Hoe maak je van security awareness een competentie?

De werknemer als vertrekpunt

Het uitgangspunt om vanuit de werknemers te beginnen, is van toepassing op verschillende aspecten. Dirk Fickinger, user adoptie consultant bij Cegeka, benadrukt: "Wanneer we een security-aspect integreren, starten we met user adoptie. Hoewel dit in het technologische proces vrij vroeg is, analyseren we de doelgroep binnen de organisatie en hun bestaande kennis over security. Dit vormt voor ons de basis om de mate van security awareness binnen de organisatie te beoordelen." Deze gesprekken vinden plaats met diverse afdelingen en functieprofielen, waardoor niet alleen de leidinggevenden hun input kunnen geven.

Het is belangrijk om te erkennen dat niet elke werknemer op dezelfde manier kan leren, en het tempo waarop kennis wordt verworven, varieert van persoon tot persoon. Dirk moet daarom vaststellen wat het beste werkt voor een specifieke organisatie en in welke mate security awareness al aanwezig is om dit verder te ontwikkelen: "Het zou onrealistisch zijn om in alle bedrijven vanaf nul te beginnen. Dit zou werknemers niet tevreden stellen en zou evenmin de beste resultaten opleveren."

"Het zou onrealistisch zijn om in alle bedrijven vanaf nul te beginnen. Dit zou werknemers niet tevreden stellen en zou evenmin de beste resultaten opleveren."

quote

Bovendien is niet heel de organisatie in één niveau onder te brengen. Dit kan te wijten zijn aan een geleidelijke introductieperiode van nieuwe beveiligingstechnologieën. Bijvoorbeeld, IT kan een phishingtraining al in januari volgen, terwijl HR pas in maart aan de beurt komt. Desalniettemin blijft leren een individueel proces: "Leren is geen continu proces van A naar B; eerder ervaren we een achtbaan van emoties en variaties in hoe we leren."

Security in de Ochtendbijeenkomst

Nu begrijpen we dat het werken met het ADKAR-model de werknemer centraal stelt en dat training pas in een later stadium komt om van cybersecurity awareness een competentie te maken. Het startpunt van het model is het creëren van bewustzijn binnen de organisatie. Werknemers kunnen hier dagelijks mee bezig zijn door eenvoudige aanpassingen te maken in hun dagelijkse routines.

Een voorbeeld hiervan is om tijdens de ochtendbijeenkomst vijf of tien minuten te reserveren voor werknemers om te delen welke cybersecurity-gerelateerde situaties ze de vorige dag zijn tegengekomen. Dit niet alleen bevordert het bewustzijn maar biedt ook ruimte om incidenten te melden en de schaamte die hier vaak mee gepaard gaat, weg te nemen.

Op deze manier kan bewustzijn worden gecreëerd door eenvoudige aanpassingen in de dagelijkse routine. Toch kan het uitdagender zijn om werknemers te enthousiasmeren voor beveiligingstrainingen en het adopteren van nieuwe oplossingen. Training wordt vaak geassocieerd met 'saai' en nieuwe technologieën worden al snel gezien als 'gedoe'.

Volgens Dirk kan dit worden overwonnen door beloningen te koppelen aan goed gedrag of deelname aan trainingen. Hoewel werknemers op de lange termijn waardevolle lessen leren over digitaal bewustzijn, ontbreekt vaak de directe beloning op de korte termijn. Dit kan worden opgelost door bijvoorbeeld na een training een stuk taart aan te bieden als beloning, of door security-gerelateerde geschenken zoals muismatten met richtlijnen voor goede cyberhygiëne uit te reiken.

Subtiel Herinneren

Dit laatste geschenk dient ook als een instrument om werknemers onbewust betrokken te houden. Het subtiel herinneren aan de training is van essentieel belang om security awareness top-of-mind van de werknemers te houden. Cegeka bevordert dit bewustzijn verder door in samenwerking met de communicatie-afdeling van de klant een interne campagne op te zetten. Hierbij kan worden gedacht aan posters met richtlijnen voor goede cyberhygiëne, wekelijkse tips voor medewerkers via narrowcasting schermen of het intranet.

Het proces van het ontwikkelen van security awareness als een competentie bij werknemers omvat de samensmelting van diverse factoren in een gestructureerde volgorde. Dit houdt in dat het onderwerp openlijk bespreekbaar moet zijn binnen de organisatie, gevolgd door training, beloning, en regelmatige herhaling om werknemers (onbewust) te blijven herinneren. Volgens Dirk is echter het allerbelangrijkste dat bedrijven voortdurend bezig zijn met dit onderwerp. Op die manier kunnen ze zich voorbereiden op een realiteit waarin cyberincidenten niet langer kunnen worden genegeerd, en waarin de beveiligingsomgeving voortdurend evolueert.