Hoe goed je de beveiliging binnen je organisatie ook geregeld hebt, personeel blijft nog vaak de zwakste schakel. Toch hebben ze zelf vaak niet in de gaten hoe groot hun rol is. Als IT-afdeling heb je dan ook je handen vol aan het vergroten van de security awareness. In dit artikel geven we vijf slimme tips over wat je als IT kunt doen om het bewustzijn te vergroten.
Uit onderzoek van I&O Research in opdracht van het ministerie van Economische Zaken, blijkt dat 56 procent van de medewerkers geen melding doet bij een cyberaanval op het werk. Zo hebben ze het idee dat het niet zo belangrijk is, melden geen zin heeft, of te veel moeite kost.
Deze instelling staat in schril contrast met de cijfers, waaruit blijkt dat 75% van de MKB-bedrijven slachtoffer van phishing is, en een gemiddelde cyberaanval 270.000 euro kost.
We kennen allemaal de verhalen. Zoals de Universiteit Maastricht waar de computersystemen vlak voor kerst 2019 werden platgelegd door ransomware. Pas na betaling van twee ton losgeld, konden studenten en docenten weer hun computers in. De oorzaak? Iemand had op 15 oktober een link aangeklikt van een phishingmail.
Security awareness vergroten in vijf tips
Er zijn verschillende manieren om ervoor te zorgen dat je medewerkers zich bewuster zijn van hun rol als het gaat om security. Het is wel belangrijk om bij alle methoden te waken voor een zogenaamde angstcultuur. Je wilt geen sfeer creëren waarin mensen zo bang zijn om steken te laten vallen, dat ze eventuele beveiligingslekken niet durven te melden.
Geef een cursus over cybersecurity
Als IT-afdeling heb je vaak veel kennis in huis over cybercrime en het voorkomen daarvan. Voor andere afdelingen binnen een organisatie geldt dat veel minder. Zij horen wel eens over hacks in het nieuws, maar hebben vaak het idee dat dit een ver-van-hun-bed-show is. Het is dan ook een goed idee om je kennis te delen.
Zo kun je als IT per afdeling bijvoorbeeld een cursus of masterclass over beveiliging te geven. Dit kan uiteraard ook op afstand door middel van videocall, mocht dit nodig zijn. Ga hier vooral in op situaties waar de medewerker zelf de zwakste schakel kan zijn, bijvoorbeeld bij het openen van een bijlage in een verdachte e-mail of het niet wijzigen van wachtwoorden.
Zorg dat er ook onderwerpen aan bod komen die als ‘domme vragen’ kunnen worden gezien. Houd het vooral interactief, positief en leuk, zo heb je de meeste kans dat mensen daadwerkelijk iets onthouden van je verhaal.
Let op: niet iedere afdeling heeft dezelfde behoeften, pas de inhoud van de cursus dus aan op de doelgroep.
Verstuur testmails
Nadat je een cursus hebt gegeven, is het belangrijk om te testen of de kennis is blijven hangen. Stuur daarom eens in de zoveel tijd een zelfgemaakte ‘spam-mail’ of nep-phishingmail. Dit is een mail die zogenaamd van een betrouwbare afzender komt, waarin je probeert ervoor te zorgen dat ze op een link klikken, of een bijlage openen.
Zorg ervoor dat de medewerkers die hier in trappen, de boodschap krijgen dat ze er met open ogen ingetuind zijn. Geef hierbij wel tips hoe ze phishing in het vervolg kunnen voorkomen, anders kan een gevoel van schaamte overheersen. Denk bij tips bijvoorbeeld aan:
- Controleer de afzender altijd dubbel, klopt het e-mailadres
- Kijk uit bij een uitroepteken bij de mail (belangrijke mail)
- Wees alert bij opvallende spelfouten
- Let op bij zinnen en woorden als:
- Klik hier om in te loggen
- Je ***** gaat verlopen!
- SPOED!
Tip: zo beveilig je de laptops van je medewerkers nóg beter, zonder extra kosten.
Awareness vergroten: houd de score bij
Houd bij wie er vaker in deze testmails trapt, maar maak zeker niet openbaar wie dit zijn. Het is de bedoeling om awareness te vergroten, niet om iemand voor gek te zetten. Het is wel goed om te communiceren hoeveel werknemers in totaal (procentueel) zijn gevallen voor de testmail. Dit geeft medewerkers een beeld hoeveel werk er nog verzet moet worden.
Je kunt deze cijfers met extra tips om herhaling te voorkomen rondmailen, maar ook bijvoorbeeld ophangen bij de koffie-automaat. Het is goed om hier humor in te gebruiken en een spelelement te verwerken. Welk team gaat er vandoor met de minste uitglijders?
Houd ook bij hoeveel échte beveiligingsproblemen zich hebben voorgedaan. Vaak hebben medewerkers geen idee dat juist ook een klein tot middelgroot bedrijf slachtoffer kan worden van cybercrime.
Verstuur een nieuwsbrief met tips
Cybersecurity is als vakgebied constant in ontwikkeling. Daarom is het belangrijk om de basiskennis van medewerkers op pijl te houden, bijvoorbeeld met een nieuwsbrief. Stuur regelmatig tips om de verschillende teams bij de les te houden.
Denk bijvoorbeeld aan een reminder om altijd je software te updaten. Veel mensen klikken deze meldingen weg omdat ze even bezig zijn en niet willen dat hun pc lang onbruikbaar is. Gelukkig zijn de security-updates van de software van HP razendsnel.
Zorg dat deze mailings vooral niet saai en ingewikkeld worden, maar juist interessant. Let hiervoor op je taalgebruik en de vormgeving en voeg interessante weetjes en nieuwsfeiten toe. Zo wordt de nieuwsbrief over cybersecurity er een om naar uit te kijken.
Doe samen een quiz of spel
Om je medewerkers bewust te laten zijn over hun rol in het voorkomen van cybercrime, is het belangrijk dat ze het onderwerp interessant vinden. Dat kan bijvoorbeeld door samen een leuke quiz te doen, zoals de Jigsaw phishing quiz van Google.
Kijk ook eens naar de quizen over cybersecurity van de Amerikaanse overheid. Je vindt hier verschillende testjes over de basis van beveiliging, maar ook bijvoorbeeld over ransomware en fysieke beveiliging.
Liever Nederlandstalig en fysiek? Probeer dan het bordspel Cybercare, waar je medewerkers een ziekenhuis proberen te digitaliseren. Onderweg komen ze verschillende uitdagingen op het gebied van beveiliging tegen. Dit is een initiatief van de Nederlandse overheid.
Lees ook
- Zakelijke laptops van je medewerkers beveiligen: zo doe je dat
- Printer beveiliging: de blinde vlek van menig IT’er
- Simpel en snel een autorisatiematrix opstellen
Whitepaper De grootste securityrisico’s
Hackers en andere kwaadwillenden vinden steeds nieuwe manieren om data te stelen en controle over devices te verkrijgen. In deze whitepaper lees je hoe je deze grote securityrisico’s aanpakt.
