Beheer

Security
het licht zien

Het geheim van een effectieve security awareness training

Niet elke training is even effectief, zelfs niet als het om het prangende onderwerp security gaat.

© CC BY 2.0 - Flickr Richard Clifford
7 februari 2019

Laten we eerlijk zijn: zakelijke trainingen zijn lang niet altijd leuk en inspirerend. Soms voelt het als een ‘moetje’ en doe je voor je gevoel niets anders dan de tijd uitzitten. Zo kan het ook gaan bij security awareness training. Nobel om dat als it’er voor de medewerkers in jouw organisatie te organiseren, maar zonde (en potentieel gevaarlijk) als deelnemers tijdens zo’n training tegen de slaap zitten vechten. Hoe pak je dat beter aan?

Over de noodzaak van security awareness training heb ik vaker geschreven. De reputatieschade en financiële schade van datalekken, ceo-fraude of besmetting met ransomware kunnen bedrijven de das omdoen. Ik vind het daarom verontrustend dat uit onderzoek van Enterprise Management Associates (een grote analist in de IT-wereld) blijkt dat zo’n 60 procent van de bedrijven die intern een security awareness training aanbieden daarvoor weinig effectieve methoden gebruiken.

Zo stuurt 36 procent van de onderzochte bedrijven maandelijks een video met veiligheidsinstructies naar medewerkers. Bijna een kwart van de bedrijven geeft eens in de zoveel tijd een klassikale training, waarbij medewerkers in een zaaltje (met een paar snacks, als ze mazzel hebben) moeten luisteren naar een lange PowerPoint-presentatie.

One size fits all?

Deze methodes beschouwen medewerkers als een passief publiek en betrekken hun dus niet voldoende bij het beveiligingsprobleem waar bedrijven mee worstelen. Zo voelt security awareness training eerder als een straf dan als een manier om personeel te leren (en te inspireren!) om actief deel te nemen aan de veiligheid van hun organisatie.

Daarnaast houden deze trainingsmethodes er ook geen rekening mee dat medewerkers verschillende talenten en zwakke punten hebben, en dus verschillend reageren op de leerstof. Werknemers hebben bovendien verschillende behoeften op het gebied van security awareness, afhankelijk van hun functie en toegang tot gevoelige informatie. Kortom: een one size fits all-benadering werkt gewoon niet.

Het gebruik van bovengenoemde methodes leiden daarom bij IT-afdeling en directie vaak tot teleurstelling: het online gedrag van medewerkers verandert nauwelijks. De security wordt niet verbeterd. Daarmee is de kans aanwezig dat leidinggevenden het hele idee van security awareness training overboord gooien in plaats van dat ze kritisch kijken naar de gebruikte trainingsmethode.

Hapklare brokken

Die te verwachten reactie zou jammer zijn, want een positieve gedragsverandering kan heus bereikt worden. Het geheim is om security awareness training regelmatig en in hapklare brokken aan te bieden. Niet alleen met online trainingsmodules (die een medewerker kan volgen wanneer hij of zij er tijd voor heeft), maar ook met grappige video’s, games en phishing e-mails. De inhoud van de training komt dan frequenter langs en is gevarieerder, waardoor het een grotere impact heeft.

Bij deze aanpak is de training interactief en gebaseerd op de verschillende functies van personeelsleden, waardoor zij het eerder relevant en waardevol zullen vinden. En omdat het uitdagender is worden de gedachten en het geheugen van medewerkers effectiever aangesproken dan wanneer ze passief zitten te kijken naar een (half)jaarlijkse presentatie.

Wedstrijdje

Je kunt als IT’er het enthousiasme verder vergroten door een systeem met beloningen in te zetten: de medewerker die in een bepaalde periode het best scoort kan leuke prijzen winnen. En niet onbelangrijk: draag ook zelf de waarde van training uit en weet collega’s te enthousiasmeren. Een effectieve security awareness training is bepaald geen straf.

Reactie toevoegen
3
Reacties
Martine 13 februari 2019 17:07

Hallo Jeffrey, kun je ook iets zeggen over hoe je de effectiviteit meet/aantoont?

Hans Van de Looy 13 februari 2019 11:32

Excuses, ik moet natuurlijk wel de juiste naam doorgeven. Het spel heeft de naam "The Office Bug Bounty Game" gekregen. Voor meer informatie zie de blog op hun website => https://www.zerocopter.com/en/blog.

Hans Van de Looy 13 februari 2019 11:30

Helemaal eens met de strekking van dit verhaal. Iets dat zeker kan bijdragen tot een blijvende security awareness is de introductie van een "security awareness" spel. Recentelijk heeft Zerocopter (https://www.zerocopter.com) een leuk kaartspel ("Responsible Disclosure Game") geïntroduceerd dat hier duidelijk op inspeelt.