Veel bedrijven zetten e-learning in om personeel te trainen op het gebied van cyberveiligheid. Welke (nieuwe) onderwerpen komen aan bod? En wat zijn de voor- en nadelen van online trainingen? Computable vroeg het aan Cédric Herregodts, directeur van Flowsparks, aanbieder van software waarmee onder meer online cyberveiligheidstrainingen worden gemaakt.
Een veelgevraagde competentie in de online scholing van personeel op cyberveiligheidsgebied is dataclassificatie, stelt Herregodts: ‘Het is voor werknemers steeds belangrijker om te leren hoe ze moeten omgaan met data en basiskennis te hebben van dataclassificatie. Mede door digitalisering krijgen organisaties meer data ter beschikking. Dat biedt kansen, maar brengt uiteraard ook risico’s met zich mee.’ Begrijpen hoe risicovol data is en weten welke data wel en niet gedeeld mogen worden, welk beschermingsniveau noodzakelijk is en of informatie openbaar, vertrouwelijk of zelfs zeer geheim is, is volgens hem cruciaal. Vooral nu er steeds strengere wet- en regelgeving rondom het delen van data bestaat.
De tweede competentie die hij terug ziet komen in de trainingen is ‘veilig gedrag’. De Flowsparks-ceo: ‘Kennis met betrekking tot preventie verandert. Waar voorheen vooral de focus lag op het opstellen van een sterk wachtwoord, zijn concepten als single sign-on (sso) en multi-factor authenticatie (mfa) niet meer weg te denken.’ Ook hier is het volgens hem belangrijk dat werknemers het belang en de werking van dergelijke constructies begrijpen en weten hoe ze ermee moeten werken. Hij adviseert de gebruikers van hun software om in de trainingen zo veel mogelijk met voorbeelden uit de praktijk duidelijk te maken dat menselijke fouten meestal de oorzaak zijn van incidenten.
Social engineering
Het derde onderwerp dat steeds vaker terugkomt in de online trainingen is social engineering. ‘Cybercriminelen maken hierbij gebruik van subtiele manipulatie door zich in het persoonlijke leven van medewerkers te mengen. Door vertrouwensrelaties te bouwen, weten ze op slinkse wijze gevoelige informatie los te krijgen, zoals wachtwoorden en bedrijfsgegevens’, doceert hij. In de trainingen wordt steeds vaker gedeeld hoe cursisten deze tactieken kunnen herkennen en hoe medewerkers alert kunnen blijven op verdachte contacten. Herregodts: ‘Waar traditionele beveiligingsmaatregelen vaak gericht zijn op technische kwetsbaarheden, richt social engineering zich juist op de menselijke factor. Medewerkers bewust maken van de gevaren en hen trainen om misleidende benaderingen te herkennen, is een belangrijke stap om te voorkomen dat waardevolle bedrijfsinformatie in verkeerde handen valt.’
Melden van incidenten
Ook is het steeds belangrijker om het proces rondom het melden van datalekken helder te hebben, stelt de directeur van de software-aanbieder voor digitale leermodules. ‘Als een organisatie slachtoffer is, dan moeten medewerkers weten hoe te handelen en kennis hebben van GDPR-verplichtingen. Maar het gaat ook om heel praktische zaken. Iemand heeft je computer gehackt, dan zorg je dat die zo snel mogelijk van het network wordt gekoppeld, je sluit je laptop en brengt die naar de ict-afdeling.’
E-learning vs. reguliere training
Met e-learning kunnen organisaties volgens Herregodts korter op de bal spelen als een incident zich heeft voorgedaan en veel sneller mensen bereiken. ‘De organisatie en het landschap verandert met de dag, een reguliere training kan dat niet bijhouden. Als werknemers niet over de juiste kennis beschikken, dan wordt jouw organisatie kwetsbaar. Een e-learningprogramma kan ad hoc worden opgezet en de weerbaarheid van je team versterken’, stelt hij.
