Meer cybersecuritybewustzijn voor WSD dankzij security awareness programma

Voor iedere organisatie is security de laatste jaren een cruciale zorg geworden. Voor organisaties die met een kwetsbare doelgroep werken, des te meer. Sociaal ontwikkelbedrijf WSD is hier een voorbeeld van. Sinds 1956 ondersteunt en begeleidt de organisatie mensen met een afstand tot de arbeidsmarkt naar een passende baan. Afgelopen jaar sloegen ze de handen ineen met Ictivity voor de uitrol van een security awareness programma voor haar medewerkers. Hoe gaat zo’n programma in zijn werk? En bovenal: wat levert het op?

Menselijke firewall

Dankzij het toenemende aantal online hacks tijdens de coronaperiode, ontstond bij WSD een hernieuwde focus op security. “Mede omdat we onder de NIS2-richtlijn vallen, maar bovenal omdat we met een kwetsbare doelgroep werken”, vertelt Erik van den Bersselaar, manager ICT bij WSD. Een flink aantal technische investeringen volgden. “Maar er blijft nog iets over: onze eindgebruikers. Oftewel, alle WSD-collega’s met een inlog op een online werkplek. Zij zijn de informatiebeveiliging van ons bedrijf”, vult Brigitte Verhelst-Moonen, senior communicatieadviseur bij WSD, aan. Daarom besloot WSD het securitybewustzijn onder medewerkers te vergroten via een nanolearning-programma. Maar resultaat bleef achter. “Het lesmateriaal was op een slechte manier vertaald. Hierdoor moesten we veel handmatig aanpassen en was het moeilijk om het programma aan de man te brengen onder onze collega’s.”

Naar een nieuw programma

Na een selectietraject met drie nieuwe partijen, maakte WSD de keuze om over te stappen op het security awareness programma van Ictivity. Erik: “Ik ken Ictivity al lang en ze zijn al een aantal jaar partner van WSD. We weten dat het fijn samenwerken is.” Doorslaggevend was de inhoud van Ictivity’s security awareness programma. “Onderscheidend vinden we dat de inhoud van het programma afgestemd wordt op het niveau van de gebruiker.”

Het security awareness programma van Ictivity bestaat uit tweewekelijkse online microlearnings in combinatie met geautomatiseerde phishing simulaties. Met kunstmatige intelligentie wordt vervolgens achterhaald waar ‘zwakke plekken’ zitten om de simulaties hierop aan te passen. “Collega’s geven via een knop in Outlook aan als ze een e-mail niet vertrouwen en denken dat ze met phishing te maken hebben”, illustreert Brigitte. “Afhankelijk van hoe onze medewerkers scoren, worden de online lessen en phishing e-mails moeilijker of makkelijker. Dat sprak ons heel erg aan, omdat je medewerkers hierdoor op individueel niveau traint om meer securitybewustzijn te ontwikkelen.”

Onderscheidend aan Ictivity’s securityprogramma is dat de inhoud afgestemd wordt op de specifieke gebruiker. – Erik van den Bersselaar

Andere keuzes

Om Ictivity’s securityprogramma beter te laten landen dan zijn voorganger, maakten Brigitte en Erik andere keuzes. “Ondanks dat Ictivity’s programma aan te passen is naar wens, hebben we het zo standaard mogelijk afgenomen om geen tijd te verliezen aan handmatige wijzigingen”, vertelt Erik. Ook heeft WSD met hulp van Ictivity via een communicatiecampagne steviger ingezet op het belang en verplichte karakter van het programma. “Onze directeur heeft bijvoorbeeld in een video uitgelegd waarom het belangrijk is dat we dit programma doorlopen”, illustreert Brigitte. “Deze boodschap hebben we doorgezet in intranetberichten en e-mails vanuit het MT en de werkgroep informatiebeveiliging om duidelijk te maken wat ieders rol is in het veilig houden van onze organisatie. Met voorbeelden en informatie hebben we collega’s stap voor stap meegenomen om bewustwording over en draagvlak voor het programma te creëren. Daarnaast hebben we de beveiliging van onze fysieke locatie door een zogeheten mystery guest onder de loep laten nemen om te zien welke en hoeveel gevoelige informatie er achterhaald kan worden.”

Meer veiligheid in brede zin

Het resultaat? Wisselende reacties van collega’s, maar een stijgende lijn in securitybewustzijn. “Sommige collega’s zijn heel enthousiast over het programma, anderen vinden het onnodig”, zegt Erik. “Dat houd je altijd en vraagt om meer opvolging. Maar we zien dat het programma zijn vruchten afwerpt. Zo is onze cyberweerbaarheid in drie maanden flink gestegen. Waar de helft van onze medewerkers aan de start slachtoffer was van phishing, bijvoorbeeld door gegevens achter te laten of op een phishing e-mail te reageren, is dat nu nog maar 6 procent. Het percentage collega’s dat een phishing bijlage opende is van 7 procent gedaald naar 1,4 procent. Collega’s gaan aanzienlijk minder in de fout.”

Ictivity meet en kwantificeert de cyberweerbaarheid van een organisatie in een Behavioral Risk Score (BRS). Deze score wordt berekend op basis van concrete parameters zoals training- en testresultaten, phishing scores en de reactie op dreigingen. De BRS geeft medewerkers en het management inzicht in de cyberweerbaarheid van de organisatie als geheel. Voor WSD steeg de BRS afgelopen maanden met 25 procent.

Waar aan de start van het programma de helft van onze medewerkers slachtoffer was van phishing, is dat nu nog maar 6 procent.

Brigitte vult aan: “Dan zie je ook trots onder collega’s. En we merken meer bewustzijn over veiligheid in bredere zin. Computerschermen worden vergrendeld als mensen van hun bureau weggaan, er wordt gevraagd naar wachtwoordmanagers en doordat de microlearnings ook zaken als WhatsApp-beveiliging meenemen, triggert het mensen om ook op hun privételefoon instellingen te wijzigen. Dat zijn ontzettend mooie resultaten voor de acht maanden dat we hiermee bezig zijn.”

Zichtbaar blijven

Ondertussen heeft WSD inzage in hun BRS-rapportages. Erik: “Deze scores bespreken we intern en waar nodig bedenken we vervolgacties. De rapportagemogelijkheden zijn uitgebreid en geven ons hier handvatten voor, naast de verbeterpunten die de mystery guest identificeerde.” Brigitte: “Het belangrijkste is om het momentum vast te houden. Het onderwerp leeft nu onder collega’s. Aan ons de taak om de bewustwording en zichtbaarheid niet in te laten zakken.” Want security als afgeronde zaak zien, is een utopie volgens Erik. “Methodes van cybercriminelen blijven zich ontwikkelen en we krijgen er natuurlijk ook nieuwe medewerkers bij. Security blijft een continue zorg dus ik ben blij dat we hier met Ictivity en het awareness programma op een serieuze manier aandacht aan blijven geven.”