Beveiligingsbewustzijn verhogen? Handige tips en security awareness voorbeelden!

Het beveiligingsbewustzijn verhogen is een grote uitdaging voor veel organisaties en dat komt met name door de invloed van de mens in dit verhaal. Wanneer je naar de driehoek procedures, systemen en mensen kijkt, dan is de mens doorgaans de zwakste schakel. Uit onderzoek is zelfs gebleken dat zo’n 80% van alle informatiebeveiligings-incidenten binnen organisaties het gevolg zijn van verkeerd handelen van medewerkers (bron: CBS). Het is daarom belangrijk om medewerkers de hedendaagse risico’s en gevaren aan te leren op het menselijk vlak van informatiebeveiliging en privacy, om hen bewust te maken van hun handelen en om hen de nut en noodzaak in te laten zien van het belang van informatiebeveiliging. Kortom, door het beveiligingsbewustzijn te verhogen houd je jouw bedrijfsdata veilig. In dit artikel geven we je een aantal concrete security awareness voorbeelden waarmee je aan de slag kunt en tot slot krijg je van ons 40 praktische security awareness tips.

De mens is in bovengenoemde driehoek de zwakste schakel, maar dat kun je ook omdraaien: hoe maak je van de mens de sterkste schakel? Dat doe je door mensen te trainen en doelgericht het bewustzijn op gebied van informatieveiligheid te verhogen. Om dat te realiseren is het van belang dat:

Security awareness verhogen binnen een organisatie gaat daarnaast hand in hand met de organisatiecultuur. Medewerkers moeten kunnen werken in een werkomgeving waarin vertrouwen centraal staat. Wanneer medewerkers namelijk mogelijke incidenten leren (her)kennen, dan is de volgende stap dat zij die mogelijke gebeurtenissen ook durven te melden. Als medewerkers het vertrouwen hebben dat zij dit zonder problemen kunnen doen en daarvoor niet bestraft of benadeeld worden, dan zullen zij eerder actie ondernemen. Wat daarbij kan helpen is het ‘aanwijzen’ van security-ambassadeurs binnen de organisatie die vooroplopen, het goede voorbeeld geven en security actief promoten. Zij kunnen anderen bewust maken en het gevoel geven dat het ‘veilig’ is om een incident te melden.

Wanneer je actief aan de slag gaat met het verhogen van het beveiligingsbewustzijn, dan kom je er al snel achter dat communicatie een zeer belangrijke factor is. Het is belangrijk dat je van security awareness iets leuks maakt voor je medewerkers. Houd het daarom laagdrempelig en in begrijpelijke taal. Kies daarbij voor inspirerende, aantrekkelijke en interactieve werkvormen. Een ellenlange presentatie waarbij eenzijdig wordt gecommuniceerd door een zender en de ontvanger niet kan reageren, slaat doorgaans niet aan. Wat wel aanslaat verschilt per organisatie; het is een proces van trial en error. Wanneer je ermee aan de slag gaat, ontdek je vanzelf welke vormen goed worden ontvangen binnen jouw organisatie. Hieronder een aantal security awareness voorbeelden waar je mee aan de slag kunt:

Uiteraard zijn er nog veel meer vormen mogelijk. Zorg er in elk geval voor dat je medewerkers actief betrekt bij het beveiligingsbewustzijn verhogen. Laat ze niet enkel luisteren, maar ook kijken, (mee)praten, toepassen en in beweging komen. Zo groeit security awareness op een interactieve en leuke manier.

Zoals hierboven benoemd is het belangrijk dat je medewerkers op een leuke en interactieve manier betrekt. Dat is echter niet vrijblijvend. Maak security awareness oefeningen, presentaties, bijeenkomsten ed. verplicht, zodat alle medewerkers actief betrokken worden. Daarin kan het management uiteraard ook een rol spelen; als zij uitdragen dat het belangrijk is dan zorgt dat voor een stukje draagvlak bij de rest van de organisatie.

