Security Awareness is wat ons betreft hét focuspunt voor organisaties voor 2022. Veel organisaties hebben Security Awareness op de roadmap staan en weten dat ze ermee aan de slag moeten. Maar hoe? Tijdens het Navaio webinar op 2 december gaf Jorrit de Ruiter al 10 tips om het informatiebeveiliging bewustzijnsniveau van jouw organisatie te verhogen. Maar voordat je begint met Security Awareness wil je ongetwijfeld weten welke valkuilen er zijn. Hierbij de top-7 valkuilen die jou gaat behoeden voor fouten om een geweldige Security Awareness campagne op te zetten. Luister je liever dan je leest? Kijk het webinar hier terug en leer van experts.
1. Alleen na een incident inzetten op Security Awareness
Heel vervelend. Je bent gehackt of een medewerker heeft onbedoeld een datalek veroorzaakt. Logisch dat Security Awareness dan bovenaan de agenda staat, maar het is een fout om alleen dan een campagne te draaien. Bij Security Awareness is het belangrijk dat je medewerkers ‘continue aware’ zijn en gedurende een langere periode verschillende prikkels krijgen. Incident gedreven campagnes werken wellicht op korte termijn, maar na verloop van tijd zie je er niets meer van terug binnen de organisatie. En dat is zonde. Een goed uitgedacht lange termijn plan zorgt echter wel voor de gewenste resultaten. Begin dus met een plan voor minimaal het komende jaar.
2. Het MT en of de CEO geen rol geven
Het is een fout om het managementteam of de CEO van jouw organisatie geen rol te geven in jouw Security Awareness campagne. Zij moeten namelijk het goede voorbeeld geven, achter jouw campagne staan en dit ook uitdragen richting de andere collega’s. Neem ze daarom vroeg mee in jouw denkwijze en de uitrol van jullie unieke Security Awareness campagne. Een managementteam dat niet achter jouw campagne staat en dat ook nog tijdens de uitrol hiervan uitdraagt, is gelijk de doodsteek voor jullie campagne. Laat daarom bijvoorbeeld de CEO een speech geven tijdens de kick-off, interview tussendoor verschillende managers uit het managementteam over hun visie op informatiebeveiliging, neem een filmpje op waar de directeur of zorg ervoor dat Security Awareness een vast item wordt op de wekelijkse management vergadering. Het geven van het goede voorbeeld is nu éénmaal goud waard.
3. Jouw campagne spontaan lanceren
Sommige delen van je campagne mogen uiteraard als een verrassing komen. Denk bijvoorbeeld aan je phishing simulatie of een escape room tijdens het bedrijfsuitje. Het grootste gedeelte van je campagne moet je echter tijdig bij verschillende stakeholders kenbaar maken. Denk hierbij aan je managementlaag, de IT afdeling, marketing- en communicatie en HR. Zo creëer je op voorhand al ambassadeurs. Collega’s die enthousiast zijn, voorop lopen tijdens jouw campagne en op die manier ook andere collega’s enthousiasmeren en inspireren.
4. Alleen de security of IT afdeling betrekken bij jouw campagne
Dit is misschien wel de grootste fout. Sommige chief information security officers maken een geweldig plan rondom Security Awareness met veel geweldige eigenschappen, maar zonder het gewenste resultaat. Waarom? Omdat hij of zij vergeet andere afdelingen aan te haken bij de uitrol hiervan. Vooral de communicatie afdeling, maar ook HR, IT en marketing kunnen een positieve bijdrage leveren aan het uiteindelijke resultaat. Alleen één tool of training is simpelweg niet genoeg. Je moet via verschillende manieren continu top-of-mind blijven bij jouw collega’s. Denk bijvoorbeeld aan een interview in de nieuwsbrief, posters op het prikboard, berichten op het intranet, prijzen voor de best presterende afdeling, Security Awareness als onderdeel van het bedrijfsuitje etc. Allemaal manieren die de uitrol van jouw campagne ondersteunen.
5. Eén unieke tool gebruiken
Leuk! Je hebt een unieke tool of manier gevonden die perfect bij jouw organisatie past. Je zet hier vol op in en je verwacht dat iedere medewerker net zo enthousiast is als dat jij bent. In de praktijk valt dit echter bijna altijd tegen. Niet iedereen zit even vaak achter zijn of haar computer, is net zo handig met de mobiele telefoon of heeft de tijd/prioriteit om aandacht te geven aan Security Awareness. Zonde, want je wilt natuurlijk iedereen bereiken. Hoe je dat wel doet? Door meerdere onderdelen te gebruiken in jouw Security Awareness programma. Denk hierbij aan een game, phishing simulaties, voice phishing, een mystery guest, presentaties, een quiz, escaperooms, blogs, video, het delen van nieuwsberichten etc. Op deze manier prikkel je jouw collega’s op verschillende momenten gedurende het jaar en bereik je ook nog eens iedereen. Een win-win situatie!
6. Eénmalige e-learning aanbieden
Wellicht dat voor sommige rollen een éénmalige e-learning als onderdeel van je campagne zou kunnen werken. Maar alleen als deze medewerkers daarna ook wekelijks met de materie bezig zijn. Een éénmalige e-learning als training om het vervolgens nooit toe te passen? Nee, dat werkt niet voor Security Awareness. Je moet jouw collega’s via nieuwe manieren blijven prikkelen. Alleen op deze manier worden jouw collega’s onbewust bekwame medewerkers die cybercriminelen tegenstand kunnen bieden.
7. Elke afdeling hetzelfde laten leren
De receptioniste heeft niet dezelfde uitdagingen als een medewerker op de supportafdeling van IT. En een verpleegster dient op een andere manier benaderd te worden dan een beveiliger bij de voordeur. Dus waarom laat je ze wel hetzelfde leren? Bij verschillende onderdelen van jouw campagne kan je ervoor kiezen om andere content aan te bieden aan verschillende afdelingen. Zeker een game (waarbij je de content kan aanpassen per afdeling), voice phishing, een mystery guest, blogs of presentaties lenen zich uitstekend om de content dusdanig specifiek te maken dat de desbetreffende medewerker optimaal kan leren.
Een Security Awareness campagne bedenken is lastig, maar de uitvoering is nog lastiger. Zoals je ziet moet je met verschillende stakeholders communiceren en met veel componenten rekening houden. Ben je benieuwd hoe wij deze trajecten aanpakken? Of wil je sparren met een Security Awareness expert? Dat kan. Wij gaan graag vrijblijvend het gesprek met je aan om te kijken hoe jij jouw collega’s onbewust bekwaam kan maken.
Leave A Comment