Van Security Awareness naar een Awareness Cultuur

BLOG | Van security awareness naar een cyberveilige werkomgeving en security awareness cultuur

De European Cybersecurity Month is aanstaande. Oktober is dé maand waarin de Europese Unie en Alert Online aandacht vragen voor het vergroten van het bewustzijn en de kennis over cyber security onder medewerkers. Organisaties organiseren in deze maand vaak diverse activiteiten rondom security awareness of gebruiken de maand als startpunt van een trainingscampagne met het doel om medewerkers weerbaar te maken tegen online gevaren, zoals phishing, ransomware en andere vormen van cybercrime.

Dit jaar is het thema van de European Cybersecurity Month ‘#ThinkB4UClick’, waarbij er nadruk wordt gelegd op 1) wat te doen als je slachtoffer wordt van een cyberaanval en 2) thuis cyberveilig zijn.

Voor daadwerkelijke gedragsverandering dien je als organisatie goed vervolg te geven aan de European Cybersecurity Month. Door alleen ten tijde van de European Cybersecurity Month aandacht te besteden aan het onderwerp en de rest van het jaar weinig te initiëren behaal je een averechts resultaat. Medewerkers worden overspoeld met informatie, verliezen hun interesse en vervallen snel weer in oude patronen. Het creëren van security awareness en gedragsverandering kost nou eenmaal tijd! Helaas wordt security awareness nog te vaak gezien als eenmalige actie in plaats van een doorlopend proces.

In deze blog geven we je een aantal handvatten voor een procesmatige security awareness aanpak, zodat je de cybersecurity maand een succesvol vervolg kan geven en op termijn een security awareness cultuur kan creëren. Deze handvatten hebben betrekking op testen, trainen en het betrekken van medewerkers.

23 sep

Foto een een dame achter een computer die iets uitlegt aan twee collega's

Draagvlak voor security awareness

Ondersteuning door het management

Een security awareness campagne wordt nooit succesvol zonder gemotiveerde en betrokken medewerkers die de noodzaak voor security awareness training inzien. Dit begint bij het management. Het management moet uitstralen en uitdragen dat de organisatie niet zonder een security awareness traject kan. Hoe je draagvlak creëert bij het management lees je in onze blog ‘Draagvlak creëren bij het management. Stap 1 naar een succesvolle security awareness campagne’.

Betrokken medewerkers

Een goede manier om medewerkers de noodzaak van security awareness training in te laten zien is door het simuleren van een incident; de enige echte manier om inzicht te krijgen in het gedrag van medewerkers. Gesimuleerde phishing-aanvallen, mystery guest bezoeken of telefonische phishing onderzoeken leggen vaak grote kwetsbaarheden bloot, laten zien dat iedereen slachtoffer kan worden van criminelen en kunnen daarom een enorme indruk achterlaten.

Maak medewerkers ook duidelijk hoe de rest van security awareness campagne wordt vormgegeven. Welke trainingsmethoden en onderzoeken worden ingezet en hoe vaak vinden deze plaats? Wat wordt er nou daadwerkelijk van medewerkers verwacht? En bij wie moeten ze zijn met vragen? Het creëren van security awareness in niet de taak van een enkele afdeling. Wij adviseren dan ook altijd om het project op te pakken samen met de interne communicatieafdeling.

Goed uitgevoerde incidentsimulaties

Essentieel voor het achterlaten van een enorme indruk is dat de incidentsimulaties en onderzoeken op een ethische en eerlijke manier worden uitgevoerd en dat de resultaten op een vriendelijke manier binnen de organisatie worden gecommuniceerd. Een voorbeeld van hoe het niet moet is de phishing simulatie van ABN Amro, waarbij werd medegedeeld dat het wegbezuinigde kerstpakket weer terug kwam. “Maar criminelen denken toch ook niet aan de goodwill van medewerkers” hoor ik je denken. Inderdaad, maar er zijn talloze onderwerpen te bedenken die indruk maken én medewerkers niet tegen het zere been stoten. Mocht een medewerker op een phishinglink geklikt hebben of telefonisch zijn of haar wachtwoord hebben gedeeld, ga dan niet met de vinger wijzen en geef het “incident” een positieve twist.