Er wordt ook steeds meer technische kennis gevraagd van werknemers, maar dit kan voor iedereen anders zijn, benadrukt de Flowsparks-directeur. ‘De data waarmee mensen van verschillende afdelingen of functies in aanraking komen verschilt, dus de generieke voorbeelden spreken niet iedereen aan. Ook de situaties waarin datalekken kunnen ontstaan, zijn anders. Medewerkers met een bepaalde functie, zoals helpdeskmedewerkers, worden vaak sneller geconfronteerd met social engineering dan anderen.’
Ook wijst hij op de culturele verschillen binnen internationale bedrijven. ‘Met e-learning kunnen werknemers in hun eigen tempo en taal de trainingen volgen, wat zowel hun begrip als de effectiviteit van de training vergroot.’ Ook denkt hij dat e-learning de betrokkenheid van medewerkers kan vergroten door realistische scenario’s aan te bieden, waarbij werknemers keuzes maken binnen casussen die echt relevant zijn voor de eigen organisatie. ‘Deze interactieve aanpak maakt de leerervaring herkenbaarder, waardoor werknemers essentiële informatie beter onthouden. Realistische scenario’s helpen werknemers ook ‘transfereren in de situatie’, zodat ze daadwerkelijk weten wat ze moeten doen als ze in zo’n situatie terecht komen.’
Interactie met ict-afdeling
Hij somt nog een aantal praktische voordelen op. Werknemers kunnen e-learning volgen op een plaats en tijdstip die hen uitkomen. E-learningprogramma’s kunnen vaak automatisch vertaald worden naar de moedertaal van de cursist. ‘Zeker in internationale organisaties is dit heel belangrijk. Ook krijgen organisaties digitaal inzicht in wie een opleiding heeft gevolgd en kunnen ze automatische herinneringen uitsturen.’ Dat kan de administratieve lasten verlichten, stelt hij.
Volgens Herregodts kunnen bedrijven de digitale leerprogramma’s ook eenvoudiger personaliseren voor werknemers die behoefte hebben aan extra of aangepaste trainingen. Als enige nadeel noemt hij de afstand tussen een afdeling (bijvoorbeeld ict) en de werknemer die bij e-learning mogelijk iets groter is. Bij een online cursus is er soms iets minder directe interactie tussen cursisten en de ict- of security-afdeling, stelt hij.
Flowspraks biedt de software aan om e-learnings te bouwen, vertalen en te distribueren. Ze kunnen ze ook samen met de klant, op maat maken. De inhoudelijke kennis over de topics komt steeds van de klant. Onder meer truckbouwer DAF, apotheekketen Mediq en telecomreus KPN maken gebruik van de software voor het bouwen van trainingen.
Dataclassificatie dat steeds belangrijker zou worden 😛
Je vraagt je af waar het dan eerst over ging.
Je hebt data en die wil je beschermen, das het hele punt lijkt me zo.
En inderdaad, dan is een classificatie wel handig.
Probleem is vaak wie dat dan zou moeten doen.
Zijn die medewerkers zelf wel gekwalificeerd 😉
En zo ja, weten ze waar die data uithangt dan, met die multicloud shadow ict naast de legacy en beheerd door al die externen die een poosje meedraaien. Je weet wel, de flexibele schil van kenniswerkers die hun kennis meenemen.
Beetje de auditors manipuleren is niet zo moeilijk als niemand zelf nauwelijks nog snapt hoe de zooi in mekaar steekt en die het wel weten hebben geen belang bij pottekijkers.
Voor het overblijvende uitgelekte company falen nog een paar exemptions aanvragen.
Strikje erom en je certificering in het rond bleren.
