Security awareness en digiveiligheid zijn zeker zo belangrijk binnen je IT securitybeleid. We leven in immers een wereld waarin techniek een ontzettend belangrijke rol speelt. Iedere dag worden nieuwe technologieën geïntroduceerd en er bestaat meer data dan ooit tevoren. Dit leidt tot grote onoverzichtelijkheid. Welke informatie staat op welk apparaat? En welke medewerker heeft hier toegang toe? Dat medewerkers met steeds meer apparaten werken brengt daarnaast de nodige IT security uitdagingen met zich mee: van phishing tot social engineering, spam, en ga zo maar door. Het is ontzettend belangrijk dat medewerkers zich hier bewust van zijn. Op technisch vlak zijn er veel mogelijkheden om een IT omgeving veiliger te maken.
Security is van iedereen
Zowel in ons privé- als in ons werkleven zijn we met de komst van allerlei nieuwe technologieën gewend aan een stuk vrijheid. We schakelen eenvoudig tussen smartphones, laptops en tablets. IT-beheerders daarentegen, moeten voldoen aan steeds strengere IT security eisen. Omdat technologie over het algemeen een kindje van de IT-afdeling is, schuiven veel medewerkers het op peil houden van de security ook die kant op. Uit het oog, uit het hart, toch?
Dat de verantwoordelijkheid echter bij iedere medewerker moet liggen, blijkt wel uit onderzoek van de Autoriteit Persoonsgegevens: het zijn de eigen medewerkers die het merendeel van de datalekken op hun geweten hebben. Vaak zijn ze zich hier niet eens bewust van. Hoog tijd om daar wat aan te veranderen!
In vijf stappen naar security awareness
Je kunt als organisatie dus nog zoveel inzetten op IT security, als het bij medewerkers schort aan bewustzijn dan is het een verloren zaak. Gelukkig zijn er een aantal stappen te nemen om het security awareness niveau van medewerkers op te schroeven:
- Inventarisatie
De eerste stap draait om het in kaart brengen van de huidige stand van zaken. Op welk niveau bevindt het bewustzijn van medewerkers zich op dit moment? Gaan medewerkers bewust om met digitale middelen of is hier ruimte voor de nodige verbetering? Het vaststellen van het awareness niveau kan onder andere door een online meting uit te voeren. Voer echter ook wat praktische experimenten uit. Een van de middelen die hier uitstekend een rol in kan spelen is een phishing simulatie campagne. Dit geeft direct inzicht waar binnen de organisatie onvoldoende alertheid is als het gaat om IT security. Medewerkers ontvangen als test één of meerdere e-mails waarin kwaadaardige links zijn opgenomen. Daarna krijgen ze uitleg waaraan ze onbetrouwbare e-mails kunnen herkennen. Zo maak je ontvangers bewust van de belangrijkste kenmerken van phishing mails, zodat ze minder snel de fout ingaan. - Strategie
Het vaststellen van de huidige stand van zaken, geeft vervolgens de mogelijkheid een strategie op te stellen om het bewustzijn te verbeteren. Waar moet het gemiddelde niveau van security awareness liggen en waar ligt het nu? Bepaal welke activiteiten nodig zijn om de doelstelling te behalen en zo de organisatie optimaal te beveiligen. - Vergroten kennis
Vervolgens is het aan de medewerkers om aan de slag te gaan met het verhogen van hun bewustzijn. Door de activiteiten om te zetten in korte, behapbare online leermodules kunnen zij hier eenvoudig mee op weg. Een online leeromgeving die hiervoor gebruikt kan worden is de KennisHub. De e-learning module Digivaardig & Digiveilig kan worden ingezet voor het bewuster maken van je medewerkers. Ze kunnen op elk gewenst moment de leermodule volgen en zo hun kennis op het gebied van IT security vergroten. - Evaluatie
Nu is het tijd om evalueren wat de leermodules hebben opgeleverd. Is de doelstelling bereikt en het bewustzijn daadwerkelijk verhoogd? Voer wederom een online meting uit, maar vergeet ook niet testen in de praktijk. Mocht het nodig blijken, dan kun je leermodules waar nodig aanpassen of bijschaven. Zorg daarnaast voor bijscholing voor medewerkers die het nodig hebben. - Herhaling
Tot slot is het belangrijk niet in de volgende valkuil te vallen: de meting is uitgevoerd, medewerkers zijn bijgeschoold, nu zijn we klaar. Dit zien we in de praktijk vaak gebeuren bij organisaties. Dit traject moet echter niet als een eenmalig iets gezien worden. Security is continu aan verandering onderhevig en er zullen altijd nieuwe dreigingen de kop op steken. Gebruikers moeten er regelmatig aan herinnerd worden wat de gevaren zijn en op welke signalen zij moeten letten. Blijf de leermodules updaten en zorg dat medewerkers de juiste kennis hebben.
Toine van Eijk
Directeur Ictivity Training