Hoe vergroot je de security awareness van je medewerkers?

Hoe goed je de beveiliging binnen je organisatie ook geregeld hebt, personeel blijft nog vaak de zwakste schakel. Als IT-afdeling heb je daar je handen vol aan. In dit artikel geven we tips wat je als IT kunt doen om de bewustzijn te vergroten.

We kennen allemaal de verhalen. Zoals de Universiteit Maastricht waar de computersystemen vlak voor kerst 2019 werden platgelegd door ransomware. Pas na betaling van twee ton losgeld, konden studenten en docenten weer hun computers in. De oorzaak? Iemand had op 15 oktober een link aangeklikt van een phishingmail.

Cases security awareness onvoldoende

Denk niet dat dit alleen grote bedrijven overkomt, ook kleine bedrijven kunnen in de problemen komen doordat de security awareness van medewerkers onvoldoende is. Alleen durven veel bedrijven er nog niet voor uit te komen. Twee anonieme cases beschrijven wel de vervelende gevolgen van die onnadenkendheid.

Zo werd het mailaccount van een werknemer gehackt. Oorzaak? Een te makkelijk wachtwoord. De hackers hebben vervolgens drie uur lang toegang gehad tot de mailbox. Ze verstuurden in die periode mails met malafide links en malware naar zijn hele contactenlijst, inclusief collega’s, leveranciers, partners en klanten. Doordat klanten contact opnamen met de betreffende werknemer, kon snel actie ondernomen worden. Maar vervelend was het wel.

Nog een laatste voorbeeld betreft het risico van onveilige wifi-netwerken. In dit geval logde een medewerker in op het wifi-netwerk van een hotel. Dat dacht hij althans. Het bleek echter om een wifi-netwerk van een hacker te gaan. Twee weken lang hebben ze offertegesprekken uit zijn mailbox overgenomen en ervoor gezorgd dat de werknemer in kwestie niet doorhad dat klanten akkoord gaven op opdrachten. Gevolg? De werknemer was in de veronderstelling dat er nog geen deal was, terwijl de klanten al betaald hadden (aan de hackers). .

Tips awareness vergroten

Er zijn verschillende manieren om ervoor te zorgen dat je medewerkers zich bewuster zijn van hun rol als het gaat om security. Het is wel belangrijk om bij alle methoden te waken voor een zogenaamde angstcultuur. Je wilt geen sfeer creëren waarin mensen zo bang zijn om steken te laten vallen, dat ze eventuele beveiligingslekken niet durven te melden.

Geef een cursus over beveiliging

Het kan helpen om als IT per afdeling een cursus of masterclass over beveiliging te geven. Dit kan uiteraard ook op afstand door middel van videoconferencing.

Ga hier vooral in op situaties waar de medewerker zelf de zwakste schakel kan zijn, bijvoorbeeld bij het openen van een bijlage in een verdachte e-mail of het niet wijzigen van wachtwoorden. Zorg dat er ook onderwerpen aan bod komen die als ‘domme vragen’ kunnen worden gezien.

Niet iedere afdeling heeft dezelfde behoeften, pas de inhoud van de cursus dus aan op de doelgroep.

Verstuur testmails

Nadat je een cursus hebt gegeven, is het belangrijk om te testen of de kennis is blijven hangen. Stuur daarom eens in de zoveel tijd een zelfgemaakte ‘spam-mail’. Zorg ervoor dat de medewerkers die de bijlage openen, de boodschap krijgen dat ze er met open ogen ingetuind zijn.

Tip: zo beveilig je de laptops van je medewerkers nóg beter, zonder extra kosten.

Awareness vergroten: houd de score bij

Houd bij wie er vaker in deze testmails trapt, maar maak zeker niet openbaar wie dit zijn. Het is de bedoeling om awareness te vergroten, niet om iemand voor gek te zetten.

Het is wel goed om te communiceren hoeveel werknemers in totaal (procentueel) zijn gevallen voor de testmail. Dit geeft medewerkers een beeld hoeveel werk er nog verzet moet worden.

Je kunt deze cijfers met extra tips om herhaling te voorkomen rondmailen, maar ook bijvoorbeeld ophangen bij de koffie-automaat. Afhankelijk van de organisatie en het team kan het goed zijn om hier humor in te gebruiken.

Houd ook bij hoeveel échte beveiligingsproblemen zich hebben voorgedaan. Vaak hebben medewerkers geen idee dat juist ook een klein tot middelgroot bedrijf slachtoffer kan worden van cybercrime.

Verstuur een nieuwsbrief met tips

Stuur regelmatig tips om de verschillende teams bij de les te houden. Denk bijvoorbeeld aan een reminder om altijd je software te updaten. Veel mensen klikken deze meldingen weg omdat ze even bezig zijn en niet willen dat hun pc lang onbruikbaar is. Gelukkig zijn de security-updates van de software van HP razendsnel.

Zorg dat deze mailings vooral niet saai en ingewikkeld worden, maar juist interessant. Let hiervoor op je taalgebruik en de vormgeving en voeg interessante weetjes en nieuwsfeiten toe.

Lees ook