Misschien kan Dino een e-learning maken over hoe je informatie naar waarde voor de business classificeert want een eerdere samenhang tussen het Informatie Lifecycle Management (ILM) en het databeheer lijkt verdwenen door:
1. Uitbesteding van het databeheer aan ‘cloud’ leveranciers.
2. Alleen focus op real-time data zonder lange termijn strategie.
3. Ontbreken van ketenbeheer door allerlei silo’s in de organisatie.
Heb nog even een eerdere discussie met een voormalige cloud evangelist vanuit het archief bekeken want de vertrouwelijke bonnetjes van Teeven waren niet weg maar op een verkeerde manier opgeslagen. Het vervelende van data als bewijs heeft dan ook niet zoveel met de techniek te maken want daarmee kun je bewijs uit het ongerijmde maken waardoor een nieuw risico in de moderne datasynthese van AI ligt. Dat is goed nieuws voor de makers van trainingen want hoe herken je de waarheid als de gebruikers te manipuleren zijn?
Van evangelist naar opportunist bladerde ik even terug vanwege de social engineering aangezien je afvragen waarover het ging om zoiets als een digitaal geheugen gaat. Ik mis daarom de waarschuwing over een advertorial omdat wij van WC-eend vooral een verkoopverhaal herkennen met de lagere cognitieve competentie van herinnering. Het didactische model van een vinkje voor de compliance is namelijk evenveel waard als de belofte van een verkoper die garantie tot de voordeur biedt:
“Deze interactieve aanpak maakt de leerervaring herkenbaarder, waardoor werknemers essentiële informatie beter onthouden.”
O tempora, o mores schijnt het onthouden een stuk beter te gaan met de positieve bekrachtiging van straffen want één euvel in het verhaal is het ontlopen van verantwoordelijkheid. Zo wordt de oplossing van je laptop naar de ICT-afdeling brengen lastig als er een BYO beleid geldt. Schaduw IT van Dino is een dingetje als ik kijk naar ‘follow the data’ in het classificeren van de processen want kennis van GDPR-verplichtingen is ook een lachertje als er geen privacy-by-design is door een slecht Informatie Lifecycle Management.
Lang leve de cloud omdat je daarmee de gebruiker naar de data brengt in plaats van de data naar gebruiker. Nu schijnen sommigen zich nog wat te vergissen in het service model van de cloud en plaatsingsmodel door een uitbesteding van het databeheer omdat er geen focus is op het residu van digitalisering. De flexibele schil van kenniswerkers die hun kennis meenemen levert problemen op met het digitale geheugen zoals bleek met het vertrouwelijke bonnetje van Teeven. Want gisteren geheim, morgen oud nieuws zit er enige dynamiek in de classificatie van data door zoiets als een lifecycle.
Misschien geeft heel computable als advertorial wel aan wat er aan schort. Wie classificeert welk artikel als advertorial en op basis waarvan eigenlijk ? En wat is single source of truth in een multichannel bubbled fakenews cloud ?
Er valt nog een hoop te bespreken en adviseren.
Eindeloos.
Gelukkig 🙂
De consultancies natte droom van BCM en LCM gecombineerd als BS.
Wie herinnert zich nog de sprekert van Toon ?
En wij allen , lieve vrienden
Wij laten ons aantasten
Door het tempo van deze tijd
We rennen , we jachten en we jagen
Wij leven in het tijdperk van vrouw Holle
Ongetwijfeld vrienden
Zult u mij een vraag willen stellen
En u zult mij vragen
Sprekert
Waar moet de mens dan de oplossing zoeken ?
En dan zal ik antwoorden
Weet ik feel
Want vrienden ik weet niet veel
Wij weten niet veel
Dataclassificatie was sowieso altijd al heel belangrijk, maar dataopslag werd relatief erg goedkoop en is door cloud diensten o zo gemakkelijk uit te breiden.
Vanwege cybersecurity, wordt er wellicht beter nagedacht wat men wil of moet bewaren, wie waar bij mag, hoe belangrijk de beveiliging is van bepaalde data en wanneer data beter opgeschoond kunnen worden. Al blijft het mogelijk om verkeerd naar data te kijken.