‘Integreer cyberveilig gedrag in je personeelsbeleid’

4 oktober 2022

Orga­ni­sa­ties moeten meer doen om cyber­veilig gedrag te stimu­leren. Zo is het heel belang­rijk om security-awareness mee te nemen in hr-processen zoals recruit­ment en evaluatiegesprekken.

Veel cybe­rin­ci­denten zijn het gevolg van mense­lijke fouten, zoals een werknemer die in een phis­hing­mail trapt. Dit geldt bijvoor­beeld ook voor de recente cyber­aanval op Uber, waarbij een hacker naar verluidt toegang kreeg tot verschil­lende interne systemen. De hacker zou zich hebben voor­ge­daan als een IT-expert van het bedrijf. Zo wist hij een mede­werker te over­tuigen om inlog­ge­ge­vens af te staan.

Security-aware­ness­trai­ningen zijn een effectief middel om dit soort fouten te voorkomen. Vrijwel alle Neder­landse orga­ni­sa­ties bieden al een vorm van security-aware­ness­trai­ning aan, zo blijkt uit onderzoek van Mimecast. De meeste orga­ni­sa­ties doen dit elke maand (46%) of elk kwartaal (35%). Vooral groeps­trai­ningen met het eigen IT- of secu­ri­ty­team zijn populair.

Trainingen te vrijblijvend

Om het maximale uit een security-aware­ness­pro­gramma te halen, moeten de trai­ningen verankerd zijn in de gehele orga­ni­satie. “Security-aware­ness­trai­ningen zijn binnen veel orga­ni­sa­ties te vrij­blij­vend”, zegt Duane Nicol, secu­ri­ty­ex­pert bij Mimecast. “Vanuit het perspec­tief van de werknemer is niet altijd duidelijk waarom dit zo belang­rijk is. Goede commu­ni­catie speelt dan ook een sleu­telrol. Daarmee creëer je een cultuur waarin mensen niet alleen weten dát ze niet zomaar op links moeten klikken, maar ook waarom niet. En waarin ze zich veilig en zelf­ver­ze­kerd genoeg voelen om verdachte e‑mails en gemaakte fouten te melden.”

Volgens Nicol is het cruciaal dat orga­ni­sa­ties security-aware­ness­trai­ningen inte­greren in hun perso­neels­be­leid. Hij geeft een aantal concrete adviezen: 

  • Beloon cyber­veilig gedrag – “Wees voor­zichtig met straffen, maar beloon werk­ne­mers vooral als zij goed presteren op het gebied van security-awareness. Zo zou je incen­tives kunnen uitdelen voor het regel­matig melden van verdachte e‑mails bij de IT-afdeling of voor enthou­si­aste deelname aan het trai­nings­pro­gramma. Maak cyber­veilig gedrag bovendien een vast onderdeel van evaluatie- en beoordelingsgesprekken.” 
  • Moedig werk­ne­mers aan om fouten te melden – “Iedereen maakt fouten. Zelfs een goed getrainde werknemer kan per ongeluk op een malafide link klikken. Hoe eerder de IT-afdeling hiervan op de hoogte is, hoe groter de kans dat de schade kan worden beperkt. Bouw daarom aan een open orga­ni­sa­tie­cul­tuur waarin mensen niet bang zijn om fouten te melden, maar daarvoor zelfs bedankt worden. Een fout melden moet net zo normaal zijn als koffie halen.”
  • Benoem security-awareness als eis in vacatures – “Benadruk in vacatures dat security-aware­ness­trai­ningen bij de functie horen en dat je bedrijf dit heel serieus neemt. Zonder rijbewijs mag je niet auto­rijden. En als werknemer moet je security-aware­ness­trai­ningen volgen om bedrijfs­sys­temen te gebruiken. Het is toch normaal om als werkgever bepaalde eisen te stellen aan nieuwe werk­ne­mers? Bovendien is cyber­veilig gedrag iets waar de werknemer ook in zijn privéleven iets aan heeft. En de trai­ningen worden ook nog volledig gratis aange­boden door de werkgever.”
  • Commu­ni­ceer over het doel en testscores – “Security is teamwerk. Nieuwe werk­ne­mers kun je vanaf het begin laten deelnemen aan het trai­nings­pro­gramma, maar het is ook zaak om je huidige personeel mee te krijgen. Leg uit dat de orga­ni­satie kwetsbaar is en dat je iedereen nodig hebt om cybe­rin­ci­denten te voorkomen. Zo’n programma gaat ook meer leven als je vaak én op een positieve manier over de resul­taten en de huidige situatie commu­ni­ceert. Je kunt er bijvoor­beeld een wedstrijd tussen afde­lingen van maken door werk­ne­mers te infor­meren over een daling in het aantal gevaar­lijke kliks of een stijging in het aantal gemelde e‑mails. Hierdoor voelen mensen zich betrokken en verant­woor­de­lijk, zonder dat er druk of dwang wordt uitgeoefend.”
  • Let op je taal­ge­bruik – “Werk­ne­mers krijgen altijd maar te horen dat ‘gebrui­kers de zwakste schakel in security zijn’. Met subtiele aanpas­singen in het taal­ge­bruik kun je ervoor zorgen dat security-awareness beter landt in de orga­ni­satie. Noem de mede­wer­kers die de trai­ningen volgen bijvoor­beeld geen ‘eind­ge­brui­kers’, maar cyber­ver­de­di­gers. Zo benadruk je dat cyber­veilig gedrag een continu leer­proces is en dat het onderdeel van je DNA moet zijn. Er kan best een keer iets fout gaan, zolang je de fout maar meldt en ervan leert, zodat je jezelf en je bedrijf beter kunt beschermen.”

Samen verantwoordelijk voor security

“Security-awaress­trai­ningen zijn slechts één belang­rijk onderdeel van een gelaagde bevei­li­ging tegen cyber­aan­vallen, net als bijvoor­beeld het patchen van software”, besluit Nicol. “Het is positief dat steeds meer Neder­landse orga­ni­sa­ties hun personeel trainen. Maar de beste resul­taten behaal je als iedere werknemer het belang van security-awareness inziet. Met het juiste perso­neels­be­leid en trai­nings­pro­gramma zorg je ervoor dat iedereen zich hier verant­woor­de­lijk voor voelt. Zo vergroot je de cyber­weer­baar­heid van je organisatie.”

Robbert Hoeffnagel

Editor @ Belgium Cloud

Pin It on Pinterest

Share This