Drie veelgemaakte fouten bij trainingen voor cybersecurity-bewustzijn

Ondanks de enorme budgetten en middelen die in cybersecurity worden geïnvesteerd, zijn datalekken nog altijd actueel en hebben ze een steeds grotere impact. Bij het analyseren van deze aanvallen is er één overeenkomst: de technologie wordt ondermijnd door menselijk gedrag. Het kan gaan om werknemers die inloggegevens uitwisselen, ongeautoriseerde verzoeken toestaan, reageren op valse e-mails of simpelweg malware activeren op uitnodiging van een hacker.

Wanneer het World Economic Forum stelt dat 95% van de cybersecurity-incidenten het gevolg is van menselijk handelen, is het duidelijk dat beveiligingsbewustzijn absoluut noodzakelijk is. Maar ondanks jarenlange inspanningen moet er meer gebeuren.

Zo zijn er drie met elkaar verbonden stappen die je kunt nemen om je cybersecurity-training te verbeteren.

Stap 1: bedenk een creatieve naam voor je training

Hoe overbodig dit ook klinkt, misschien heb je je cybersecurity-training gewoon de verkeerde naam gegeven?

We besteden allemaal veel aandacht aan cybersecurity-bewustzijn en ontwikkelen trainingen voor onze bedrijven, maar dat is niet wat we echt willen. Wat we echt willen is meer dan alleen bewustwording - het is gedragsverandering. Door ons programma "cybersecurity-bewustzijn" te noemen, richten we ons op het verkeerde doel.

Een makkelijke oplossing: verander de naam van je programma. Bedenk welk resultaat je wilt bereiken en geef je cybersecurity-training de juiste naam. Je zult versteld staan van het verschil dat zo'n kleine verandering kan maken. De nieuwe naam zorgt voor een constante herinnering aan wat je eigenlijk wilt bereiken.

Stap 2: Leer je ezelsbruggetjes

De tweede fout is verbonden aan de eerste. Maar al te vaak wordt bij cybersecurity-trainingen verwacht dat zij de cultuur van een organisatie kunnen veranderen door het personeel meer trainingen te laten volgen. Dat is gewoon niet het geval. Cultuur is niet hetzelfde als "veel bewustzijn".

Ik gebruik een ezelsbruggetje - "BGC" - dat staat voor Bewustwording, Gedrag, Cultuur. Elke stap bouwt voort op de vorige. Belangrijk is dat er bij elke stap ook een kantelpunt is - een verandering in patronen noodzakelijk om van het ene niveau naar het volgende te gaan.

Laten we aannemen dat we al aan “bewustwording” doen. Om over te schakelen op "gedrag" moet je ervoor zorgen dat het personeel de gevolgen van cybersecurity begrijpt, zowel persoonlijk als professioneel. Zodra het personeel zowel bewust als gemotiveerd is, is de kans veel groter dat zij het juiste gedrag zullen vertonen. Er is onderzoek gedaan naar deze aanpak, en ik raad je aan om het gedragsmodel van professor BJ Fogg eens te bekijken.

Zodra "gedrag" is aangeleerd, wordt "cultuur" het doel. De kern van deze cultuur moet zijn dat iedereen in het bedrijf om veiligheid geeft. Creëer dat beeld door je communicatieplan zodanig af te stemmen dat berichten over beveiliging uit het hele bedrijf komen - van leidinggevenden, van receptiemedewerkers en vooral van managers. Eigenlijk bijna van iedereen behalve de CISO. Zo krijgt elke werknemer de indruk dat iedereen om hem heen om beveiliging geeft, en dat zet hem onder druk om daarnaar te handelen.

Stap 3: Voer negatieve consequenties alleen uit wanneer dat nodig is

De belangrijkste stap om tot het bovengenoemde "gedrag" te komen is door werknemers te motiveren om hun gedrag te veranderen. Motivatie kan op verschillende manieren worden aangemoedigd, en één daarvan is het creëren van angst voor straf of schaamte als het personeel een fout maakt of niet slaagt voor een veiligheidstest.

Veel beveiligingsprofessionals hebben hierover uitgesproken meningen. Sommigen vinden dat negatieve gevolgen absoluut moeten worden vermeden. Anderen gebruiken ze als primair motivatiemiddel. Beide zijn een misstap; de beste aanpak is een middenweg kiezen.

Een beveiligingsleider die haastig negatieve consequenties doorvoert, verliest snel de steun van de meerderheid en kan worden gezien als iemand die ‘politieagentje speelt’. Je boekt misschien wel vooruitgang, maar ten koste van wendbaarheid, flexibiliteit en zakelijk inzicht - eigenschappen die moderne bedrijven hard nodig hebben. Werknemers zullen je minder snel aanspreken met zorgen, kwetsbaarheden en ideeën.

Bedrijven die het best scoren voor phishingtests voeren echter vaak wel negatieve consequenties door, maar hebben toch een toegankelijk en goed aangeschreven beveiligingsteam. Hoe krijgen ze dat voor elkaar? Het gaat allemaal om timing.

Als je een consequentiemodel invoert, moet deze in eerste instantie alleen worden gebruikt om de juiste handelingen te belonen. Pas als het bedrijf van het niveau "gedrag" naar "cultuur" gaat, moet het gebruik van negatieve consequenties worden overwogen. Op dat moment heb je voldoende steun van het hele bedrijf, en kunnen negatieve gevolgen worden gebruikt als laatste stap, om mensen te motiveren die niet op één lijn zitten met de cultuur die de rest al heeft omarmd. De uitvoering is hetzelfde, maar de berichtgeving is totaal anders.

In een tijdperk waarin identiteitsgegevens steeds meer worden misbruikt en mensen zo bepalend zijn voor een sterke cyberdefensie, wordt de beveiligingscultuur een belangrijke factor waaraan elke CISO prioriteit moet geven. Deze drie stappen zullen een groot verschil maken voor je cybersecurity-training en het risico op een succesvolle aanval via je werknemers verlagen.

Andrew Rose, Resident CISO, EMEA at Proofpoint