Beveiligingsbewustzijn verhogen? Handige tips en security awareness voorbeelden!
Handige security awareness voorbeelden en praktische tips.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlHet beveiligingsbewustzijn verhogen is een grote uitdaging voor veel organisaties en dat komt met name door de invloed van de mens in dit verhaal. Wanneer je naar de driehoek procedures, systemen en mensen kijkt, dan is de mens doorgaans de zwakste schakel. Uit onderzoek is zelfs gebleken dat zo’n 80% van alle informatiebeveiligings-incidenten binnen organisaties het gevolg zijn van verkeerd handelen van medewerkers (bron: CBS). Het is daarom belangrijk om medewerkers de hedendaagse risico’s en gevaren aan te leren op het menselijk vlak van informatiebeveiliging en privacy, om hen bewust te maken van hun handelen en om hen de nut en noodzaak in te laten zien van het belang van informatiebeveiliging. Kortom, door het beveiligingsbewustzijn te verhogen houd je jouw bedrijfsdata veilig. In dit artikel geven we je een aantal handige tips en concrete security awareness voorbeelden waarmee je aan de slag kunt!
Beveiligingsbewustzijn verhogen
Security awareness is de mate waarin medewerkers van je organisatie in staat zijn om informatiebeveiligings-incidenten te herkennen, te voorkomen en daarop actie te ondernemen. Om je data veilig te houden is het belangrijk dat medewerkers, van alle afdelingen en niveaus, zich bewust zijn van de gevaren, begrijpen waar mogelijke dreigingen zitten en de impact van (cyber)aanvallen op de organisatie en medewerkers inzien en hier ook naar gaan handelen. Het verhogen van het beveiligingsbewustzijn gaat immers gepaard met het kennisniveau, de houding en het gedrag van medewerkers. Om die reden dienen medewerkers continu getraind te worden zodat hun kennis wordt vergroot en zij eerder in kunnen grijpen bij een mogelijke dreiging.
Security awareness verhogen binnen een organisatie gaat daarnaast hand in hand met de organisatiecultuur. Medewerkers moeten kunnen werken in een werkomgeving waarin vertrouwen centraal staat. Wanneer medewerkers namelijk mogelijke incidenten leren (her)kennen, dan is de volgende stap dat zij die mogelijke gebeurtenissen ook durven te melden. Als medewerkers het vertrouwen hebben dat zij dit zonder problemen kunnen doen en daarvoor niet bestraft of benadeeld worden, dan zullen zij eerder actie ondernemen. Wat daarbij kan helpen is het ‘aanwijzen’ van security-ambassadeurs binnen de organisatie die vooroplopen, het goede voorbeeld geven en security actief promoten. Zij kunnen anderen bewust maken en het gevoel geven dat het ‘veilig’ is om een incident te melden.
Security Awareness voorbeelden
Wanneer je actief aan de slag gaat met het verhogen van het beveiligingsbewustzijn, dan kom je er al snel achter dat communicatie een zeer belangrijke factor is. Het is belangrijk dat je van security awareness iets leuks maakt voor je medewerkers. Houd het daarom laagdrempelig en in begrijpelijke taal. Kies daarbij voor inspirerende, aantrekkelijke en interactieve werkvormen. Een ellenlange presentatie waarbij eenzijdig wordt gecommuniceerd door een zender en de ontvanger niet kan reageren, slaat doorgaans niet aan. Wat wel aanslaat verschilt per organisatie; het is een proces van trial en error. Wanneer je ermee aan de slag gaat, ontdek je vanzelf welke vormen goed worden ontvangen binnen jouw organisatie. Hieronder een aantal security awareness voorbeelden waar je mee aan de slag kunt:
- Een security awareness game;
- Een mystery guest;
- Phishing-simulaties;
- Een extra interne audit;
- Een interactieve workshop;
- Praktische reminders;
- Updates via interne nieuwskanalen;
- Quizjes en testjes.
Uiteraard zijn er nog veel meer vormen mogelijk. Zorg er in elk geval voor dat je medewerkers actief betrekt bij het beveiligingsbewustzijn verhogen. Laat ze niet enkel luisteren, maar ook kijken, (mee)praten, toepassen en in beweging komen. Zo groeit security awareness op een interactieve en leuke manier.
