De do’s en don’ts van security awareness

Security awareness is een bloedserieuze zaak. Maar het moet wél leuk blijven. Ik kom gelukkig veel organisaties tegen die training van hun medewerkers serieus nemen. Maar daarmee ben je er nog niet. Hieronder kom ik met de belangrijkste dingen die je moet doen (en laten) voor een succesvolle aanpak.

1. Begin top-down

Veel bedrijven pakken security awareness training aan via een bottom-up-benadering. Het individu moet getraind worden, zo redeneren ze, en als we dat nu maar succesvol doen, dragen individuele gebruikers bij aan de security van de organisatie en zijn we klaar.

Door de wat chaotische technologische situatie waar we nu mee zitten opgescheept door thuiswerken, ben ik er voor om top-down te beginnen. Daarbij zorg je er eerst voor dat alle onderdelen in de organisatie rijp zijn om training te ontvangen. Je begint aan de top. Betrek ook HR er in: security mag geen technisch feestje zijn van het C-level en de CISO. Die laatste is uiteindelijk verantwoordelijk voor het eindresultaat, maar hoeft dat niet alleen te zijn.

2. Houd het positief

Security gaat ook over de cultuur binnen de organisatie. In de bedrijfscultuur moet je een security-cultuur gaan inbouwen. En daarbij geldt: benader je gebruikers positief. Ga niet straffen na een hack of het niet halen van een training. Maak geen uitzonderingen, doe dit voor de hele organisatie, van de schoonmakers tot de directie. Het maakt echt niet uit wie er op die ene malafide link klikt.

Maar hoe voed je zo’n security-cultuur nou? Door mensen te inspireren. Betrek medewerkers bij het waarom van training, zodat ze verder komen dan het antwoord ‘omdat het veilig moet’ op de vraag waarom het zo belangrijk is. Betrokkenheid creëer je ook door informatie te delen. Waarom delen we geen security info via een dashboard, zodat mensen alert blijven? Dus kom met cijfers, laat vooruitgang zien. Toon het verschil tussen een niet-getrainde en een getrainde organisatie.

Maak tot slot expliciet welke doelen je nastreeft. Dat is zeker belangrijk in ons land, waar we graag polderen. Mooie eigenschap hoor, maar niet een die van pas komt op security-terrein.

3. Heb vertrouwen

Als je je medewerkers goed hebt gemotiveerd, zullen ze graag meehelpen de security-cultuur te versterken. Die cultuur kan heel goed vrijheid bieden. Medewerkers hoeven niet op vrijdagmiddag een klaslokaal in; ze kunnen heel gemakkelijk hun training individueel en online doen wanneer het hen uitkomt.

4. Bouw een beloning in

Ook hier geldt: het moet leuk blijven. Een financiële vergoeding werkt alleen kortstondig, dus na iedere training zou je dat opnieuw moeten doen. Bovendien gaan mensen daaraan wennen, dus je kunt beter iets doen waardoor een medewerker intrinsiek gemotiveerd raakt, bijvoorbeeld via gamification, zodat je je score ziet tegenover de rest van de organisatie. Ook een reep chocolade kan werken.

5. Train het individu, niet de massa

Als je eenmaal klaar bent om bottom-up te gaan werken, maak dan niet de fout dat je de organisatie als een homogene massa ziet. Ik zie bij vrijwel elk bedrijf dat ze medewerkers op eenzelfde manier willen trainen. Maar iedereen is anders, dus je moet mensen ook op hun eigen manier laten leren. De een leert door te kijken, de ander door lezen. Behandel iedereen dus als individu en laat ze kiezen hoe ze getraind willen worden. Bied de content op meerdere manieren aan. Dan hoor ik vaak: is dat dan niet duur? Dat valt wel mee, het is bovendien duurder om mensen niet goed te trainen, want als iemand security niet goed snapt, blijft er een onnodig security-risico bestaan. We weten allemaal dat succesvolle aanvallen de meest serieuze kostenposten zijn voor een organisatie.

6. Buy, don’t make

Je kunt als organisatie een heleboel trainingsmateriaal zelf gaan maken, maar een buy-strategie is altijd het voordeligste. Niet alleen omdat je heel veel uren uitspaart, ook omdat de kwaliteit bij afname van materiaal van een specialistische partij gegarandeerd is en up-to-date. Het is bewezen en doorontwikkelde content. Je hoeft het niet zelf nog eens te gaan testen.

