Een hoog niveau van cybersecuritybewustzijn onder medewerkers is essentieel voor het beschermen van bedrijfsgegevens. Hoewel een groeiend aantal organisaties begrijpt dat mensen cruciaal zijn voor de cyberveiligheid, weten ze soms niet welke maatregelen ze moeten nemen om hun medewerkers voor te lichten. Vaak sturen ze medewerkers naar een cursus of workshop, maar is dat genoeg om écht cyberbewustzijn te creëren? Om échte cyberbewustwording te creëren moet cybersecurity een alledaags onderdeel van het bedrijf zijn. Iedere medewerker moet bewust zijn van de risico’s en zijn gedrag willen aanpassen ten behoeve van de cyberveiligheid.
Het besef van noodzaak
Om cyberbewustzijn te bevorderen bij medewerkers, is het belangrijk dat het management begrijpt dat de meeste inbreuken komen door menselijke fouten. Hierdoor zal het management inzien dat training cruciaal is voor een veilige organisatie. Vervolgens zullen ook de werknemers moeten snappen dat zij doelwit zijn van cybercriminelen. Medewerkers hebben toegang tot interessante informatie die cybercriminelen graag willen bemachtigen, ze beschouwen hen dan ook als een gemakkelijke prooi. Het is daarom essentieel om ze te wijzen op hun gedrag om cybercrime te voorkomen en potentiële risico’s te verminderen.
Echter is alleen het wijzen op de risico’s meestal niet genoeg. Het is belangrijk dat medewerkers worden geconfronteerd. Op deze manier zullen ze eerder de voordelen van gedragsverandering inzien. Denk hierbij aan een veiligere en productievere werkomgeving en de verminderde kans op diefstal van persoonlijke informatie. Een confrontatie van ‘verkeerd’ gedrag kan bijvoorbeeld worden aangekaart middels een phishingtest. Daarnaast is het een ideale nulmeting om het bewustzijnsniveau te meten van medewerkers.
De kracht van herhaling
Nadat het besef van noodzaak is bijgebracht, is het tijd om medewerkers structureel te trainen. De kracht van herhaling is hierbij cruciaal. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en wordt er toegewerkt naar een positieve beveiligingscultuur.
Een oude volkswijsheid is dat je 7 keer moet leren en 7 keer zult vergeten. Er zit namelijk een groot verschil tussen het kennen en het herkennen van informatie. Als je informatie herkent, betekent het nog niet dat je iets kunt navertellen of toepassen. Door herhaling wordt informatie opgeslagen in het langetermijngeheugen en gebeuren handelingen beetje bij beetje vanzelf.
Gezien medewerkers vaak genoeg werk om handen hebben met hun kerntaken, is het belangrijk om ze een training aan te bieden die ze in hun eigen tempo kunnen afronden. Een e-learning training, zoals de G DATA Security Awareness Training, is hier ideaal voor. Om medewerkers, die meer instructies nodig hebben, te ondersteunen kan er bijvoorbeeld iemand worden aangesteld binnen het bedrijf. Op deze manier is er ruimte om vragen te stellen en samen te werken aan een veilige werkomgeving.
Evalueer
Daarnaast is het belangrijk om regelmatig een evaluatie uit te voeren. Op deze manier kan er worden vastgesteld of de inspanningen effect hebben. De conclusies van de evaluatie zijn er niet om mensen de les te lezen, maar juist om de medewerkers open en eerlijk te vertellen wat er moet gebeuren om de tekortkomingen te compenseren. Met een goede evaluatie kun je ook bepalen welke strategie wel en niet werkt binnen de organisatie.
Het is daarom verstandig om vooraf al een nulmeting te doen en tussendoor metingen uit te voeren. Op deze manier kan er samen worden gewerkt aan een solide veiligheidscultuur. Een veiligheidscultuur is er tenslotte niet meteen en het duurt meestal een aantal jaar voordat er echt verandering zichtbaar is.
Hoewel er geen maatregelen zijn die honderd procent veiligheid bieden kunnen we wel de risico’s verminderen. Door te bouwen aan een sterke veiligheidscultuur in combinatie met een goede beveiligingsoplossing kunnen we bouwen aan een veiligere omgeving voor zowel individuen als organisaties.
Dirk Cools, Country Manager bij G DATA BeLux en Frankrijk