Een continu (verplicht) proces
Zoals hierboven benoemd is het belangrijk dat je medewerkers op een leuke en interactieve manier betrekt. Dat is echter niet vrijblijvend. Maak security awareness oefeningen, presentaties, bijeenkomsten ed. verplicht, zodat alle medewerkers actief betrokken worden. Daarin kan het management uiteraard ook een rol spelen; als zij uitdragen dat het belangrijk is dan zorgt dat voor een stukje draagvlak bij de rest van de organisatie.
Wat daarbij niet vergeten mag worden is dat het niet alleen belangrijk is om medewerkers uit te leggen wat de regels zijn, maar vooral ook uit te leggen wat de achterliggende gedachte van die regels zijn. Waarom moet er op een bepaalde manier gehandeld worden? Zorg ervoor dat iedereen dat begrijpt. Op die manier ontstaat er meer begrip voor security awareness en kunnen medewerkers beter plaatsen waarom ze iets moeten doen.
Daarnaast is het zaak dat security awareness geen eenmalige actie is, maar een doorlopend proces. Houd security awareness daarom continu onder de aandacht binnen je organisatie en houd de kennis en vaardigheden van medewerkers op peil om het bewustzijn steeds verder te vergroten. Haak daarbij ook aan bij de actualiteiten; zo houd je kennis van medewerkers up-to-date en maak je security awareness interessant.
Een actueel onderwerp zijn phishing aanvallen die steeds vaker voorkomen. Het doel van deze aanvallen is het verkrijgen van gegevens van organisaties en personen. Cybercriminelen maken momenteel veelvuldig gebruik van de corona-crisis (CSBN 2019). Ze spelen daarbij handig in op de updates rondom de corona-ontwikkelingen. Medewerkers moeten hiervoor tijdig gewaarschuwd worden, zodat ze dit soort nieuwe phishingtechnieken kunnen herkennen.
Meten en verbeteren: deel successen
Wanneer je met security awareness aan de slag gaat is het prettig om te weten waar de organisatie op dat moment staat. Wat is het kennisniveau van de medewerkers? En hoe bewust is men zich van alle mogelijke gevaren met betrekking tot informatiebeveiliging? Dit kun je bepalen met een zogenaamde nulmeting. Dit is het startpunt van waaruit je vertrekt. Hanteer gedurende het proces een meetinstrument dat vergelijkbare en reproduceerbare resultaten oplevert. Zo kun je periodiek zien wat de voortgang is en inspelen op onderwerpen die (extra) aandacht nodig hebben.
Door periodiek rapportages op te stellen met daarin duidelijke analyses over actuele incidenten kun je (bij)sturen. Het is daarbij erg belangrijk dat je de voortgang ook deelt met de medewerkers. Hoeveel incidenten worden er bijvoorbeeld maandelijks gemeld? Neemt het aantal incidenten af? Worden actuele dreigingen eerder herkend? Het werkt daarbij ook om goed, risicobewust gedrag onder medewerkers te belonen. Bijvoorbeeld door middel van een handgeschreven bedankje richting een medewerker, het uitdelen van certificaten nadat medewerkers een bepaalde score hebben behaald in een quiz of juist door de ‘meest bewuste medewerker van de maand award’ uit te reiken. Zo houd je security awareness continu onder de aandacht en verhoog je op een leuke, interactieve en bovenal meetbare manier het beveiligingsbewustzijn binnen je organisatie.
Meer informatie?
Wil jij ook aan de slag met het beveiligingsbewustzijn verhogen binnen je organisatie? Of ben je benieuwd naar andere security awareness voorbeelden die je toe kunt passen binnen jouw organisatie? Neem dan gerust contact met ons op. Onze adviseur helpt je graag op weg. Daarnaast wijzen we je ook op onze ‘security awareness sessies’. Daarin tillen we het beveiligingsbewustzijn binnen jouw organisatie op een interactieve manier middels sessies op maat naar een hoger niveau.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlKom in contact met de partner in certificeren!
Meer informatie over de mogelijkheden?
- Altijd een oplossing op maat
- Jouw organisatie als uitgangspunt
- Snel, pragmatisch en persoonlijk