Nieuws & blogs

Draagvlak creëren bij het management. Stap 1 naar een succesvolle security awareness campagne

Tegen het eind van het jaar zijn veel organisaties bezig met de budgetbepaling voor 2021. We zien gelukkig steeds vaker dat security awareness een integraal onderdeel vormt op de bedrijfsagenda. En dat is niet zonder reden. Het grootste deel van alle incidenten wordt namelijk nog altijd veroorzaakt door de eigen medewerkers, de ‘insider threats’.

Toch hebben ook veel bedrijven moeite om het management te overtuigen om een security awareness traject te starten. Vaak blijft het bij een eenmalige actie, zoals een phishing simulatie om te meten hoe de vlag erbij hangt of een lunchbijeenkomst. Een dergelijke aanpak heeft echter geen effect heeft op de lange termijn en zal echt geen duurzame gedragsverandering onder medewerkers creëren.

Wat is de oorzaak van deze lage bereidheid van het management om te investeren in security awareness? En op welke manieren creëer je dan wél draagvlak bij het management? Lees hieronder verder.

29 okt Foto van drie mannen op kantoor die iets aan het bespreken zijn

Oorzaken van te weinig draagvlak

1. Gebrek aan interesse

Een simpel gebrek aan interesse is vaak de oorzaak van een lage bereidheid bij het management. Dit geldt overigens ook voor medewerkers. De gedachte dat security een taak van iedereen is en dat iedereen een potentieel doelwit is, is nog niet doorgedrongen. Dit zien we regelmatig bij kleinere organisaties. Deze organisaties realiseren zich vaak niet dat criminelen niet kijken naar de omvang. Een goed voorbeeld is dat van Autobedrijf Schoolderman. Zij werden vorig jaar slachtoffer van een ransomware-aanval. Gelukkig nemen ook kleine mkb-bedrijven steeds vaker cybersecuritymaatregelen, zo blijkt uit de Cybersecuritymonitor 2019.

2. Andere prioriteiten

Vaak zijn er, volgens het management, tal van andere zaken die meer prioriteit behoeven. Het verhogen van security awareness komt daardoor onderaan het prioriteitenlijstje en projecten of acties worden regelmatig geschrapt om budget vrij te maken. We horen vaak dat een campagne niet ten koste mag gaan van de arbeidsproductiviteit. Tijd is geld en de kosten van een security awareness traject gaan vaak zitten in de tijd die medewerkers kwijt zijn aan het volgen van een (online) training. Het traject zelf hoeft helemaal niet veel te kosten.

3. Er is geen noodzaak

Vaak is er (nog) geen noodzaak om te investeren in security awareness, want er hebben nog geen incidenten plaatsgevonden. Totdat er wel iets gebeurt. En dan ben je te laat! Criminelen kondigen natuurlijk niet aan dat ze een phishingmail gaan versturen.

4. Geen direct resultaat

Het management wil cijfers zien over de ROI van een investering. Security awareness geeft geen direct resultaat en de schade van afgeweerde incidenten is niet meetbaar. Een hoop afgeweerde incidenten zullen ook nooit aan het licht komen. Security awareness lijkt dus alleen maar tijd en geld te kosten.

Hoe creëer je dan draagvlak?

De uitdaging voor de diegenen die security awareness in hun portefeuille hebben is dus: hoe creëer je draagvlak voor een security awareness traject?

1. Toon de noodzaak aan

Het aantonen van noodzaak is makkelijker gezegd dan gedaan. Door een echt incident, zoals een datalek of ransomware-infectie, zal security awareness bovenaan de prioriteitenlijst komen te staan. Dit druist natuurlijk tegen alles in waar de security awareness manager voor staat: het voorkomen van incidenten veroorzaakt door medewerkers. Een goede manier om de noodzaak aan te tonen is om een aanval te simuleren. Een phishing simulatie of social engineering onderzoek kost niet veel en toont goed aan hoe kwetsbaar een organisatie is.

Probeer ook te benadrukken dat informatiebewustwording juist extra belangrijk is voor managementleden, omdat zij toegang hebben tot de kroonjuwelen van een organisatie. Een extreem geval is dat van bioscoopketen Pathé, waar de directeur in totaal 19,2 miljoen euro overmaakte naar criminelen. Daarnaast zou het management ook een voorbeeldfunctie richting de medewerkers moeten vervullen.

2. Compliancy

Compliancy-richtlijnen (ISO, NEN, BIO, AVG) stellen de eis dat er ‘redelijke maatregelen’ getroffen worden om incidenten te voorkomen. Wat redelijke maatregelen zijn wordt niet gespecificeerd. Dit verschilt natuurlijk wel per organisatie. In de zorg zullen andere eisen gesteld worden dan bij de kledingwinkel om de hoek.

In de praktijk zien we dat veel incidenten te wijten zijn aan onvoldoende maatregelen, waarna waarschuwingen, sancties of aansprakelijkheid volgen. Natuurlijk is 100% veiligheid niet mogelijk. Het is dan ook aan de betreffende organisatie om aan te tonen dat er alles aan gedaan is om risico’s te verkleinen. Het adequaat trainen van medewerkers is daar één onderdeel van. Als er na een incident niet aangetoond kan worden dat medewerkers adequaat getraind worden zeg je als organisatie eigenlijk dat het onderwerp niet belangrijk genoeg was.

3. Een veilige werkomgeving

Welke organisatie wil nou geen veilige werkomgeving, waarin zorgvuldig omgegaan wordt met de informatie waarover zij beschikken? Informatie is goud waard voor bedrijven, dus ook voor criminelen. Dat wil je dan toch zo goed mogelijk beschermen?

Door medewerkers te trainen maak je hen bewust van hun rol en verantwoordelijkheden op het gebied van informatiebeveiliging. Ze zullen bewuster worden van de waarde van informatie en zorgvuldiger en alerter te werk gaan. Daarnaast kunnen medewerkers de kennis ook in hun privésituatie gebruiken, zodat ze ook daar weerbaarder worden.

4. Reputatie en imago

Een incident, zoals een datalek, kan desastreuze gevolgen hebben voor de reputatie van een bedrijf. Dit is misschien wel de grootste schadepost die je als organisatie kan hebben, want het vertrouwen in de organisatie wordt ernstig geschaad.

Daarnaast vragen (potentiële) klanten steeds vaker welke maatregelen een organisatie treft op het gebied van informatiebeveiliging. Klanten vertrouwen je immers hun data toe. Door medewerkers te trainen laat je zien dat je veel waarde hecht aan de gegevens van klanten, medewerkers, burgers, et cetera. Het aantoonbaar zorgvuldig omgaan met gegevens kan je reputatie ten goede komen en je net dat streepje voor geven ten opzichte van de concurrentie.

Over Awaretrain

Bij Awaretrain gaan we voor een werkomgeving waarin veilig en informatiebewust werken de norm is. Dit doen we door bewustwording en gedragsverandering te creëren op het gebied van informatiebeveiliging, cyber security en privacy. Weten hoe we jou daarbij kunnen helpen? Kijk eens naar onze producten.

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Volg ons!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Collega's weerbaar maken tegen informatiebeveiligingsrisico's 05 dec
Van zwakste schakel naar sterkste schakel in informatiebeveiliging: zo maak je je collega’s weerbaar Lees meer
Black Friday kortingen oplichting 27 nov
Te goed om waar te zijn? 7 tips om oplichting rondom Black Friday kortingen te vermijden Lees meer
Grootste misverstanden in informatiebeveiliging 02 dec
De 10 grootste misverstanden in informatiebeveiliging Lees meer
Bekijk alle blogs