Zo landt een security awareness programma wel

13/07/2021 Door Dennis Grifhorst

De “menselijke firewall” is toch zeker de belangrijkste schakel in uw dagelijkse security. Mensen maken fouten, soms met verstrekkende gevolgen voor de organisatie. Recente incidenten bewijzen dat. Zoals bij Klarna, een dienst voor het achteraf betalen van een webshopaankoop. Gedurende een korte periode kwamen klanten na inloggen terecht in accounts van andere gebruikers. Volgens de CEO van het Zweedse bedrijf was de bug het gevolg van een ‘human error’.

Volgens een onderzoek van onder andere Stanford University, is bijna 88 procent van de datalekken het gevolg van menselijke fouten, en deze datalekken zijn kostbaar, niet alleen in geld, maar ook in reputatieverlies. Het is daarom van vitaal belang dat bedrijven opleidingen organiseren om het personeel bewuster te maken van de risico’s.

Maar hoe pak je dit aan? Toch blijkt het niet zo simple om een dergelijk training te maken en te geven die impact heeft en die in het geheugen van de werknemer blijft hangen.

SCC’s cybersecurity adviseurs gaven ons 5 tips om te delen:

1. Een scherpe focus

Het is onmogelijk om alle risico’s die samenhangen met menselijk gedrag te elimineren. Daarom is soms beter om een awarenessprogramma af te stemmen op de belangrijkste cyberrisico’s.

2. Hou het relevant

Werknemers moeten zien hoe dit op hen van toepassing is. Er zijn op internet veel sensationele voorbeelden te vinden van de verwoestende gevolgen voor de slachtoffers van cybercriminaliteit, en eindeloze statistieken om iedereen bang te maken, maar als u voorbeelden wilt gebruiken om de boodschap over te brengen, maak die dan relevant voor de omvang en het type van uw eigen bedrijf, anders zullen uw werknemers het afschrijven als niet op mij van toepassing.

3. Denk aan een eenduidige boodschap

Introduceer eenvoudige richtlijnen die het personeel gemakkelijk kan onthouden. Stel bijvoorbeeld een wachtwoordbeleid op en maak een infografiek om op de kantoormuren te hangen om hen eraan te herinneren. Gedrag moet inslijten. Dan is het beter om de boodschap niet te vaak te wijzigen, en die boodschap ook te blijven herhalen. Tenzij veranderende omstandigheden natuurlijk vragen om een wijziging.

4. Tools gebruiken

Elke opleidingssessie wordt interessanter als ze interactief is. Er zijn veel gratis tools beschikbaar waarmee u voorbeelden van phishing kunt laten zien, kunt laten zien hoe CEO e-mails werken en hoe u nep-e-mail links kunt detecteren. Laat uw personeel het proberen en kijk of ze de echte van de neppe kunnen onderscheiden

5. De kracht van herhalen, herhalen en herhalen.

De eenduidige boodschap is erg belangrijk maar dat betekent niet dat een security-awarenessprogramma in beton gegoten moet zijn. Cybercriminelen zijn namelijk ook elke dag op zoek om op een andere manier in te breken. Zij verfijnen hun werkwijze, technieken en strategieën. Dit betekent dat uw programma ook continue moet blijven ontwikkelen. Uw medewerkers moeten namelijk op de hoogte blijven van de nieuwste trucs die worden toegepast door cybercriminelenHerhaling is een krachtige manier om een boodschap te laten beklijven.

Een geactualiseerd programma zal het beveiligingsbewustzijn een nieuwe impuls geven, en dat verkleint weer de kans op een kostbaar cyberincident. Zorg er daarom voor dat uw security awareness programma 1x per jaar wordt bijgewerkt op de dan actuele situatie. Daarnaast moet het security awareness programma ook worden aangepast als er bijvoorbeeld grote wijzigingen in de organisatie plaatsvinden.

SCC kan u uiteraard helpen met advies en ondersteuning.