Veel bedrijven zetten e-learning in om personeel te trainen op het gebied van cyberveiligheid. Welke (nieuwe) onderwerpen komen aan bod? En wat zijn de voor- en nadelen van online trainingen? Computable vroeg het aan Cédric Herregodts, directeur van Flowsparks, aanbieder van software waarmee onder meer online cyberveiligheidstrainingen worden gemaakt.
Een veelgevraagde competentie in de online scholing van personeel op cyberveiligheidsgebied is dataclassificatie, stelt Herregodts: ‘Het is voor werknemers steeds belangrijker om te leren hoe ze moeten omgaan met data en basiskennis te hebben van dataclassificatie. Mede door digitalisering krijgen organisaties meer data ter beschikking. Dat biedt kansen, maar brengt uiteraard ook risico’s met zich mee.’ Begrijpen hoe risicovol data is en weten welke data wel en niet gedeeld mogen worden, welk beschermingsniveau noodzakelijk is en of informatie openbaar, vertrouwelijk of zelfs zeer geheim is, is volgens hem cruciaal. Vooral nu er steeds strengere wet- en regelgeving rondom het delen van data bestaat.
De tweede competentie die hij terug ziet komen in de trainingen is ‘veilig gedrag’. De Flowsparks-ceo: ‘Kennis met betrekking tot preventie verandert. Waar voorheen vooral de focus lag op het opstellen van een sterk wachtwoord, zijn concepten als single sign-on (sso) en multi-factor authenticatie (mfa) niet meer weg te denken.’ Ook hier is het volgens hem belangrijk dat werknemers het belang en de werking van dergelijke constructies begrijpen en weten hoe ze ermee moeten werken. Hij adviseert de gebruikers van hun software om in de trainingen zo veel mogelijk met voorbeelden uit de praktijk duidelijk te maken dat menselijke fouten meestal de oorzaak zijn van incidenten.
Social engineering
Het derde onderwerp dat steeds vaker terugkomt in de online trainingen is social engineering. ‘Cybercriminelen maken hierbij gebruik van subtiele manipulatie door zich in het persoonlijke leven van medewerkers te mengen. Door vertrouwensrelaties te bouwen, weten ze op slinkse wijze gevoelige informatie los te krijgen, zoals wachtwoorden en bedrijfsgegevens’, doceert hij. In de trainingen wordt steeds vaker gedeeld hoe cursisten deze tactieken kunnen herkennen en hoe medewerkers alert kunnen blijven op verdachte contacten. Herregodts: ‘Waar traditionele beveiligingsmaatregelen vaak gericht zijn op technische kwetsbaarheden, richt social engineering zich juist op de menselijke factor. Medewerkers bewust maken van de gevaren en hen trainen om misleidende benaderingen te herkennen, is een belangrijke stap om te voorkomen dat waardevolle bedrijfsinformatie in verkeerde handen valt.’
Melden van incidenten
Ook is het steeds belangrijker om het proces rondom het melden van datalekken helder te hebben, stelt de directeur van de software-aanbieder voor digitale leermodules. ‘Als een organisatie slachtoffer is, dan moeten medewerkers weten hoe te handelen en kennis hebben van GDPR-verplichtingen. Maar het gaat ook om heel praktische zaken. Iemand heeft je computer gehackt, dan zorg je dat die zo snel mogelijk van het network wordt gekoppeld, je sluit je laptop en brengt die naar de ict-afdeling.’
E-learning vs. reguliere training
Met e-learning kunnen organisaties volgens Herregodts korter op de bal spelen als een incident zich heeft voorgedaan en veel sneller mensen bereiken. ‘De organisatie en het landschap verandert met de dag, een reguliere training kan dat niet bijhouden. Als werknemers niet over de juiste kennis beschikken, dan wordt jouw organisatie kwetsbaar. Een e-learningprogramma kan ad hoc worden opgezet en de weerbaarheid van je team versterken’, stelt hij.
Er wordt ook steeds meer technische kennis gevraagd van werknemers, maar dit kan voor iedereen anders zijn, benadrukt de Flowsparks-directeur. ‘De data waarmee mensen van verschillende afdelingen of functies in aanraking komen verschilt, dus de generieke voorbeelden spreken niet iedereen aan. Ook de situaties waarin datalekken kunnen ontstaan, zijn anders. Medewerkers met een bepaalde functie, zoals helpdeskmedewerkers, worden vaak sneller geconfronteerd met social engineering dan anderen.’
Ook wijst hij op de culturele verschillen binnen internationale bedrijven. ‘Met e-learning kunnen werknemers in hun eigen tempo en taal de trainingen volgen, wat zowel hun begrip als de effectiviteit van de training vergroot.’ Ook denkt hij dat e-learning de betrokkenheid van medewerkers kan vergroten door realistische scenario’s aan te bieden, waarbij werknemers keuzes maken binnen casussen die echt relevant zijn voor de eigen organisatie. ‘Deze interactieve aanpak maakt de leerervaring herkenbaarder, waardoor werknemers essentiële informatie beter onthouden. Realistische scenario’s helpen werknemers ook ‘transfereren in de situatie’, zodat ze daadwerkelijk weten wat ze moeten doen als ze in zo’n situatie terecht komen.’
Interactie met ict-afdeling
Hij somt nog een aantal praktische voordelen op. Werknemers kunnen e-learning volgen op een plaats en tijdstip die hen uitkomen. E-learningprogramma’s kunnen vaak automatisch vertaald worden naar de moedertaal van de cursist. ‘Zeker in internationale organisaties is dit heel belangrijk. Ook krijgen organisaties digitaal inzicht in wie een opleiding heeft gevolgd en kunnen ze automatische herinneringen uitsturen.’ Dat kan de administratieve lasten verlichten, stelt hij.
Volgens Herregodts kunnen bedrijven de digitale leerprogramma’s ook eenvoudiger personaliseren voor werknemers die behoefte hebben aan extra of aangepaste trainingen. Als enige nadeel noemt hij de afstand tussen een afdeling (bijvoorbeeld ict) en de werknemer die bij e-learning mogelijk iets groter is. Bij een online cursus is er soms iets minder directe interactie tussen cursisten en de ict- of security-afdeling, stelt hij.
Flowspraks biedt de software aan om e-learnings te bouwen, vertalen en te distribueren. Ze kunnen ze ook samen met de klant, op maat maken. De inhoudelijke kennis over de topics komt steeds van de klant. Onder meer truckbouwer DAF, apotheekketen Mediq en telecomreus KPN maken gebruik van de software voor het bouwen van trainingen.
Dataclassificatie dat steeds belangrijker zou worden 😛
Je vraagt je af waar het dan eerst over ging.
Je hebt data en die wil je beschermen, das het hele punt lijkt me zo.
En inderdaad, dan is een classificatie wel handig.
Probleem is vaak wie dat dan zou moeten doen.
Zijn die medewerkers zelf wel gekwalificeerd 😉
En zo ja, weten ze waar die data uithangt dan, met die multicloud shadow ict naast de legacy en beheerd door al die externen die een poosje meedraaien. Je weet wel, de flexibele schil van kenniswerkers die hun kennis meenemen.
Beetje de auditors manipuleren is niet zo moeilijk als niemand zelf nauwelijks nog snapt hoe de zooi in mekaar steekt en die het wel weten hebben geen belang bij pottekijkers.
Voor het overblijvende uitgelekte company falen nog een paar exemptions aanvragen.
Strikje erom en je certificering in het rond bleren.