Waarom medewerkers van PostNL denken als een hacker

Hoe maak je medewerkers op een positieve manier bewust van cyberrisico’s? PostNL denkt de oplossing in handen te hebben en biedt medewerkers een cursus hacken en wachtwoorden kraken aan. ‘De focus ligt meestal op het bang maken van mensen.’

In de meeste bedrijven zijn het de medewerkers die als schuldige worden aangewezen bij een veiligheidslek. Zij halen technische beveiligingsmaatregelen onderuit door op linkjes te klikken, wachtwoorden uit te wisselen of vertrouwelijke informatie te delen via minder beveiligde kanalen zoals Dropbox.

Oorzaak volgens menig IT’er? Onvoldoende inzicht in de risico’s en desinteresse.

Medewerkers bang maken

Maar ligt het wel echt aan de medewerkers? ‘Nee’, zegt Gerrie de Jonge, IT-directeur en Chief Information Security Officer (CISO) bij PostNL. ‘Als consument denk je dagelijks na over wat je online wel en niet moet doen.’

Het zijn juist de bedrijven die er niet in slagen aansluiting te vinden bij de belevingswereld van hun medewerkers. ‘De focus ligt meestal op het bang maken van mensen, en op het invullen van security in lijn met de compliance-kaders.’

Medewerkers bewust van cyberrisico’s maken

Maar hoe maak je je medewerkers dan wel bewust van cyberrisico’s? Volgens De Jonge gaat het er vooral om van veiligheid iets gewoons te maken. ‘Wij hebben security uit de compliance-hoek gehaald, uit de hoek van de vinkjes’, zegt hij.

‘We hebben security fascinerend en interessant gemaakt, en ook ervoor gezorgd dat mensen zich veilig voelen in plaats van angstig.’ Hoe? Bijvoorbeeld door social engineering-events te organiseren waar de medewerkers worden uitgedaagd om ergens binnen te dringen of op de proef worden gesteld om in een phishing-e-mail te trappen.

Cursus hacken en wachtwoorden kraken

Een succesformule is de zogeheten security in a day-training. ‘Tijdens deze training laten we mensen zelf hacken en wachtwoorden kraken; iedereen vindt immers de wereld van het hacken interessant. Ook vragen we wat volgens hen de kroonjuwelen van het bedrijf zijn en hoe we die beter kunnen beschermen.’

De medewerkers zijn ‘laaiend enthousiast’ over deze trainingen en komen ‘echt anders terug ten aanzien van security’, constateert De Jonge. ‘Iedereen vindt denken als een hacker interessant. Mensen willen van nature weten hoe het zit, wat er gebeurt en hoe het is te voorkomen. De wereld van cybersecurity is best spannend. Het maakt mensen gedreven. In die energie is het heerlijk samenwerken.’

Functie van CISO en IT-directeur samenvoegen

Enkel medewerkers hackerscursussen aanbieden is uiteraard niet voldoende om de cyberrisico’s te minimaliseren. Een andere belangrijke strategische keuze is daarom de rol van CISO te combineren met die van IT-directeur.

‘Anders wordt het zo’n ‘losgezongen functie’ waarin wordt gezegd: ik ben klaar, het rapport is geschreven, doe er maar wat mee’, aldus De Jonge. Mede door deze tactiek is het onderwerp bij PostNL hoog op de agenda komen te staan.

‘Ik merk dat ik als CISO veel meer spreektijd heb gekregen bij de managementteams en besturen tot aan de raad van commissarissen toe. Door de invulling die we geven aan het onderwerp security trekken we er bovendien ook de aandacht mee.’

Lees ook