Nieuws & blogs

BLOG | Wat maakt een security awareness campagne succesvol? En waarom schieten ze toch vaak tekort?

Het doel van een security awareness campagne is om een veilige werkomgeving te creëren waarin medewerkers zich bewust zijn van hun rol en verantwoordelijkheden als het gaat om informatiebeveiliging. In deze blog gaan we dieper in op 6 punten die - op basis van onze eigen ervaringen - essentieel zijn voor een succesvolle security awareness campagne. Daarnaast heeft de ervaring ook geleerd waarom sommige campagnes niet het beste resultaat geven.

14 jul Foto van vijf mensen die aan het vergaderen zijn


Essentiële punten voor een succesvolle security awareness campagne 

1. Interne communicatie

Een goed begin is het halve werk. Een succesvol awareness programma begint bij de manier waarop het binnen de organisatie aangekondigd wordt. Creëer draagvlak onder medewerkers door een filmpje op te nemen waarin de directie de noodzaak uitlegt. Gebruik interne communicatiemiddelen, zoals nieuwsbrieven en intranetberichten om medewerkers op de hoogte te houden van bepaalde acties en wat ze kunnen verwachten. Ook kan je grappige, aan de verschillende onderwerpen gerelateerde posters en cartoons gebruiken om de betrokkenheid onder medewerkers te vergroten.

2. Computer based training

Het grootste deel van alle werknemers heeft toegang tot een computer. Daarom adviseren wij altijd om computer based training een belangrijk onderdeel van een security awareness programma te maken. Onder andere vanwege de schaalbaarheid, toegankelijkheid en de mogelijkheid voor medewerkers om de training op eigen tempo te volgen. 

Goede online training bestaat volgens ons uit een gezonde balans tussen leerzame en toegankelijke trainingsvideo's en leuke games in plaats van tekstuele trainingen. Om gedragsverandering te realiseren is er namelijk meer nodig dan alleen het verstrekken van informatie en uitleggen wat het juiste gedrag is. De combinatie van gesproken tekst en visuele beelden hebben een positieve invloed op het leereffect en vergroten de intentie om te willen leren.

3. Alles makkelijk toegankelijk

Beperk de drempels voor medewerker om de juiste informatie te kunnen vinden. Een algemeen toegankelijk systeem dient als een kennisbank, waarin alle nodige informatie gevonden kan worden over de verschillende onderwerpen binnen informatiebeveiliging, cyber security en privacy. Naast het toepassen van de leerstof op situaties op de werkvloer, is het ook van groot belang om informatie en tips te geven over privésituaties, zoals het beveiligen van social media accounts en het online beschermen van zijn of haar kinderen.

4. Fysieke bijeenkomsten

Bedrijfsbijeenkomsten laten het onderwerp echt leven binnen de organisatie en zorgen dat medewerkers meer betrokken raken bij informatiebeveiliging. Met een interactieve keynote of spelshow kan je goed overbrengen waarom het onderwerp aandacht behoeft. Vandaag de dag is een webinar natuurlijk een prima alternatief.

5. Gebruik de taal van de medewerker

Wat op het eerste gezicht een gebrek aan motivatie lijkt, kan in werkelijkheid een gebrek aan leervermogen zijn. Het is aan de opleiders, ontwikkelaars en andere security awareness professionals om complexe materie te vertalen naar makkelijk te begrijpen lesstof en praktische handvatten die direct zijn toe te passen.

6. Testen van gedrag en het creëren van leerzame momenten

Phishing simulaties en social engineering onderzoeken, zoals een mystery guest bezoek, zijn leermomenten en tonen de noodzaak van de campagne aan. Door medewerkers de risico's te laten ervaren zal de leerbereidheid groeien. Gebruik de resultaten in de interne communicatie of verwerk het in een keynote. Hierdoor wordt het belang van het onderwerp nog eens extra versterkt.

Maar pas op. Deze onderzoeken behoeven wel wat voorzichtigheid. Je wilt geen angstcultuur creëren en je wilt niet dat men het als treiterig ervaart. Een goed voorbeeld is de phishing test van de ABN Amro van een aantal jaar terug. Zij stuurden een phishingmail rond met een verheugend bericht over de terugkeer van het vorig jaar geschrapte kerstpakket. Dit schoot bij veel medewerkers in het verkeerde keelgat en creëerde dus een averechts effect.