Wat daarbij niet vergeten mag worden is dat het niet alleen belangrijk is om medewerkers uit te leggen wat de regels zijn, maar vooral ook uit te leggen wat de achterliggende gedachte van die regels zijn. Waarom moet er op een bepaalde manier gehandeld worden? Zorg ervoor dat iedereen dat begrijpt. Op die manier ontstaat er meer begrip voor security awareness en kunnen medewerkers beter plaatsen waarom ze iets moeten doen.

Daarnaast is het zaak dat security awareness geen eenmalige actie is, maar een doorlopend proces. Houd security awareness daarom continu onder de aandacht binnen je organisatie en houd de kennis en vaardigheden van medewerkers op peil om het bewustzijn steeds verder te vergroten. Haak daarbij ook aan bij de actualiteiten; zo houd je kennis van medewerkers up-to-date en maak je security awareness interessant.

Awareness training informatiebeveiliging kun je op allerlei manieren inrichten. Wat daarbij belangrijk is om jezelf te realiseren is dat dit geen eenmalige exercitie is, maar een continu proces van trainen en bewust maken. Herhalen is immers de moeder van de wetenschap. Daarnaast is het zo dat de wereld van informatiebeveiliging zich razendsnel ontwikkelt:

Allemaal ontwikkelingen waarop jouw organisatie dient in te spelen en waarin je jouw mensen dus continu moet bijspijkeren. Als mensen continu getraind worden, blijft informatiebeveiliging top of mind en zijn ze in staat in te grijpen bij een mogelijke dreiging of een situatie eerder te herkennen en daarvoor een incident te melden.

Uiteraard zijn er tal van vormen mogelijk om mensen te trainen. Op basis van de security awareness nulmeting kan er een specifiek bewustzijnsprogramma ontwikkeld worden om kennis en bewustwording onder medewerkers te vergroten. Hierdoor wordt de kans op incidenten verkleind en het niveau van informatiebeveiliging verhoogd.

Theoretisch weten mensen vaak wel wat de risico’s zijn, maar zijn ze zich daar ook van bewust in hun dagelijks handelen? Om dat te achterhalen is het zaak dat je het kennisniveau van mensen in je organisatie meet. Dat kan bijvoorbeeld door toetsing. Van daaruit kun je een op maat gemaakt programma inzetten om het kennisniveau en bewustzijn te verhogen.

Een eerste stap daarin kan het uitvoeren van een security awareness nulmeting zijn. Daarmee krijg je een helder beeld van waar jouw organisatie staat met betrekking tot security awareness. De voordelen van een nulmeting:

Zoals gezegd zijn er diverse tools die onderdeel kunnen uitmaken van de nulmeting waardoor bepaald kan worden wat de status is van het niveau van security awareness binnen de organisatie. Hieronder wordt als voorbeeld een drietal mogelijkheden uitgelicht:

Een veelgebruikte methode is een intakescan. Dit is een vragenlijst die bestaat uit een aantal vragen over specifieke onderwerpen in relatie tot informatiebeveiliging, cybersecurity en/of privacy. De inhoud van de vragenlijst kan, op basis van de intake, op maat worden samengesteld. Medewerkers doorlopen de vragenlijst die ingaat op kennis en gedrag. De resultaten worden (digitaal) gemeten en kunnen op die manier geanalyseerd worden.

Een andere veelgebruikte methode is het inzetten van simulaties. Bijvoorbeeld met betrekking tot phishing, ransonware of andere onderwerpen. Neem phishing, wat een grote dreiging is die in veel organisaties aan de orde van de dag is. Tijdens de nulmeting kan een phishing simulatie worden ingezet waarbij medewerkers een fake-mail ontvangen. Vervolgens wordt gemonitord, aan de hand van het aantal clicks op de phishinglink en het aantal gemelde incidenten, wat het kennisniveau en gedrag van medewerkers is in relatie tot de mail.

In de nulmeting kan ook een workshop plaatsvinden waarbij (inter)actief aan de slag wordt gegaan met (een) groep(en) medewerkers. Tijdens de workshop wordt bijvoorbeeld het gesprek aangegeven, worden diverse quizjes en testjes ingezet en op die manier wordt duidelijk waar de risico’s zitten met het oog op informatieveiligheid.

