Security is dankzij de NIS2-richtlijn straks niet langer alleen een verantwoordelijkheid van de IT-afdeling, maar ook van de boardroom. Welke maatregelen neem je om de organisatie cyberbestendig te maken? Dat moet je vastleggen. Een security awareness training voor alle werknemers is voor veel organisaties een logische maatregel. Security valt of staat immers met hoe medewerkers online werken. Maar hoe effectief zijn dit soort trainingen om je organisatie cyberbestendig te maken? Is het de investering waard? In deze blog geven we je drie redenen om in een security awareness training te investeren en lees je over een valkuil die hierbij op de loer ligt.
-
Noodzaak aan de man brengen
Security begint en eindigt bij medewerkers. Vaak zijn zij zich er niet bewust van dat ze op het gebied van cyberveiligheid veel kunnen verbeteren. Juist daar wil je verandering in brengen als je werkt aan cyberweerbaarheid. Een security awareness training speelt hierop in: het laat medewerkers zien en ervaren wat er kan gebeuren als ze zich niet voldoende verdiepen in security. De herkenbare situaties die in zo'n training worden geschetst, geven medewerkers vaak het benodigde zetje om zelf na te denken over hoe ze veiliger werken. Dat is dan ook het doel van een security awareness training; medewerkers bewust maken van hun rol in een veilige werkomgeving.
-
Inzetten op cyberhygiëne zakelijk én privé
De cyberweerbaarheid van jouw medewerkers beperkt zich niet tot de kantoormuren. Hoe iemand in het dagelijks leven informatie deelt of omgaat met onbekende e-mails spreekt boekdelen. Klik je thuis onnadenkend op linkjes? Grote kans dat dit op de werkvloer niet anders is. Een tweede reden om te investeren in een security awareness training is dat je kunt werken aan de cyberhygiëne van medewerkers, zowel zakelijk als privé. Denk bijvoorbeeld aan het updaten van een telefoon of computer. Veel mensen negeren dit, want het komt nooit goed uit. Wat zij zich niet realiseren, is dat je juist met deze updates beschikt over de nieuwste beveiligingsfunctionaliteiten. Hetzelfde geldt voor de veiligheidsinstellingen in applicaties. De gemiddelde medewerker kijkt er niet naar om, zowel op privé- als werkapparaten niet. In een security awareness training maak je medewerkers bewust van dit soort risico's. Door persoonlijke en zakelijke cyberveiligheid samen te laten smelten, wordt het voor medewerkers eenvoudiger om veiliger te handelen. Ook zullen ze eerder geneigd zijn om überhaupt aan de securitytrainingen mee te doen als ze daarmee zien dat het ze ook in hun dagelijks leven helpt.
-
Security op de radar houden
De belangrijkste reden om in een security awareness training te investeren, is dat je continu op een laagdrempelige manier bij medewerkers focus houdt op hoe ze veilig online werken. Cyberweerbaarheid realiseer je niet door medewerkers een dag op training te sturen. De echte resultaten ontstaan wanneer je elke keer opnieuw een stukje bewustzijn in de organisatie brengt. Het digitale landschap van vandaag vraagt daar ook om. Cybercriminelen innoveren continu met nieuwe aanvalsmethoden en werkwijzen, met AI als krachtige toevoeging aan hun arsenaal. De ‘producten’ van cybercriminelen worden steeds geavanceerder en moeilijker te herkennen. Dit maakt het des te belangrijker om hier als organisatie scherp op te zijn en je medewerkers het hele jaar rond cyberbewust te houden. Alleen met een doorlopende aanpak kun je een stap voorblijven op de steeds complexer wordende dreigingen.
Security is holistisch
Er zit één grote voorwaarde aan dit verhaal: security awareness trainingen staan niet op zichzelf. Security is een holistisch thema dat je vanuit verschillende invalshoeken moet benaderen. Alleen bewustzijn creëren is niet genoeg. Er moet ook een gedragsverandering bij medewerkers plaatsvinden om de cyberweerbaarheid echt te vergroten. Veilig gedrag moet je als organisatie dan ook zoveel mogelijk ondersteunen, bijvoorbeeld met multifactorauthenticatie (MFA) of veilige e-mailprogramma’s. Toch is er vaak een spanningsveld tussen dit soort securityoplossingen en gebruiksgemak voor medewerkers. MFA is veiliger, maar kost meer moeite. Focus daarom goed op hoe je het medewerkers zo makkelijk mogelijk maakt om veilig te werken. Medewerkers bewust maken van de noodzaak van MFA is één ding. Dit correct installeren én medewerkers ertoe bewegen om het consistent te gebruiken, is een tweede.
Het rendement van security awareness trainingen
Omdat je met security awareness trainingen inzet op gedragsverandering, kan het moeilijk zijn om het rendement ervan te bewijzen. Toch kun je wel degelijk meten en signaleren wat het effect is van een security awareness training, zij het in indirecte vorm. Denk aan de hoeveelheid incidenten vanwege menselijke fouten, het aantal meldingen dat medewerkers doen van verdachte e-mails of de resultaten van phishing simulaties. Bij Ictivity meten en kwantificeren we deze indirecte resultaten in Behavioural Risk Scores (BRS). Deze scores zijn gebaseerd op parameters zoals phishing scores, reacties van medewerkers op dreigingen én de resultaten van security awareness trainingen. Samengevoegd tot BRS geeft dit inzicht in de cyberweerbaarheid van jouw organisatie als geheel.
Naar een waakzame bedrijfscultuur
Het is een terechte vraag of security awareness trainingen de moeite waard zijn voor de cyberweerbaarheid van jouw organisatie. Het antwoord op deze vraag ligt in de impact die security awareness trainingen hebben op jouw medewerkers. Het belangrijkste is dat je medewerkers vooral moet willen helpen op securitygebied. Daar zijn dit soort trainingen geschikt voor. Medewerkers leren hiermee niet alleen risico's zoals phishing beter te herkennen en vermijden, je stimuleert tegelijkertijd een waakzame cultuur binnen de organisatie. Juist zo’n cultuur is in de huidige digitale wereld onmisbaar.
Wil je meer horen over de menselijke factor in IT-beveiliging? Deze en andere securityonderwerpen zoals NIS2 bespreken we in onze podcast Cybersecurity in the boardroom.
Terug naar overzichtKlantcase: Meer cybersecuritybewustzijn voor WSD dankzij security awareness programma