Waarom sommige campagnes toch tekort schieten

1. Medewerkers begrijpen niet wat security awareness echt inhoudt

Om medewerkers te laten begrijpen wat security awareness inhoudt moet informatie op een manier worden overbracht die overeenkomt met hoe mensen in de praktijk denken en handelen. Men moet zich kunnen herkennen in situaties en snappen hoe de opgedane kennis van invloed kan zijn op hun acties. Security awareness is een unieke discipline. Een goede security awareness professional stelt doelen en kan de materie op een juiste manier voor de medewerker vertalen. Daarnaast heeft hij een goede kijk op het inzetten verschillende leermethoden om bewustzijn te creëren en gedragsverandering te realiseren.

2. Het kunnen zetten van een vinkje

We komen regelmatig organisaties tegen die alleen iets aan security awareness doen om "het vinkje te kunnen zetten" dat ze iets hebben gedaan om medewerkers bewust te maken. Denk aan het versturen van een interne mailing met wat informatie en tips of een eenmalige training. Je hebt dan als organisatie inderdaad iets gedaan aan security awareness, maar je realiseert absoluut geen gedragsverandering en je creëert gegarandeerd geen duurzame en informatiebewuste werkomgeving.

3. Het mag niet te veel tijd kosten

De effectiviteit van een programma wordt bepaald door de middelen die je er als organisatie aan toekent. Er zit een groot verschil tussen een eenmalige actie en een doorlopend proces van bewustwording met verschillende leermethoden en metingen. We zien vaak dat organisaties security awareness als eenmalige actie zien. Zij denken verandering te kunnen laten plaatsvinden met een enkele phishing simulatie, omdat het anders te veel tijd kost. Aan ons de taak om de organisatie te overtuigen om het toch iets anders aan te pakken.

4. Gebrek aan boeiende, afwisselende en geschikte leermaterialen

Alleen informeren over een specifiek onderwerp of risico’s maakt nog geen training. Denk aan tekstuele e-learnings. Er is meer nodig om de interesse van medewerkers te wekken en vast te houden. Zorg voor afwisselende leermethoden en maak het leerproces interactief.

5. Niet monitoren van het programma

Door regelmatig het veiligheidsniveau te meten en de voortgang en resultaten van medewerkers te monitoren kan je het programma aanpassen waar nodig. Ook kan je bepalen welke leermethoden wel en niet werken binnen de organisatie. Voor een zo goed en volledig mogelijk beeld adviseren wij om een nulmeting uit te voeren, tussentijds te meten door middel van phishing simulaties of andere social engineering onderzoeken en een evaluatiemeting uit te voeren.

6. Onredelijke verwachtingen

Geen enkele maatregel op het gebied van informatiebeveiliging zal 100% veiligheid garanderen. Verwacht dus niet dat alle incidenten voorkomen kunnen worden. Eén moment van onoplettendheid en een foutje is zo gemaakt. Daarnaast ontwikkelen criminelen continu nieuwe technieken en methoden om mensen te misleiden. 100% veiligheid is dus niet mogelijk, maar je kan de kans op incidenten wel minimaliseren. 

Conclusie

Een succesvolle security awareness campagne bestaat uit een combinatie van leermethoden. Er is niet één opzichzelfstaande leermethode die per definitie het best is, het is de versterking tussen middelen en de manier waarop het verhaal verteld wordt die bepalen of een security awareness campagne succesvol is. Ons advies is om security awareness niet als een eenmalige actie te zien, maar als doorlopend proces. Houd daarbij rekening met de taal van de medewerker, maak het interactief en wees vooral creatief. Je kan al heel veel zelf doen om het onderwerp kracht bij te zetten!

Weten hoe we jou kunnen helpen bij het opzetten van een succesvolle security awareness campagne? Neem dan zeker eens contact met ons op. Awaretrain is specialist in het creëren van bewustwording en gedragsverandering rondom informatiebeveiliging, cyber security en privacy. Lees hoe we dit aanpakken.

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Volg ons!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Cybersecrity Awareness maand gratis toolkit Awaretrain 01 okt
Cybersecurity Awareness Maand Lees meer
Gratis online masterclasses om je security awareness een boost te geven 12 sep
Gratis online masterclasses om je security awareness een boost te geven Lees meer
Maak kennis met dennis vedder 23 sep
Maak kennis met... Dennis Vedder, customer service specialist Lees meer
Bekijk alle blogs