Creëer een open meldcultuur

Zorg daarnaast voor een open meldcultuur, waarin medewerkers weten waar of bij wie ze moeten zijn om een (potentieel) incident te melden of wanneer ze vragen hebben over de campagne. Ook hier geldt: ga niet met de vinger wijzen, maar geef het doen van een melding een positieve twist. Meer over het creëren van een open meldcultuur lees je in onze blog: ‘In 5 stappen naar een veilige meldcultuur voor een betere data security’.

Training om risico’s te leren herkennen

Het overdragen van kennis is vanzelfsprekend een onmisbaar aspect binnen een security awareness campagne, maar is geen doel op zich. Het uiteindelijke doel is immers om een (cyber)veilige werkomgeving te creëren. Trainingen over het herkennen van phishing of het maken van sterke wachtwoorden die ook nog eens makkelijk te onthouden zijn vormen echter wel vaak de basis van een security awareness campagne.

Helaas worden trainingen vaak verkeerd ingezet. We zien nog (te) vaak zien dat organisaties medewerkers overspoelen met heel veel informatie in een kort tijdsbestek. Zoals in de introductie al gezegd is: met deze aanpak vallen medewerkers heel snel terug in oude gewoontes. Aan de andere kant zijn er organisaties die denken dat een eenmalige klassikale of online trainingssessie volstaat. Deze twee aanpakken zien we veel bij organisaties die nog even snel een “vinkje” moeten halen, bijvoorbeeld voor een ISO- of NEN-certificering. We hoeven niet te benadrukken dat dit geen duurzame gedragsverandering en dus geen (cyber)veilige werkomgeving creëert.

De kracht van herhaling

Succesvolle trainingscampagnes bestaan uit verschillende kennispieken gedurende een langere periode. Het creëren van bewustwording en gedragsverandering is een proces van de lange adem. Je kan bijvoorbeeld elke maand een bepaald thema uitlichten. Maak daarbij gebruik van verschillende methodes om kennis over te dragen. Gebruik online trainingen als basis en organiseer daaromheen bijeenkomsten of andere leermethodes. Schakel ook zeker de hulp in van de interne communicatieafdeling voor het ontwikkelen van een langetermijnplanning en bij het ontwikkelen van posters en andere leuke gimmicks die op de werkvloer kunnen worden ingezet.

Medewerkers alert maken (en houden)

Nadat er motivatie bij medewerkers is en er een basis is gelegd qua kennis, is het creëren van alertheid de volgende stap in een procesmatige security awareness aanpak. Alerte medewerkers passen de opgedane kennis toe in de dagelijkse praktijk. Alertheid creëer je door medewerkers te blijven prikkelen, bijvoorbeeld door doorlopend phishingsimulaties en social engineering tests uit te voeren. Het in zekere mate van belonen van medewerkers die een incident melden of een incident weten te voorkomen draagt ook bij aan het creëren van een alerte cultuur.

Het is overigens helemaal niet erg om binnen de organisatie te communiceren dat er doorlopend test zullen worden uitgevoerd. Integendeel zelfs! Medewerkers zullen onverwachte e-mails kritischer gaan beoordelen en onaangekondigde bezoekers niet zomaar binnenlaten. Zo heb je een groot deel van je doel al bereikt!

Waak voor te hoge verwachtingen

Stel te hoge verwachtingen bij. 100% veiligheid is onmogelijk. Hoe goed een security awareness campagne ook is vormgegeven, een incident kan altijd plaatsvinden. Een moment van onoplettendheid en een fout is zo gemaakt. Daarnaast zitten ook criminelen niet stil voor wat betreft het inzetten van nieuwe technieken om mensen te verleiden.

Een keer praten over hoe we jou kunnen helpen?

Bij Awaretrain helpen we organisaties om invulling te geven aan security awareness. Met ons brede portfolio aan producten en diensten is er altijd wel een trainings- of meetmethode die past bij jouw organisatie. Kijk eens op onze productpagina of neem vrijblijvend contact met ons op.

+31 (0)88 018 16 00 info@awaretrain.com

Nieuws & blogs