Loopbaan

Dit is een bijdrage van KnowBe4
Security
“Zorg voor een cybersecuritybokaal die de hele organisatie doorgaat”

“Zorg voor een cybersecuritybokaal die de hele organisatie doorgaat”

Hoe houd je security awareness training leuk?

6 mei 2021
Door: KnowBe4, partner

Hoe houd je security awareness training leuk?

In Nederland zijn steeds meer mensen het slachtoffer van phishing. Het is al jaren de meest voorkomende vorm van social engineering. Dit is logisch volgens Jelle Wieringa van KnowBe4, leverancier van 's werelds grootste platform voor security awareness-trainingen en simulated phishing. “De mens is een makkelijk doelwit. Voor cybercriminelen loont het want ze hoeven weinig te investeren voor veel rendement!”

Volgens Wieringa focussen veel organisaties te veel op technologie om social engineering tegen te gaan. “Er is geen tovermiddel - een doosje dat je aan kunt zetten - om het te voorkomen. Training is dan ook de meest effectieve vorm ter bescherming tegen dit soort fraude. Het is bijvoorbeeld een goed initiatief van de overheid om anti-phishing campagnes te doen, maar eigenlijk zouden ze een stapje verder moeten gaan en trainingen beschikbaar moeten stellen. Het is zo’n groot probleem dat een mediacampagne niet genoeg is. Er zitten zoveel facetten aan social engineering.”

Quiz

Om succesvol te zijn met security awareness trainingen moet je mensen hiervoor motiveren. Hoe? “Betrek iedereen binnen de organisatie bij het traject. Van het management tot de schoonmaker, want iedereen is vatbaar. Begin wel bij de hoogste managementlaag, want dan is er ook support voor de training. Een training moet per individu bovendien relevant zijn. Je moet de receptioniste niet dezelfde training willen geven als de financiële man, dat werkt niet. Ook leeftijd speelt hierbij een rol. Sommige generaties lezen nog graag, anderen vinden het fijn om een quiz te doen en de jongste generatie kijkt liever naar een filmpje”, legt Wieringa uit. 

Vaak strandt het voornemen om security awareness trainingen persoonsgericht aan te bieden echter in het vele werk wat dit oplevert. Dit is volgens Wieringa zonde en onnodig. “Vaak wordt het personeelsbestand daardoor uiteindelijk ingedeeld in groepen, maar daarmee doe je de houdbaarheid van je training teniet. BHV-training doe je ook niet in één dag. Dat geldt ook voor security awareness training. Uiteraard is het altijd lastig om hiervoor resources vrij te maken. Daarom is het zo belangrijk om de top van de organisatie mee te krijgen.”

Lol maken

Een ander advies van Wieringa is om HR erbij te betrekken. “Er is geen afdeling die de mensen op de werkvloer zo goed kent. Cybersecurity is een thema dat bij de IT-afdeling ligt, maar dit zijn vaak geen specialisten in het geven van trainingen. Verdeel je de last, dan is het draagvlak ook groter. Uiteraard is het wel van belang om één eigenaar aan te wijzen.”

En dan is iedereen gemotiveerd om mee te doen, maar hoe houd je het leuk? Voor Wieringa is het simpel: “Zorg dat mensen lol maken. Mensen zijn getriggerd op vooruitgang. Deel dus resultaten op persoonsniveau en meet vooruitgang. Zorg dat je blijft testen, door bijvoorbeeld phishingmails te versturen. Uiteraard moeten werknemers niet worden gestraft als ze wel op een link klikken, maar hier kun je wel weer op inspelen met een gerichte vervolgtraining. En belonen stimuleert. Van een chocoladereep waar ‘goed gedaan’ op staat tot een verkiezing van de cyber hero van de maand met een bokaal die de hele organisatie doorgaat, het helpt allemaal!”

<< 5 tips om SAT leuk te houden>>

  1. Betrek iedereen binnen de organisatie
  2. Maak trainingen per individu relevant
  3. Biedt een training aan in een vorm zoals die persoon wil leren
  4. Test, test, test en test
  5. Maak lol en beloon mensen!

 

 

Reactie toevoegen