Het veranderen van een cultuur, of het nou gaat om een bedrijfscultuur of een securitycultuur, kost tijd. Het houdt namelijk in dat medewerkers een gedragsverandering moeten ondergaan. En dat lukt alleen als mensen zich ook bewust zijn van hun eigen gedrag en ook welwillend zijn om hun gedrag te veranderen.
In de context van een securitycultuur betekent dit dat medewerkers zich bewust zijn van met welke mogelijke gevaren van het web zij te maken kunnen krijgen. En welke risico’s hun eigen gedrag, bewust of onbewust, kan hebben voor hun organisatie. Als we de phishing-e-mail als voorbeeld nemen, dan is het onvoldoende dat mensen simpelweg weten wat een phishing-e-mail is en dat ze niet op een linkje mogen klikken. Ze moeten zich ook bewust zijn van de tactieken die cybercriminelen gebruiken om mensen te manipuleren en met welke mogelijke doelen cybercriminelen de phishing-e-mail uitsturen en welke risico’s dat kan hebben. Denk aan het versleutelen of stelen van bedrijfsgevoelige informatie, wat grote consequenties kan hebben voor de voortgang van bedrijfsactiviteiten of zelfs het voortbestaan van een organisatie.
Stapsgewijs securityproject
“Een securitycultuur waarbij de juiste stakeholders van een organisatie op het juiste second zijn aangehaakt”
Een belangrijk middel om de securitycultuur van een organisatie te verbeteren is een safety awareness-trainingsprogramma. Het succes van een trainingsprogramma staat of valt met een weldoordachte strategie en aanpak. Het verstevigen van een securitycultuur moet worden beschouwd als een undertaking, waarbij de juiste stakeholders van een organisatie op het juiste second zijn aangehaakt. En mijn ervaring is dat dit in de meeste organisaties onvoldoende, of zelfs helemaal niet gebeurt.
Het is belangrijk om stapsgewijs te werk te gaan om de kans van slagen van een safety awareness-trainingsprogramma te vergroten. Ik heb een aantal suggestions op een rijtje gezet.
-
Start nooit zonder dedication van het government management-team
Een trainingsprogramma heeft pas succes als medewerkers op proceed foundation worden getraind: geen jaarlijkse PowerPoint in een zaaltje achteraf, maar wekelijkse, relevante on-line trainingsmodules die medewerkers overal kunnen volgen. Liefst in combinatie met gesimuleerde phishing-e-mails zodat gedragsverandering van medewerkers kan worden gemeten. Dat is een tijdsinvestering. En we weten allemaal: tijd is geld. Zorg daarom dat je, voordat je een safety awareness-programma van begin laat gaan, eerst dedication van je government management-team hebt. Bereid een presentatie voor waarin je ingaat op het hedendaagse cyberdreigingslandschap en de noodzaak om medewerkers te onderwijzen. Maar waarin je ook de economische waarde laat zien die rechtvaardigt waarom medewerkers tijd aan het trainingsprogramma moeten spenderen. De calculatiemethode RoSI kan je hierbij helpen.
-
Maak van securitycultuur een gedeelde verantwoordelijkheid
Het creëren van safety consciousness valt in vrijwel alle organisaties onder de verantwoordelijkheid van it. Gezien de kennis en experience over het onderwerp, is dat niet vreemd. Maar het is wel vreemd om alle activiteiten die nodig zijn om een safety awareness-trainingsprogramma succesvol te maken, uit te laten voeren door it’ers. Internet zoals je marketingmedewerker niet moet vragen om een firewall te configureren, is het onzinnig om een it’er te vragen in behapbare taal de interne communicatie te verzorgen. Het creëren van een securitycultuur moet door het government administration worden gezien als een undertaking waaraan meerdere interne stakeholders met de juiste abilities een bijdrage moeten leveren. Maak daarom, met goedkeuring van het government management-team, assets beschikbaar bij afdelingen zoals advertising en hr om het undertaking gezamenlijk vorm te geven en uit te voeren.
-
Ga langs bij alle afdelingen om hun it-uitdagingen te doorgronden en buy-in te krijgen
Voordat je alle medewerkers van je organisatie deelgenoot maakt van het safety awareness-trainingsprogramma is het van belang om buy-in te krijgen bij alle afdelingsleiders. Hierbij helpt het om in eerste instantie een assembly in te plannen om de it-uitdagingen van elke afdeling scherp te krijgen. Die zijn voor een salesafdeling weer anders dan voor een finance-afdeling. Waar een deel van de trainingscontent afdelingsoverstijgend is, is het van belang om ook afdelingsspecifieke uitdagingen te belichten. Need hoe relevanter de content material, hoe beter de trainingen beklijven en hoe succesvoller de resultaten zullen zijn. Door samen met afdelingsmanagers hun it-uitdagingen te bespreken en hen mede hierdoor te overtuigen dat het trainen van teamleden van belang is, zorg je ervoor dat je trainingsprogramma de urgentie krijgt die het verdient.
-
Simuleer een social engineering-aanval om de benchmark te bepalen voor je organisatie
Voordat je een safety awareness-programma uitrolt, is het aan te raden om eerst een social engineering-aanval te simuleren. Bijvoorbeeld door zelf een phishing-e-mail te sturen naar een deel van je medewerkersbestand om te onderzoeken hoeveel medewerkers zich laten verleiden op een linkje te klikken. Het aantal mensen dat geneigd is op een phishing-link te klikken (ook wel het phish-prone share genoemd) geeft namelijk een goede indicatie van hoe kwetsbaar je organisatie is voor social engineering-aanvallen. Dit helpt je om een benchmark te bepalen en het impact van je safety awareness-programma te monitoren, en hopelijk te bewijzen, nadat het van begin is gegaan.
-
Communiceer over het belang van safety awareness-programma voordat je van begin gaat
Wanneer je je government management-team hebt overtuigd, alle afdelingshoofden het belang van coaching onderschrijven en je de benchmark voor je programma hebt bepaald, komt het aan op de communicatie aan alle medewerkers. Stuur een duidelijke e-mail, geschreven vanuit de belevingswereld van de ontvanger, waarin je uitlegt welk doel het programma dient en wanneer het van begin gaat. Maar waarin je ook vermeldt wat medewerkers mogen verwachten en wat van hen wordt gevraagd en hoe vaak, met daarbij meteen een hyperlink naar de eerste trainingsmodules. Zorg ook dat er een landingspagina beschikbaar is waar medewerkers antwoorden op hun vragen kunnen vinden en de contactgegevens van degene die het programma leidt.
-
Monitor de voortgang en maak reporting transparant
Maak in een dashboard inzichtelijk wat de resultaten zijn van het trainingsprogramma. Hoeveel medewerkers hebben hun trainingen op tijd voltooid? Wat is het phish-prone share, en neemt dat af ten opzichte van de nulmeting die je eerder hebt gedaan? Transparantie is belangrijk: zorg ervoor dat elk afdelingshoofd toegang heeft tot dit dashboard om zicht te houden op de vorderingen van het eigen workforce. Met de buy-in van de afdelingsleiders zorg je ervoor dat het trainingsprogramma wordt besproken in de wekelijkse conferences en dat het ook op de agenda blijft staan om de voortgang te bespreken.
Proceed activiteit
Coaching is geen eenmalige, maar een proceed activiteit. Wanneer je medewerkers zich bewust zijn van het belang van coaching en intrinsiek gemotiveerd zijn om de trainingen te volgen, zorg je ervoor dat je organisatie beter is beschermd tegen cyberaanvallen.
