18 oktober 2022
De cyberweerbaarheid van je organisatie vergroten? Integreer cyberveilig gedrag in je personeelsbeleid
Veel cyberincidenten zijn het gevolg van menselijke fouten, zoals een werkende die in een phishingmail trapt. Daarom moeten organisaties meer doen om cyberveilig gedrag te stimuleren, zegt cybersecurity specialist Mimecast. Zo is het heel belangrijk om security-awareness mee te nemen in hr-processen zoals recruitment en evaluatiegesprekken. Hoe pak je dat aan?
Categorie: Onderzoek, Persbericht, Techniek algemeen
Geschreven door: HRTech Redactie
Cyberincidenten zijn meestal geen technisch probleem. Zo ook bij een recente cyberaanval op Uber. Daarbij zou een hacker zich hebben voorgedaan als een IT-expert van het bedrijf. Zo wist hij een medewerker te overtuigen om inloggegevens af te staan en kreeg hij toegang tot verschillende interne systemen.
Security-awarenesstrainingen te vrijblijvend
Security-awarenesstrainingen zijn een effectief middel om dit soort fouten te voorkomen, zegt cybersecurity specialist Mimecast. Mimecast beschermt organisaties tegen criminele handelingen, menselijke fouten en technische storingen met onder meer security-awarenesstrainingen en websecurity.
Vrijwel alle Nederlandse organisaties bieden al een vorm van security-awarenesstraining aan, zo blijkt uit onderzoek van Mimecast. De meeste organisaties doen dit elke maand (46%) of elk kwartaal (35%). Vooral groepstrainingen met het eigen IT- of securityteam zijn populair. Maar toch werpt dit niet altijd vruchten af.
“Security-awarenesstrainingen zijn binnen veel organisaties te vrijblijvend”, zegt Duane Nicol, securityexpert bij Mimecast. “Voor de werkende is niet altijd duidelijk waarom dit zo belangrijk is. Goede communicatie speelt dan ook een sleutelrol. Daarmee creëer je een cultuur waarin mensen niet alleen weten dát ze niet zomaar op links moeten klikken, maar ook waarom niet. En waarin ze zich veilig en zelfverzekerd genoeg voelen om verdachte e-mails en gemaakte fouten te melden.”
Integratie in personeelsbeleid
Volgens Nicol is het cruciaal dat organisaties security-awarenesstrainingen integreren in hun personeelsbeleid. Hij geeft een aantal concrete adviezen:
-
Beloon cyberveilig gedrag
“Wees voorzichtig met straffen, maar beloon werkenden vooral als zij goed presteren op het gebied van security-awareness. Zo zou je incentives kunnen uitdelen voor het regelmatig melden van verdachte e-mails bij de IT-afdeling of voor enthousiaste deelname aan het trainingsprogramma. Maak cyberveilig gedrag bovendien een vast onderdeel van evaluatie- en beoordelingsgesprekken.” -
Moedig werknemers aan om fouten te melden
“Iedereen maakt fouten. Zelfs een goed getrainde werknemer kan per ongeluk op een malafide link klikken. Hoe eerder de IT-afdeling hiervan op de hoogte is, hoe groter de kans dat de schade kan worden beperkt. Bouw daarom aan een open organisatiecultuur waarin mensen niet bang zijn om fouten te melden, maar daarvoor zelfs bedankt worden. Een fout melden moet net zo normaal zijn als koffie halen.” -
Benoem security-awareness als eis in vacatures
“Benadruk in vacatures dat security-awarenesstrainingen bij de functie horen en dat je bedrijf dit heel serieus neemt. Zonder rijbewijs mag je niet autorijden. En als werkende moet je security-awarenesstrainingen volgen om bedrijfssystemen te gebruiken. Het is toch normaal om als werkgever of opdrachtgever bepaalde eisen te stellen aan nieuwe medewerkers? Bovendien is cyberveilig gedrag iets waar de werkende ook in zijn privéleven iets aan heeft. En de trainingen worden ook nog volledig gratis aangeboden.” -
Communiceer over het doel en testscores
“Security is teamwerk. Nieuwe medewerkers kun je vanaf het begin laten deelnemen aan het trainingsprogramma, maar het is ook zaak om je huidige personeel mee te krijgen. Leg uit dat de organisatie kwetsbaar is en dat je iedereen nodig hebt om cyberincidenten te voorkomen. Zo’n programma gaat ook meer leven als je vaak én op een positieve manier over de resultaten en de huidige situatie communiceert. Je kunt er bijvoorbeeld een wedstrijd tussen afdelingen van maken door een daling in het aantal gevaarlijke kliks of een stijging in het aantal gemelde e-mails te melden. Hierdoor voelen mensen zich betrokken en verantwoordelijk, zonder dat er druk of dwang wordt uitgeoefend.” -
Let op je taalgebruik
“Werkenden krijgen altijd maar te horen dat ‘gebruikers de zwakste schakel in security zijn’. Met subtiele aanpassingen in het taalgebruik kun je ervoor zorgen dat security-awareness beter landt in de organisatie. Noem de medewerkers die de trainingen volgen bijvoorbeeld geen ‘eindgebruikers’, maar cyberverdedigers. Zo benadruk je dat cyberveilig gedrag een continu leerproces is en dat het onderdeel van je DNA moet zijn. Er kan best een keer iets fout gaan, zolang je de fout maar meldt en ervan leert, zodat je jezelf en je bedrijf beter kunt beschermen.”
Samen verantwoordelijk voor security
“Security-awaresstrainingen zijn slechts één belangrijk onderdeel van een gelaagde beveiliging tegen cyberaanvallen, net als bijvoorbeeld het updaten van software”, besluit Nicol. “Het is positief dat steeds meer Nederlandse organisaties hun personeel trainen. Maar de beste resultaten behaal je als iedere werkende het belang van security-awareness inziet. Met het juiste personeelsbeleid en trainingsprogramma zorg je ervoor dat iedereen zich hier verantwoordelijk voor voelt. Zo vergroot je de cyberweerbaarheid van je organisatie.”
Dit artikel is 547 keer gelezen.