Nieuws & blogs

In 5 stappen naar een veilige meldcultuur voor een betere data security

Vaak overheerst schaamte en angst bij medewerkers die van de ene op de andere dag moeten betalen om in te loggen op hun laptop (ransomware) of uit wiens naam mails zijn verstuurd naar de hele contactenlijst (identiteitsfraude). Een klein moment van onoplettendheid en een fout is zo gemaakt. Dit soort (cyber)security-incidenten kunnen zich ook voordoen in de thuissituatie en ook een directe invloed hebben op de digitale beveiliging op het werk. In deze blog vertellen we je waarom een meldcultuur belangrijk is en op welke manier je binnen de organisatie een veilige meldcultuur creëert.

04 feb Foto van een vrouw achter een computer die iets uitlegt aan twee collega's

Een veilige meldcultuur creëren

Het op tijd signaleren van phishing, datalekken, social engineering aanvallen en andere (cyber)bedreigingen in de organisatie is essentieel voor een goede afhandeling. Een (Chief) Information Security Officer of andere verantwoordelijke kan alleen op tijd in actie komen als er binnen de organisatie een melding wordt gemaakt. Daarom is het hebben van een veilige en open meldcultuur cruciaal. Dit is makkelijker gezegd dan gedaan. In de volgende vijf stappen werk je naar een veiligere meldcultuur.

1. Stel een centraal ‘meldpunt’ in

Medewerkers moeten laagdrempelig en makkelijk een melding kunnen doen. Stel daarom een aanspreekpunt binnen de organisatie aan. Dit kan een functie of team zijn. Een medewerker die een melding wil doen, maar niet weet waar die dit moet doen is natuurlijk een gemiste kans. Het meest belangrijk is daarom dat de contactgegevens breed gecommuniceerd worden. Hier geldt: hoe meer manieren, hoe beter. Stel daarom, naast een digitaal meldpunt, ook een fysiek meldpunt in: een balie of ruimte waar je binnen kan lopen om melding te maken.

2. Train medewerkers in ‘wat te melden’

Een verdachte mail in je inbox, een sms met een onbekend betaalverzoek op je (werk)telefoon, een ongenodigde bezoeker die rondloopt in het gebouw, bestanden die je opeens met een wachtwoord moet openen. Dit zijn allemaal voorbeelden van situaties waarin je melding zou moeten maken van een (cyber)security-incident. Wat prioriteit heeft en welke soorten incidenten van belang zijn, verschilt per organisatie, maar over het algemeen geldt: beter te veel melden dan te weinig. Zorg ervoor dat er herkenbaar wordt gecommuniceerd over situaties die binnen jouw organisatie van belang zijn om te melden. Grote organisaties maken vaak gebruik van security awareness platform om medewerkers te trainen in het herkennen van data risico’s. Er zijn ook meer ludieke manieren zoals een pubquiz.

3. Geef instructies over ‘hoe’ te melden

Wil je de melding mondeling ontvangen of per mail? Hoeveel details moet de betrokkene geven? Helpt het om screenshots te maken of foto’s? Zorg dat er een heldere en beknopte instructie beschikbaar is over ‘hoe te melden’ en dat deze instructies in relatie staan tot andere procedures en werkinstructies in een overkoepelend beveiligingsbeleid.

4. Communiceer over wat er met de melding is gedaan

Om het melden van incidenten te stimuleren is het van groot belang dat de melder weet wat er met de melding gedaan is. Niet alleen de melder, maar ook alle andere werknemers kunnen gemotiveerd raken door communicatie over wat er met input van collega’s wordt gedaan. Ben je van plan breed te communiceren over de melding en resultaten? Zorg er dan wel voor dat de melding niet herleidbaar is naar de melder als diegene liever niet wil dat zijn of haar naam genoemd wordt.

5. Beloon het melden, ook al is het ‘loos alarm’

Door een incident te melden stelt de medewerker zich kwetsbaar op. Neem alle meldingen daarom serieus. Een melder die zich niet serieus genomen voelt houdt in het vervolg liever zijn of haar mond. Zet de melder in het zonnetje, want dankzij de melder is de organisatie weerbaarder tegen (cyber)security-incidenten. Denk aan een presentje, een wisseltrofee, een ‘medewerker van de maand’, of laat de melder zelf iets vertellen in een afdelingsoverleg, lunchlezing of kennissessie. Ook hier geldt: overleg met de melder of hij of zij het prettig vindt als collega’s weten over incident.

Over ons

Deze blog is een coproductie van CRANIUM Nederland en Awaretrain. Op het thema van information security awareness werkt CRANIUM Nederland samen met partnerorganisatie Awaretrain. Beide organisaties hanteren een praktische aanpak en zien de mens als sterkste schakel in informatiebeveiliging.

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Volg ons!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Cybersecrity Awareness maand gratis toolkit Awaretrain 01 okt
Cybersecurity Awareness Maand Lees meer
Gratis online masterclasses om je security awareness een boost te geven 12 sep
Gratis online masterclasses om je security awareness een boost te geven Lees meer
Maak kennis met dennis vedder 23 sep
Maak kennis met... Dennis Vedder, customer service specialist Lees meer
Bekijk alle blogs