Hanteer gedurende het proces een meetinstrument dat vergelijkbare en reproduceerbare resultaten oplevert. Zo kun je periodiek zien wat de voortgang is en inspelen op onderwerpen die (extra) aandacht nodig hebben. Door periodiek rapportages op te stellen met daarin duidelijke analyses over actuele incidenten kun je (bij)sturen. Het is daarbij erg belangrijk dat je de voortgang ook deelt met de medewerkers. Hoeveel incidenten worden er bijvoorbeeld maandelijks gemeld? Neemt het aantal incidenten af? Worden actuele dreigingen eerder herkend? Het werkt daarbij ook om goed, risicobewust gedrag onder medewerkers te belonen. Bijvoorbeeld door middel van een handgeschreven bedankje richting een medewerker, het uitdelen van certificaten nadat medewerkers een bepaalde score hebben behaald in een quiz of juist door de ‘meest bewuste medewerker van de maand award’ uit te reiken. Zo houd je security awareness continu onder de aandacht en verhoog je op een leuke, interactieve en bovenal meetbare manier het beveiligingsbewustzijn binnen je organisatie.

Tot slot geven we je hieronder per categorie een aantal praktische tips die je als medewerker binnen een organisatie kunt toepassen met het oog op informatiebeveiliging bij je werkzaamheden op kantoor, maar zeker ook bij het thuiswerken. Daarbij de opmerking dat je jezelf altijd aan het beleid, met betrekking tot informatiebeveiliging, van je organisatie dient te houden. Wanneer je organisatie gecertificeerd is voor een ISO norm, zoals ISO 27001, dan is dit beleid er ongetwijfeld.

Maak je gebruik van fysieke documenten?

Andere tips omtrent de omgang met informatie:

Het is belangrijk om veilig om te gaan met je zakelijke laptop en/of (zakelijke) mobiele telefoon. Zorg ervoor dat niemand bij de informatie kan die erop staat. Dat doe je o.a. door:

Wanneer je organisatie in het bezit is van een certificering, zoals ISO 27001, dan is een beleid met betrekking tot de omgang  met het installeren van software. Hier dien je jezelf als medewerker van een organisatie altijd aan te houden. Het is in elk geval belangrijk dat je nooit zomaar software installeert en dat je weet wat wel en niet is toegestaan. Hieronder enkele tips over de omgang met software en websites:

Phishing aanvallen komen steeds vaker voor en phishingtechnieken worden steeds geavanceerder. Bij deze vorm van internetfraude proberen internetcriminelen gegevens van organisaties en personen te stelen om daar vervolgens geld mee te kunnen verdienen. Doorgaans gebeurt dat door e-mails te sturen met een link daarin. Als jij, of iemand anders binnen je organisatie, op een e-mail met verkeerde link klikt of een verkeerde bijlage opent, dan hebben de criminelen je gegevens te pakken. Een bekend voorbeeld zijn mailtjes van je bank, die niet van je bank zijn.

Het is belangrijk dat je goed omgaat met je wachtwoorden en dat je gebruik maakt van sterke wachtwoorden. Meer informatie hierover lees je in ons eerder geschreven artikel ‘veilige en sterke wachtwoorden met een wachtwoordmanager’. Hieronder een aantal praktische wachtwoordtips:

Zorg er altijd voor dat je gebruik maakt van een veilige internetverbinding. Dat geldt zowel op kantoor, maar ook thuis of bij bijvoorbeeld een externe locatie.

Wil jij ook aan de slag met het beveiligingsbewustzijn verhogen binnen je organisatie? Of wil je weten wat de verbeterpunten zijn qua gedrag van je medewerkers en wat je daarvoor moet doen? Dan biedt een security awareness nulmeting uitkomst.

Ga aan de slag, zorg dat cybercriminelen jouw organisatie niet treffen en houd je bedrijfsdata veilig! Maak je medewerkers bewust van de veiligheidsrisico’s en train ze in (informatie)veilig handelen! Neem vandaag nog contact op voor meer informatie. Wij sparren graag met je!