De meeste veiligheidsbesprekingen schetsen werknemers als een risico. De aangeboden training versterkt dit idee vervolgens – met lange jaarlijkse presentaties en alarmerende consequenties voor eventuele fouten. Deze aanpak wekt angst, desinteresse en leidt nauwelijks tot gedragsverandering. Er is echter een alternatieve aanpak mogelijk, waarbij het uitgangspunt alleen maar omgedraaid hoeft te worden.
Waarom op angst gebaseerde training niet beklijft
Volgens de Verizon Data Breach Investigation Report74% van alle datalekken heeft te maken met de menselijke factor. Of het nu gaat om een succesvolle social engineering-aanval, een fout of misbruik. Mensen die deze statistieken delen, gebruiken ze vaak om aan te tonen dat werknemers een zwakke plek zijn. De statistiek laat echter zien dat menselijk gedrag juist het doelwit van een aanval is – en dat je die aanvallen ook kunt voorkomen door middel van menselijk gedrag.
Bij een op angst gebaseerde training wordt die statistiek als een oordeel gezien. Een op bewustzijn gebaseerde training ziet het als een kans. Wanneer je mensen beseffen dat zij de eerste detectielinie vormen – en niet een zwakke schakel – verandert hun denkwijze. Ze merken dingen op die ze voorheen nooit opmerkten. Ze durven hun mening te uiten, in plaats van stilletjes te hopen dat ze het mis hebben.
Technische controle is minder belangrijk dan deze psychologische controle.
Voorbij het jaarlijkse vinkje komen.
Benader de beveiligingstraining van medewerkers vanuit een compliance-gerichte mindset, en je belandt in een vicieuze cirkel. Er wordt een sessie gepland, je team komt (hopelijk) opdagen, bekijkt een video of presentatie, er wordt een vinkje gezet in de beveiligingsaudit, en er verandert niets tot dezelfde tijd volgend jaar, wanneer je het hele proces opnieuw doorloopt. Tegen die tijd is vrijwel alle informatie en context allang uit het kortetermijngeheugen van je team verdwenen. En zo gaat het maar door.
Dit is geen teamfout, maar een structurele fout. Het menselijk geheugen vervaagt niet volgens een cyclus van 12 maanden (hoewel het wel mooi zou zijn als dat zo was). Veel van die waardevolle trainingsinformatie is niet meer aanwezig in het geheugen van een team tegen de tijd dat ze die het hardst nodig hebben – de volgende keer dat een kwaadaardige organisatie wordt aangevallen.
Geautomatiseerde trainingscycli presteren aantoonbaar beter dan de jaarlijkse, handmatige workshops, en wel om één duidelijke reden: ze houden de beveiliging het hele jaar door onder de aandacht, en niet alleen tijdens het seminar. Training voor beveiligingsbewustzijn Door gebruik te maken van een geautomatiseerd platform kun je iedereen bereiken, de voortgang volgen en aanpassingen maken op basis van daadwerkelijk gedrag. Zo zal een team dat tijdens een stressvolle maand maart goede beveiligingsmaatregelen neemt bij het thuiswerken, in december veel minder snel fouten maken.
Het just-in-time leermodel
Beveiligingstraining voor medewerkers is het meest effectief wanneer deze op het juiste moment wordt gegeven. Als een medewerker bijvoorbeeld op een link klikt die een phishing-aanval simuleert, moet de reactie niet zijn om de medewerker te rapporteren en het daarbij te laten. Dat is juist het perfecte moment om hem of haar direct een korte, gerichte trainingsmodule aan te bieden.
Deze aanpak, ook wel bekend als just-in-time learning, laat betere retentiepercentages zien dan trainingen die van tevoren zijn gepland. De les is direct gerelateerd aan wat er is gebeurd. De medewerker voelt zich niet gestraft, maar leert juist wat hij of zij moet vermijden op het juiste moment, wanneer die informatie het meest nodig is.
Het opbouwen van een meldingscultuur zonder schuldtoewijzing.
Het is onvermijdelijk dat zelfs de best opgeleide medewerkers af en toe fouten maken. Het verschil tussen een klein incident en een grootschalige datalek zit hem vaak in hoe snel de fout wordt gemeld. Als medewerkers bang zijn voor represailles, zullen ze zwijgen. Het datalek zal escaleren. En tegen de tijd dat iemand het eindelijk opmerkt, zullen de herstelkosten veel hoger uitvallen.
Daarom is een goed gedefinieerd, niet-bestraffend meldingsproces een van de belangrijkste maatregelen die een organisatie kan nemen. Het laat medewerkers zien dat het direct opsporen en melden van een fout de juiste reactie is – en niet iets om te verdoezelen. Het creëert ook waarschuwingssignalen die uw beveiligingspersoneel kan gebruiken voordat een inbreuk uit de hand loopt.
En dit illustreert absoluut het risico van interne dreigingen op een manier waar we het te weinig over hebben. De meeste interne incidenten zijn niet kwaadwillig. Het zijn fouten – iemand die ongeautoriseerde software installeert, slachtoffer wordt van een pretexting-aanval, een cloudserver verkeerd configureert. Een cultuur van veiligheid en het melden van incidenten voorkomt dat ze escaleren. Een cultuur van beschuldigingen laat ze onopgemerkt blijven.
Beveiliging laten aanvoelen als een professionele vaardigheid.
Soms wordt gamificatie als iets onbenulligs beschouwd, maar het werkt wel degelijk omdat het de context verandert: deze training is niet iets wat aan werknemers wordt gegeven, maar iets waar ze goed in kunnen worden. Ranglijsten, erkenning en badges voor het voltooien van taken stimuleren dezelfde competitieve en prestatiegerichte motivatie die mensen ertoe aanzet om professionele certificeringen na te streven.
Wanneer medewerkers hun vooruitgang op het gebied van beveiligingsbewustzijn beginnen te meten of merken dat hun team goed presteert in een phishing-simulatie, is beveiliging niet langer het probleem van een computernerd, maar een onderdeel van de identiteit van de professional. En dat is waar de echte cybersecuritycultuur ontstaat – niet door posters, muismatten of knuffels, noch door waarschuwingsstickers in het personeelshandboek.
De invoering van MFA, het terugdringen van schaduw-IT en zelfs de culturele aspecten van fysieke beveiliging, zoals het adequaat aanpakken van meeliften of meeliften, verbeteren wanneer werknemers het idee omarmen dat dit basisvereisten zijn voor goed professioneel handelen. Je streeft niet naar naleving van regels, maar naar competentie.
De organisaties die het beste reageren op incidenten zijn niet de organisaties met de meest ongelooflijke, prijswinnende beveiligingstechnologie. Het zijn de organisaties waarvan de medewerkers gemotiveerd zijn om professioneel competent te zijn en die, wanneer ze iets verdachts zien, direct hulp inroepen.