gebeurt. Een commitment voor fraude was er op het hoogste management/toezichthoudende niveau want iedereen deed er aan mee. Mogelijk door de productiviteitswaanzin van punt 4 want ik hoor dat een leven lang leren de intrinsieke nieuwsgierheid mist. Ik drink koffie en ik hoor nog weleens wat als actief in de markt rondlopende ICT-er;-)
Bij 100% van de cyberaanvallen is er een bevlogen manager geweest die oude eenvoudige analoge processen voor iedereen te begrijpen ‘niet meer van de tijd’ vond en een walhalla beloofde.