‘Integreer cyberveilig gedrag in je personeelsbeleid’

Organisaties moeten meer doen om cyberveilig gedrag te stimuleren. Zo is het heel belangrijk om security-awareness mee te nemen in hr-processen zoals recruitment en evaluatiegesprekken.

Veel cyberincidenten zijn het gevolg van menselijke fouten, zoals een werknemer die in een phishingmail trapt. Dit geldt bijvoorbeeld ook voor de recente cyberaanval op Uber, waarbij een hacker naar verluidt toegang kreeg tot verschillende interne systemen. De hacker zou zich hebben voorgedaan als een IT-expert van het bedrijf. Zo wist hij een medewerker te overtuigen om inloggegevens af te staan.

Security-awarenesstrainingen zijn een effectief middel om dit soort fouten te voorkomen. Vrijwel alle Nederlandse organisaties bieden al een vorm van security-awarenesstraining aan, zo blijkt uit onderzoek van Mimecast. De meeste organisaties doen dit elke maand (46%) of elk kwartaal (35%). Vooral groepstrainingen met het eigen IT- of securityteam zijn populair.

Trainingen te vrijblijvend

Om het maximale uit een security-awarenessprogramma te halen, moeten de trainingen verankerd zijn in de gehele organisatie. “Security-awarenesstrainingen zijn binnen veel organisaties te vrijblijvend”, zegt Duane Nicol, securityexpert bij Mimecast. “Vanuit het perspectief van de werknemer is niet altijd duidelijk waarom dit zo belangrijk is. Goede communicatie speelt dan ook een sleutelrol. Daarmee creëer je een cultuur waarin mensen niet alleen weten dát ze niet zomaar op links moeten klikken, maar ook waarom niet. En waarin ze zich veilig en zelfverzekerd genoeg voelen om verdachte e-mails en gemaakte fouten te melden.”

Volgens Nicol is het cruciaal dat organisaties security-awarenesstrainingen integreren in hun personeelsbeleid. Hij geeft een aantal concrete adviezen:

Beloon cyberveilig gedrag

“Wees voorzichtig met straffen, maar beloon werknemers vooral als zij goed presteren op het gebied van security-awareness. Zo zou je incentives kunnen uitdelen voor het regelmatig melden van verdachte e-mails bij de IT-afdeling of voor enthousiaste deelname aan het trainingsprogramma. Maak cyberveilig gedrag bovendien een vast onderdeel van evaluatie- en beoordelingsgesprekken.”

Moedig werknemers aan om fouten te melden

“Iedereen maakt fouten. Zelfs een goed getrainde werknemer kan per ongeluk op een malafide link klikken. Hoe eerder de IT-afdeling hiervan op de hoogte is, hoe groter de kans dat de schade kan worden beperkt. Bouw daarom aan een open organisatiecultuur waarin mensen niet bang zijn om fouten te melden, maar daarvoor zelfs bedankt worden. Een fout melden moet net zo normaal zijn als koffie halen.”

Benoem security-awareness als eis in vacatures

“Benadruk in vacatures dat security-awarenesstrainingen bij de functie horen en dat je bedrijf dit heel serieus neemt. Zonder rijbewijs mag je niet autorijden. En als werknemer moet je security-awarenesstrainingen volgen om bedrijfssystemen te gebruiken. Het is toch normaal om als werkgever bepaalde eisen te stellen aan nieuwe werknemers? Bovendien is cyberveilig gedrag iets waar de werknemer ook in zijn privéleven iets aan heeft. En de trainingen worden ook nog volledig gratis aangeboden door de werkgever.”

Communiceer over het doel en testscores

“Security is teamwerk. Nieuwe werknemers kun je vanaf het begin laten deelnemen aan het trainingsprogramma, maar het is ook zaak om je huidige personeel mee te krijgen. Leg uit dat de organisatie kwetsbaar is en dat je iedereen nodig hebt om cyberincidenten te voorkomen. Zo’n programma gaat ook meer leven als je vaak én op een positieve manier over de resultaten en de huidige situatie communiceert. Je kunt er bijvoorbeeld een wedstrijd tussen afdelingen van maken door werknemers te informeren over een daling in het aantal gevaarlijke kliks of een stijging in het aantal gemelde e-mails. Hierdoor voelen mensen zich betrokken en verantwoordelijk, zonder dat er druk of dwang wordt uitgeoefend.”

Let op je taalgebruik

“Werknemers krijgen altijd maar te horen dat ‘gebruikers de zwakste schakel in security zijn’. Met subtiele aanpassingen in het taalgebruik kun je ervoor zorgen dat security-awareness beter landt in de organisatie. Noem de medewerkers die de trainingen volgen bijvoorbeeld geen ‘eindgebruikers’, maar cyberverdedigers. Zo benadruk je dat cyberveilig gedrag een continu leerproces is en dat het onderdeel van je DNA moet zijn. Er kan best een keer iets fout gaan, zolang je de fout maar meldt en ervan leert, zodat je jezelf en je bedrijf beter kunt beschermen.”

Samen verantwoordelijk voor security

“Security-awaresstrainingen zijn slechts één belangrijk onderdeel van een gelaagde beveiliging tegen cyberaanvallen, net als bijvoorbeeld het patchen van software”, besluit Nicol. “Het is positief dat steeds meer Nederlandse organisaties hun personeel trainen. Maar de beste resultaten behaal je als iedere werknemer het belang van security-awareness inziet. Met het juiste personeelsbeleid en trainingsprogramma zorg je ervoor dat iedereen zich hier verantwoordelijk voor voelt. Zo vergroot je de cyberweerbaarheid van je organisatie.”