Security awareness training is een krachtig middel

Nog niet bij elke organisatie wordt security awareness training gedaan. En als het wel gebeurt, dan blijkt in de praktijk dat de resultaten tegenvallen. Met de komst van de algemene verordening gegevensbescherming, afgekort AVG, zijn steeds meer bedrijven zich bewust dat ze een verantwoordelijkheid hebben. Ze moeten meer doen aan de security- en privacy kennis van hun medewerkers. De risico’s rondom cybersecurity en het lekken van persoonsgegevens is inmiddels zo groot, dat het bewustzijn hiervan alleen onvoldoende is. Hierdoor moeten medewerkers de volgende stap maken; van bewust naar competent. De trainingsprogramma’s moeten daarom leiden tot gedragsverandering.

We willen juist de gedragsverandering meten

Veel van de huidige security awareness training meten de kennis per medewerker. Terwijl we juist de gedragsverandering willen meten. Organisaties kiezen vaak voor ouderwetse e-learning. Hierbij krijgt de medewerker wat theorie gevolgd door wat vragen. En meestal gepresenteerd met animaties, die na een module gaan vervelen. Daarnaast vindt 93% van de medewerkers het onderwerp security niet interessant. Daar bovenop stellen veel bedrijven security awareness verplicht. Met als resultaat dat de motivatie om überhaupt aan de training te beginnen compleet weg is.

In werkelijkheid heeft niemand een idee waar het over gaat

Wat je vervolgens bij veel bedrijven ziet is dat medewerkers de antwoorden aan elkaar gaan vragen. Hierdoor leren ze niks. Ook zie je dat het doen van de training zolang mogelijk uitgesteld wordt, in de hoop dat ze het niet hoeven te doen. Hoewel uiteindelijk de resultaten op papier goed zijn, heeft in werkelijkheid niemand een idee waar de e-learning over ging. Met als resultaat dat niet iedere medewerker een phishing email, social engineering- of cyberaanval herkent of weten wat ze moeten doen. Van de regels rondom de AVG weten de meesten al helemaal niks.

De kracht van onze aanpak zit hem in de combinatie

Dit moet daarom anders. Thingks en cyber inc. Hebben daarom de handen ineengeslagen. In security trainingen als steinitz gaat het er niet om dat iedereen een security expert wordt, maar wel dat men de nut en noodzaak in gaat zien om te willen leren over het veiligstellen van de eigen werkzaamheden. Dit doen zij onder andere door te ervaren en beleven wat de gevolgen en risico’s zijn van het eigen handelen, zodat men vervolgens ook echt wil weten wat te doen! Henri koppen, partner bij thingks: “de kracht van onze aanpak zit hem in de combinatie. Een interactieve video. Een game die je speelt op je mobiel. Een serious game die je speelt tegen je collega’s, waarbij je ziet hoe aware je bent ten opzichte van je collega’s. Een phishing mail die hengelt naar je wachtwoord of een interview met iemand uit het vakgebied die weet waar hij over praat.”

Variatie in leeroplossingen, iedereen leert nou eenmaal anders

De combinaties zijn gebaseerd op het security awareness framework. Dit framework bestaat uit vier fases: analyseren, plannen, trainen en versterken. Natuurlijk is training de basis, maar die moet zo goed zijn dat je nieuwsgierig bent naar de volgende. En die volgende moet dan niet exact hetzelfde zijn als de vorige. Afke van veen, psycholoog bij thingks: “we bieden ook variatie in onze leeroplossingen, iedereen leert nou eenmaal anders.” Uit onderzoek blijkt dat afwisseling ervoor zorgt dat je hersens actief blijven. Hierdoor neem je de kennis sneller tot je. Afke vult aan: “kennis die geen functionele betekenis krijgt in het handelen, is betekenisloze informatie en zakt dus snel weg. Ik geloof in belevingsgericht leren… de beleving of ervaring zorgt ervoor dat men zich kan identificeren en herkennen in datgene wat geleerd kan worden.”

Deelnemers hebben direct zin om te starten

Medewerkers motiveren om überhaupt een training te volgen is de belangrijkste sleutel tot het succes van iedere security awareness training. Daarom hebben thingks en cyber inc. Ook een groepsgame ontwikkeld. Alain rees, eigenaar cyber inc: “als ik een training geef, zie ik, bijvoorbeeld met een spel als deception, dat deelnemers direct zin hebben om het spel te starten. Dat is écht mooi om te zien. Deception is een groepsspel die je met het hele bedrijf kunt spelen, waarbij teams tegen elkaar strijden. Mensen krijgen in teamverband vragen, zien aanwijzingen op een scherm en gaan uiteindelijk op zoek naar de dader. Op het leaderboard zien de deelnemers de scores, waardoor ze nog fanatieker worden. Buiten dat dit leuk is, wordt er ook inhoudelijk goed gediscussieerd en leren deelnemers iets.”

Eindelijk een security awareness training wat iedereen leuk vindt om te doen

Deception is een goede start van een security awareness programma. Ook is het ideaal als aanvulling, omdat het zo leuk is om te doen. Henri: “zelf ben ik een techneut en als je kijkt naar veiligheid en naar cybersecurity, dan denkt men vaak aan de it-afdeling en de techniek. Wat wij hebben gemaakt is zo toegankelijk, is zo leuk, iedereen snapt het, dus je hoeft er geen handleiding voor te lezen om mee te beginnen. Direct vanaf het eerste moment wordt je ondergedompeld en voel je gewoon dit is leuk. Maar ook, je leert ervan en je wordt je meer bewust. Zo zie je dat het voor iedereen is. De reactie die we van klanten krijgen is: eindelijk iets wat iedereen leuk vindt om te doen. En wat niet voelt als een verplichting.”

Tot slot

Security awareness training is natuurlijk niet het ei van Columbus. Het is een onderdeel van een complex geheel aan maatregelen. In de strijd tegen cybercrime en datalekken hebben bedrijven en organisaties een grote verantwoordelijkheid om hun medewerkers te wapenen met kennis. Dit lukt niet met eenmalige acties. Hiervoor zijn doorlopende programma’s nodig, die naast de nodige kennis en gedragsverandering bieden ook leuk en interessant zijn om te doen. Alleen dan zullen ze gemotiveerd uitkijken naar de volgende training.

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *