Cybersecurity: hoe vergroot je security awareness?
donderdag 1 september 2022Cybersecurity: uitdaging nummer één in iedere organisatie. Je kunt de cyberveiligheid van je organisatie op drie manieren vergroten: met techniek (zoals Endpoint Detection en Response), een cyberbeveiligingsbeleid én security awareness. Deze laatste is veruit de belangrijkste. Waarom eigenlijk?
Security awareness houdt in dat medewerkers zich bewust zijn van cyberdreigingen en weten wat zij zelf kunnen doen om risico’s te verkleinen. Zodat zij hun eigen bijdrage kunnen leveren aan de digitale weerbaarheid van je organisatie. In dit artikel leg ik uit waarom security awareness onmisbaar is voor je cyberbeveiliging. En hoe je security awareness creëert bij je medewerkers.
Wat is cybersecurity?
Eerst een stukje theorie: cybersecurity is de beveiliging van computersystemen, netwerken en informatie. Het is de keten van identificeren, preventieve maatregelen, detectie en adequate reactie. Als je bewust aan de gang gaat met cybersecurity, verklein je de kans dat je organisatie geraakt wordt door cyberaanvallen. Daarom is het uiteraard belangrijk dat je de veiligheid goed op orde hebt.
Maar de digitale weerbaarheid is niet alleen een taak voor de IT-afdeling. Het is een samenspel van IT, werkwijze én gedrag. Wanneer een organisatie wordt getroffen door cybercriminaliteit, ligt de oorzaak in 70% van de gevallen bij medewerkers. De medewerker is de laatste schakel in de beveiligingsketen. Zorg dus dat je hen bewust maakt van de risico’s.
… En waarom security awareness?
De 70% geeft gelijk aan waar organisaties winst op kunnen behalen. Firewalls, antivirus en EDR zijn belangrijk, maar zelfs de meest geavanceerde software kan niet alle cyberdreigingen tegenhouden. Hackers worden steeds slimmer en kunnen steeds beter beveiligingsmaatregelen omzeilen. Uiteindelijk zijn het de medewerkers die de cyberaanvallen onbewust binnenlaten. Bijvoorbeeld door te klikken op ogenschijnlijk onschuldige links in phishing mails.
Security awareness: een succesvol stappenplan
Door security awareness te verhogen bij jouw medewerkers, zorg je ervoor dat je cyberbeveiliging toeneemt. Maar het is enkel effectief als je het regelmatig herhaalt en meet. Ik heb een stappenplan opgesteld om je medewerkers bewuster te maken van het belang van cybersecurity én de risico’s. Zodat ze hun gedrag positief veranderen.
Stap 1: creëer draagvlak
Als de directie security awareness belangrijk vindt en dit uitstraalt, gaan de meeste medewerkers hier sneller in mee. Dan gaan medewerkers security awareness ook belangrijk vinden. Zo creëer je top-down draagvlak in je organisatie.
Stap 2: je medewerkers maken het verschil
Nu vinden ook je medewerkers security awareness belangrijk. Echter hebben ze vaak niet het idee dat zij een belangrijke bijdrage kunnen leveren. Communiceer duidelijk naar je medewerkers dat juist zíj het verschil maken.
Stap 3: beleid
Hoe breng je de boodschap van stap 2 over op je medewerkers? De derde stap voor goede cyberbeveiliging is: digitale weerbaarheid integreren in je beleid en bedrijfsprocessen. Helder cybersecuritybeleid wordt vastgesteld door de directie en komt voort uit securitydoelstellingen. Zo borg je een digitaal veilige werkwijze dat door de hele organisatie gedragen wordt.
Stap 4: onboarding
Dit heldere cybersecuritybeleid begint al bij de onboarding. Zo leren je nieuwe medewerkers gelijk dat digitale weerbaarheid essentieel is voor de organisatie. Op dit punt speelt de HR-afdeling een belangrijke rol in cybersecurity: door tijdens het inwerken tijd vrij te maken voor security awareness. Met welke cyberdreigingen kan de nieuwe medewerker te maken krijgen? Hoe herkennen ze deze en hoe kunnen ze ernaar handelen?
Stap 5: kennisgeving, testen en plezier
Bovenstaande vragen kun je beantwoorden door het geven van kennis. Over de meest voorkomende cybergevaren en hoe je op deze dreigingen proactief en alert reageert. Daarna is het van belang dat je de nieuwe medewerkers test op deze kennis, bijvoorbeeld met een cybersecurity quiz waarin alle kennis en juiste handelingen terugkomen.
Voor zowel nieuwe als doorgewinterde medewerkers is het belangrijk dat je de kennisgeving en het testen periodiek herhaalt. Maar één factor is zeker onontbeerlijk: plezier. Maak het proces stimulerend en interactief, zodat medewerkers de kennis beter onthouden.
Stap 6: continu verbetering
Security awareness ontwikkelt zich continu. Wat vandaag een goede methodiek is om hackers tegen te gaan, is morgen misschien verouderd. Waardoor je de kennisgeving naar medewerkers uitbreidt met nieuwe maatregelen. En deze blijft herhalen op een plezierige en interactieve manier.
Praktijkvoorbeeld: Schouten Zekerheid
Bij verzekeraarsorganisatie Schouten Zekerheid is security awarenesstraining geborgd in het beleid. Dit is van groot belang, omdat het een organisatie is met veel gevoelige data. En test hen om te zien hoe goed ze deze kennis onthouden. Aan dit proces ging veel vooraf, waaronder een test van de IT-afdeling. Erik Lameijer, Teamleider Automatisering bij Schouten Zekerheid, vertelt: “Onze IT’ers stuurden een eigen phishingmail naar alle medewerkers. De uitkomst liet veel te wensen over. De directie nam dan ook direct maatregelen. Wat begon als een project, is inmiddels uitgegroeid tot een bedrijfsproces.”
Phishing en e-learning
Erik vervolgt: “In dit proces hebben we phishingtesten, e-learning en gamification geïntegreerd.” Wanneer de IT-afdeling phishingmails stuurt naar medewerkers, laten statistieken zien hoeveel medewerkers op de link met virussoftware klikken. De statistieken laten ook gelijk zien bij welke mails – en dus bij welke onderwerpen – dit het meeste gebeurt.
Deze kennis kunnen IT’ers weer toevoegen aan een gebruiksvriendelijk e-learning platform. Hier staan korte video’s op met tips om cyberdreigingen tegen te gaan. Bijvoorbeeld een sterk wachtwoord kiezen, zorgvuldig omgaan met je wachtwoorden, veilig bestanden opslaan en delen, een beveiligde internetverbinding kiezen en tweestapsverificatie (een extra beveiliging, bijvoorbeeld een eenmalige code) toepassen.
Gamification
Daarnaast heeft Schouten Zekerheid ook spelelementen aan het proces toegevoegd, zoals een cybersecurity quiz. Erik merkt op: “Door de spelvorm wordt het geen zwaar onderwerp, maar eerder iets om samen te doen. Ook nog eens goed voor de teamgeest.” Wat Erik ook opvalt, is dat alle afdelingen hun eigen deel bijdragen aan het proces. De IT-afdeling heeft het in gang gezet, de HR-afdeling heeft het daarna overgenomen en nu is het een blijvend onderdeel van de organisatie. Erik zegt tevreden: “Cybersecurity leeft nu bij iedereen.”
Profiteer ook van security awareness
’Wil jij, net als Schouten Zekerheid, het veiligheidsbewustzijn van medewerkers verhogen? En hiermee je digitale weerbaarheid vergroten? Neem dan gerust contact met me op. Als securityspecialist help ik je graag.
Vorm je cybersecuritybeleid
Benieuwd naar álle adviezen om de cyberweerbaarheid in je organisatie te verhogen? Download het redpaper. En bekijk de podcastserie ‘Hack van de dam’, die cybersecurity thema’s belicht vanuit de drie belangrijkste perspectieven: IT, werkwijze en gedrag.
Dit artikel is een bijdrage van Avantage, een Ricoh company.