Security-awarenessprogramma’s gaan om gedrag, niet om cijfers

Philippe den Arend

Philippe den Arend is consultant bij Traxion

Sinds de uitbraak van het coronavirus is een duidelijke toename te zien van cybercriminaliteit die inspeelt op de dreiging van de wereldwijde pandemie. Zo sturen cybercriminelen phishing-mails met valse links naar corona-informatie of proberen ze bankgegevens te ontfutselen door te schermen met ‘bacterievrije pinpassen’. Deze situatie onderstreept opnieuw hoe belangrijk security en security-awareness zijn voor organisaties.

Om cybercriminaliteit het hoofd te bieden, voeren veel organisaties al langer awareness-programma’s uit om medewerkers bewust te maken van de risico’s van online werken. Daarbij zien we dat ze vaak kiezen voor een prestatiedoel: we willen twintig procent minder security-incidenten hebben. Dit type doelen is begrijpelijk, maar niet effectief. Want een afname van het aantal incidenten kan te maken hebben met minder incidenten, maar ook met minder meldingen, doordat medewerkers bewust of onbewust afzien van het doorgeven van een security-incident. Doel zou moeten zijn dat medewerkers juist veel meldingen doen, zodat het duidelijk is dat ze alert en ‘aware’ zijn.

Het is daarom dan ook beter om niet uit te gaan van een prestatiedoel, maar van een ontwikkeldoel. Dat betekent dat je als organisatie gedetailleerd gaat vastleggen welk gedrag je wilt bevorderen als het gaat om security. Een heel simpel voorbeeld is het ‘locken’ van je pc of laptop als je even je werkplek verlaat. Zo’n handeling is concreet en praktisch en voor iedereen glashelder.

Een programma dat ontwikkeldoelen stelt, ziet er wat ons betreft als volgt uit:

  • We beginnen met de voorbereiding, waarin we concrete doelen, strategie (wat gaan we doen?) en tactiek (hoe gaan we het doen?) bepalen.
  • Vervolgens doen we een nulmeting via een gecontroleerde phishing-actie, het inzetten van een mystery guest die een pand of afdeling probeert binnen te komen of het verspreiden van een USB-stick met een opschrift dat medewerkers uitnodigt om de inhoud van de stick te bekijken. Deze acties worden vaak - net als een brandoefening - onaangekondigd uitgevoerd. De vraag is of dat echt effectiever is dan een aangekondigde actie. Wanneer je aan alle medewerkers vooraf duidelijk maakt dat er een phishing-actie op stapel staat, zal de alertheid toenemen. Ervaren medewerkers die ondanks een aankondiging toch in de val trappen, voelen extra sterk dat ze heel slordig zijn geweest.
  • Na de nulmeting vindt training plaats via serious gaming en/of e-learning. Daarbij is het streven om medewerkers de leerfases van Maslow te laten doorlopen. Die gaan van onbewust onbekwaam via bewust onbekwaam en bewust bekwaam naar onbewust bekwaam. Vergelijk het met een kind dat fietsen leert. Dat vraagt eerst om nadenken en vaardigheden opbouwen. Maar zodra het kind het goed onder de knie heeft, vinden de handelingen onbewust plaats.
  • De laatste fase is evaluatie en sturing. Security-awareness is geen one-off. Het vereist voortdurende aandacht en alertheid om ervoor te zorgen dat medewerkers scherp zijn en scherp blijven.

Gedragsverandering

Het uiteindelijke doel van elk securityprogramma is een gedragsverandering bij medewerkers in het omgaan met technologie. Het gaat bij het realiseren van gedrag om drie dingen: vaardigheid, kennis en houding. Bij vaardigheid is het de vraag of een medewerker in staat is om bijvoorbeeld een phishing-e-mail te herkennen of ervan afziet om een gevonden USB-stick zomaar in zijn laptop te steken. Bij kennis draait het om het punt of de medewerker het bredere perspectief ziet en zich bijvoorbeeld realiseert wat de gevolgen van een computervirus kunnen zijn. En bij houding is de vraag in hoeverre de medewerker mee gaat met het beleid of juist weerstand laat zien. Om een effectief programma te bouwen, zijn concrete doelen op elk van deze onderdelen nodig.

In dit verband is duidelijke communicatie een eerste vereiste. In een van de persconferenties van minister-president Mark Rutte over de maatregelen tegen het coronavirus werden data en regels genoemd die niet voor iedereen direct glashelder waren. Dat werd later goedgemaakt, maar de aanvankelijke verwarring liet zien hoe belangrijk communicatie is. Dat geldt ook zeker voor security-awarenessprogramma’s die voor iedere organisatie van vitaal belang zijn. Gebruik daarvoor elk mogelijk intern kanaal, van online (SharePoint, Yammer of intranet) tot offline, zoals posters en banners door het gebouw, en wees zo concreet mogelijk. Voorkomen is altijd beter dan genezen.

Traxion biedt onder andere diensten op het gebied van security-awareness. Meer informatie daarover is te vinden op de Traxion-website.