7. Geef security een gezicht

Heel veel organisaties geven security tegenwoordig een mascotte. Dat kan een tekenfilmfiguur zijn maar ook een mens van vlees en bloed. Ik was laatst bij een Duits bedrijf en die hadden een actrice ingehuurd die elke dag bij de kantine staat en fortune cookies uitdeelt met security-inhoud. Ging mij een beetje ver als nuchtere Nederlander maar mij werd gezegd dat de attentiegraad en acceptatiegraad van security-maatregelen enorm was gestegen. Een mascotte maakt het ook gemakkelijker je security-beleid in te bedden in de bedrijfscultuur.

8. Betrek lager management

Laat teamleiders en afdelingsmanagers de advocaat zijn die de werkvloer moet overtuigen van het nut van security awareness training. Train dat management dus niet alleen op security-terrein, maar ook hoe ze het belang ervan kunnen overbrengen. Geef ze de middelen om enthousiasmerend en inspirerend te zijn. Geef ze net wat meer inzichten, zodat ze hun collega’s kunnen meenemen.

Het tweede dat je op dit vlak kunt doen, is advocaten binnen de organisatie zoeken: normale gebruikers die affiniteit hebben met het thema security en het belang van de training uitdragen. Want mensen op de werkvloer zijn eerder geneigd iets aan te nemen van gelijken.

9. Betrek externe organisaties

Vergeet het ecosysteem waarin je opereert niet. Betrek dit bij je security awareness training en bij je cultuur. Communiceer hierover met de partijen waarmee je samenwerkt, wat voor leverancier van trainingsmateriaal ze ook hebben. Het doel is dat ze secure worden.

10. Kijk verder dan examens

Denk nou niet dat medewerkers die het examen halen, betekenen dat je er bent als organisatie. Veel bedrijven zijn al blij als ze een training en examen kunnen afvinken. Maar het gaat niet zozeer om het opnemen van de informatie maar om het toepassen ervan. Het gaat om het juiste gedrag op het juiste moment. Kijk dus naar wat medewerkers in de praktijk doen met het geleerde.

11. Benader security awareness als campagne

Organiseer geen op zichzelf staande acties. Zet security awareness neer als een campagne. Losse acties creëren geen rode draad, en mensen zoeken die wel. Ze denken in oorzaak en gevolg, dus sluit daarbij aan in je aanpak. Zo zou je vier campagnes per jaar kunnen organiseren, bijvoorbeeld een over ransomware, een ander over phishing, weer een ander over fysieke beveiliging en ten slotte nog een over deepfakes. Werk binnen die campagnes op verschillende manieren: geef medewerkers een video, informatie over de impact van verschillende aanvallen, over hoe ze zich gemakkelijk kunnen beschermen… Maak het verhaal compleet, zodat mensen het zich herinneren en dreigingen in hun dagelijkse werk herkennen.

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Meer dan een derde van alle Nederlandse bedrijven zakte vorig jaar voor hun compliance-audit. Daardoor lopen ze een tien keer grotere kans op een datalek. Tien procent werd in 2023 slachtoffer van een ransomware-aanval. Van al die bedrijven betaalde vier procent losgeld. Dat stelt Thales in zijn meest recente Data Threat Report.

Twee derde werknemers gokt met security

Ruim twee derde van Nederlandse werknemers brengt de organisatie bewust in gevaar, wat tot ransomware- of malware-infecties, datalekken of financieel verlies leidt. Meer dan vier op de vijf van de onderzochte organisaties maakte in 2023 ten minste één succesvolle aanval mee.

Overheid lanceert NIS2-Quickscan

Op 29 februari heeft de Rijksoverheid de NIS2-Quickscan gelanceerd waarmee organisaties zich kunnen voorbereiden op de nieuwe Europese NIS2-richtlijn. Deze richtlijn is gericht op het vergroten van de digitale weerbaarheid van bedrijven en organisaties in de EU.

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De nieuwste editie van de jaarlijkse PwC CEO Survey biedt een kijkje in de hoofden van CEO’s van over de hele wereld. Verschillende inzichten laten belangrijke veranderingen zien die impact hebben op CISO’s en hun organisaties, die zich zullen moeten aanpassen om concurrerend en compliant te blijven.

Jelle Wieringa