Zo train je medewerkers om veilig te werken

security awareness-training

Experts stellen dat personeel de zwakste schakel is in de beveiliging van je bedrijfsdata. Natuurlijk moet je technische maatregelen nemen om bedrijfsgevoelige informatie te beveiligen, maar zonder goede bewustwording bij medewerkers loop je nog steeds een verhoogd risico op datalekken. Hoe pak je dat aan? En welke rol speelt een security awareness-training daarin?

Een ongeluk zit in een klein hoekje. Een medewerker hoeft maar op een malafide bijlage in een phishingmail te klikken of een besmette usb-stick in zijn device te steken om met malware geïnfecteerd te raken. Zo’n kwaadaardig programmaatje kan ongemerkt zijn gang gaan en bijvoorbeeld toetsaanslagen of andere gevoelige informatie doorspelen naar de cybercrimineel.

Een actuele virus- en malwarescanner kan dat voorkomen, al verschijnen dagelijks nieuwe vormen van malware die niet door dit soort software herkend worden. Er is dus meer nodig voor goede informatiebeveiliging.

Cyberskills verbeteren

Bewustwording is van essentieel belang om je bedrijfsdata veilig te houden. Naast technische maatregelen zoals het gebruik van up-to-date besturingssystemen, een antivirusprogramma, firewall en een VPN-verbinding moet je de cyberskills van je medewerkers op orde houden.

‘Uiteindelijk zijn de voorzorgsmaatregelen die je treft net zo sterk – of zwak – als de belangrijkste schakel in het beschermen van gegevens. En dat is de mens’, aldus Remko Endeman van BeOne Development. Het Hilversumse bedrijf is expert op het gebied van security awareness-training en helpt organisaties om de bewustwording op dit vlak te vergroten.

Cyberaanvallen voorkomen

Volgens Endeman kunnen veel cyberaanvallen voorkomen worden als gebruikers weten hoe ze risicobewust met informatie omgaan, en daar ook consequent naar handelen. Helaas is de werkelijkheid vaak anders.

‘Ga voor jezelf maar eens na of je wel eens updates negeert, back-ups vergeet te maken of hetzelfde wachtwoord voor meerdere accounts gebruikt.’ Om toekomstige aanvallen te voorkomen of de impact ervan te beperken, is het nodig dat medewerkers bewust worden van de gevaren, én de mogelijkheden die ze hebben om het cybercriminelen lastiger te maken.

‘De ontwikkelingen en nieuwe dreigingen volgen elkaar in rap tempo op, wat ook het belang van training benadrukt. Medewerkers moeten bewust worden én bewust blijven van hun aandeel in het beschermen van gegevens. Informatiebeveiliging moet routine worden.’

Security awareness-training

BeOne Development biedt korte trainingsinterventies aan om het risico op menselijke fouten te verkleinen. ‘We zijn van mening dat iedereen binnen de organisatie verantwoordelijk is voor cybersecurity, dus niet alleen de IT-afdeling.’

‘Geef leidinggevenden bijvoorbeeld een shortlist met daarop de basisprincipes van informatiebeveiliging. Punten daarvan zouden ze geregeld in meetings naar voren kunnen laten komen, afgestemd op de behoeften, rollen en competenties van hun teamleden. De marketingafdeling kan op zijn beurt aangehaakt worden en zich richten op een bewustwordingscampagne die security op een leuke manier onder de aandacht brengt.’

Wedstrijdelement toevoegen

Aantrekkelijk trainingsmateriaal is sowieso belangrijk om een bewustwordingscampagne te laten slagen, betoogt Endeman. ‘Voor veel medewerkers is een training rondom cybersecurity verplichte kost. Een moetje waar je jezelf met tegenzin doorheen werkt. Maar dat hoeft helemaal niet! Voeg een wedstrijdelement toe en organiseer bijvoorbeeld een selfiewedstrijd om medewerkers te motiveren op een originele manier vast te leggen hoe ze met securityrisico’s omgaan.’

‘Ook gamification en gesimuleerde phishing e-mails voegen een competitie-element toe. Door ranglijsten beschikbaar te maken waarop is te zien hoe per afdeling gescoord, spoor je mensen aan om zich in cybersecurity te verdiepen. Wedstrijdjes wil je immers graag winnen!’

Bewustwordingscampagne

In de trainingen van BeOne Development wordt gebruikgemaakt van story-based learning. ‘Interactie en herkenbaarheid is erg belangrijk. Daarom volgen we een duidelijke verhaallijn die zich afspeelt in de context van de alledaagse werkzaamheden en de moderne kantooromgeving. Korte oefeningen en duidelijke informatieblokken zorgen voor een interactiviteit en betrokkenheid van de deelnemers’, aldus Endeman.

Voor organisaties die aan de slag willen met een eigen bewustwordingscampagne heeft hij nog een aantal tips:

  • Beloon goed, risicobewust gedrag. Bijvoorbeeld met een handgeschreven bedankje of een certificaat dat medewerkers krijgen na het behalen van een security awareness-training.
  • Identificeer security-ambassadeurs in je organisatie en geef ze de ruimte om bedrijfsbrede initiatieven uit te werken en security actief te promoten. Zo verhoog je het succes van de bewustwordingscampagne.
  • Gebruik interne kanalen als het intranet om securitytips te delen en eerder behandelde onderwerpen op te frissen.
  • Betrek cybersecurity op de thuissituatie, want ook daar moeten medewerkers bewust zijn van de risico’s. Laat zien hoe je thuis zowel fysiek als virtueel een veilige omgeving creëert.

Meer lezen over security? Download de gratis whitepaperHoe beveilig je mobiele devices en data‘. En lees ook:

 


HP Security Festival