Ben jij ook Security Aware?
Door het eenvoudigweg te vertalen wordt het al snel duidelijk: veiligheidsbewustzijn. Security awareness is het bewustzijn dat medewerkers hebben over informatieveiligheid en hoe cyberincidenten kunnen worden voorkomen.
Daarnaast is het van groot belang dat medewerkers hier verantwoordelijkheidsgevoel voor hebben. Meer dan 90% van de verwoestende cyberaanvallen is te wijten aan menselijke fouten. Dit kan het gevolg zijn van het onbewust delen van gevoelige informatie, het klikken op phishing-e-mails of het onzorgvuldig omgaan met documenten en USB-sticks.
Nee, niet alles wordt door de IT-afdeling geregeld.
Medewerkers zijn zich lang niet altijd bewust van de cruciale rol die zij spelen in de informatiebeveiliging. Ze denken vaak dat alles door de IT-afdeling wordt geregeld of dat virusscanners en firewalls voldoende beveiliging bieden.
Zorg daarom voor een duidelijk beleid en een passende manier om dit aan alle medewerkers te communiceren. Door een andere, betere houding ten opzichte van gegevensbescherming aan te moedigen, zullen meer en meer mensen handelen in overeenstemming met de nieuwe bedrijfsmaatregelen. Omdat de meeste mensen deze nieuwe houding niet zelf aannemen, is het noodzakelijk om werknemers hierin op te leiden. Dit gebeurt vaak door middel van een Security Awareness Training.
Incident-melding belonen of bestraffen?
Security awareness verhogen binnen een organisatie gaat daarnaast hand in hand met de organisatiecultuur. Medewerkers moeten kunnen werken in een werkomgeving waarin vertrouwen centraal staat. Wanneer medewerkers namelijk mogelijke incidenten leren (her)kennen, dan is de volgende stap dat zij die mogelijke gebeurtenissen ook durven te melden. Als medewerkers het vertrouwen hebben dat zij dit zonder problemen kunnen doen en daarvoor niet bestraft of benadeeld worden, dan zullen zij eerder actie ondernemen. Wat daarbij kan helpen is het ‘aanwijzen’ van security-ambassadeurs binnen de organisatie die vooroplopen, het goede voorbeeld geven en security actief promoten. Zij kunnen anderen bewust maken en het gevoel geven dat het ‘veilig’ is om een incident te melden.
Breng security in het werkveld van de medewerker
Wanneer je actief aan de slag gaat met het verhogen van het beveiligingsbewustzijn, dan kom je er al snel achter dat communicatie een zeer belangrijke factor is. Het is belangrijk dat je van security awareness iets leuks maakt voor je medewerkers. Houd het daarom laagdrempelig en in begrijpelijke taal. Kies daarbij voor inspirerende, aantrekkelijke en interactieve werkvormen. Een ellenlange presentatie waarbij eenzijdig wordt gecommuniceerd door een zender en de ontvanger niet kan reageren, slaat doorgaans niet aan. Wat wel aanslaat verschilt per organisatie; het is een proces van trial en error. Wanneer je ermee aan de slag gaat, ontdek je vanzelf welke vormen goed worden ontvangen binnen jouw organisatie.
Zorg er in elk geval voor dat je medewerkers actief betrekt bij het beveiligingsbewustzijn verhogen. Laat ze niet enkel luisteren, maar ook kijken, (mee)praten, toepassen en in beweging komen. Zo groeit security awareness op een interactieve en leuke manier.
Zoals hierboven benoemd is het belangrijk dat je medewerkers op een leuke en interactieve manier betrekt. Dat is echter niet vrijblijvend. Maak security awareness oefeningen, presentaties, bijeenkomsten ed. verplicht, zodat alle medewerkers actief betrokken worden. Daarin kan het management uiteraard ook een rol spelen; als zij uitdragen dat het belangrijk is dan zorgt dat voor een stukje draagvlak bij de rest van de organisatie.
Uitleg zorgt voor duidelijkheid en begrip
Wat daarbij niet vergeten mag worden is dat het niet alleen belangrijk is om medewerkers uit te leggen wat de regels zijn, maar vooral ook uit te leggen wat de achterliggende gedachte van die regels zijn. Waarom moet er op een bepaalde manier gehandeld worden? Zorg ervoor dat iedereen dat begrijpt. Op die manier ontstaat er meer begrip voor security awareness en kunnen medewerkers beter plaatsen waarom ze iets moeten doen.
Daarnaast is het zaak dat security awareness geen eenmalige actie is, maar een doorlopend proces. Houd security awareness daarom continu onder de aandacht binnen je organisatie en houd de kennis en vaardigheden van medewerkers op peil om het bewustzijn steeds verder te vergroten. Haak daarbij ook aan bij de actualiteiten; zo houd je kennis van medewerkers up-to-date en maak je security awareness interessant.
Security Awareness to-do:
- Toets de fouten van je medewerkers. (bijvoorbeeld door een phishingcampagne). Dit is gelijk je nulmeting.
- Maak de medewerkers bewust van hun fouten zo snel mogelijk na je nulmeting. Hierbij wijs je meteen op de zaken waar ze op hadden kunnen letten.
- Start met een basistraining zodat de basiskennis voldoende op peil is.
- Maak gebruik van afdelingsbijeenkomsten om hier het thema op de kaart te zetten. Gebruik dit moment direct om te vragen waar de behoefte ligt bij de medewerkers van de specifieke afdelingen.
- Gebruik de input van de medewerkers om afdelingsgerichte kennissessies en trainingen te ontwerpen. Zo voelen zij zich betrokken bij het onderwerp aangezien het direct hun werkzaamheden aangaat. Daarmee breng je security awareness in het werkveld van de medewerker en wordt het ineens een stuk interessanter.
Bronnen:
Wat is Security Awareness? Geraadpleegd op 29-3-2023
Beveiligingsbewustzijn verhogen? Handige tips en security awareness voorbeelden! Geraadpleegd op 29-3-2023
