Management

Dit is een bijdrage van Motiv ICT Security
Security
Hoe zorg je ervoor dat security awarenesstrainingen maximaal effect hebben? 

5 tips voor een effectieve security-awarenesscampagne

Hoe zorg je ervoor dat security awarenesstrainingen maximaal effect hebben? 

6 april 2020
Door: Motiv ICT Security, partner

Hoe zorg je ervoor dat security awarenesstrainingen maximaal effect hebben? 

Security-awareness is gericht op een belangrijke factor in digitale beveiliging: de mens. Het gedrag van de mens is immers van grote invloed op de veiligheid van een organisatie. Terugkerende security-awarenesstrainingen die deel uitmaken van de integrale securitystrategie helpen  een gedragsverandering te realiseren. Hoe zorgt je ervoor dat trainingen maximaal effect hebben? 

Over een security-awarenesscampagne moet goed worden nagedacht. Incidenteel een keer een standaard phishingmail rondsturen of een USB-stick laten rondslingeren, zal niet leiden tot een gedragsverandering bij de medewerkers. Deze tips helpen bij  het opzetten van een effectieve security-awarenesscampagne: 

1. Betrek iedereen 

Een security-awarenesscampagne is relevant voor iedere gebruiker binnen jouw organisatie. Of het nu gaat om een medewerker achter de balie of de manager. Iedere gebruiker kan met onveilig gedrag de veiligheid van jouw bedrijf in geding brengen. Dat geldt ook voor IT-professionals, die door de aard van hun werk veel impact hebben op de veiligheid van een organisatie. Zo kunnen zij door configuratiefouten datalekken veroorzaken of gebruikers toegang geven tot gegevens waar zij geen recht toe hebben. Als aanvallers toegang weten te krijgen tot beheerdersaccounts, krijgen zij verregaande toegang tot het netwerk. 

2. Stem af op het niveau 

Het security-volwassenheidsniveau van gebruikersgroepen binnen een organisatie verschilt doorgaans. Het afstemmen van campagnes op individuele gebruikersgroepen vergroot de effectiviteit. Niet alleen zorg je er hiermee voor dat campagnes qua kennisniveau aansluiten op de doelgroep, ook weet je zeker dat campagnes wat betreft onderwerp daadwerkelijk relevant zijn voor gebruikers. 

3. Herhaal 

Om een échte gedragsverandering te realiseren, zijn sporadische simulaties zoals gezegd niet afdoende. Alleen met behulp van een doorlopende en langdurige campagne verander je daadwerkelijk het gedrag van medewerkers. Een dergelijke campagne is idealiter dan ook onderdeel van je integrale securitystrategie.  

4. Behandel alle relevante dreigingen 

Leer medewerkers daarnaast een breed scala aan dreigingen herkennen. Leg de focus bijvoorbeeld niet alleen op phishingmails, maar ook op andere vormen van phishing zoals vishing via telefoon of smishing via tekstberichten en andere relevante dreigingen zoals ransomware. Voer phishingtests bij voorkeur met willekeurige tussenpozen uit om ze zo realistisch mogelijk te maken.  

5. Voorkom ergernis 

Een belangrijk aandachtspunt bij het herhaald aanbieden van trainingen is de tolerantie van medewerkers. Indien werknemers te vaak phishingmails voorgeschoteld krijgen, wekt dit ergernis op, wat de effectiviteit van de simulatie kan aantasten. Creativiteit kan ergernis helpen voorkomen. Zet bijvoorbeeld een competitie op en beloon de medewerker die de meeste gesimuleerde phishingaanvallen herkent. 

Wil je weten hoe Motiv jou kan helpen de security-awareness binnen jouw organisatie te vergroten? Kijk dan hier

 

Door: Erik Delfgaauw en Seyma Irilmazbilek van Motiv 

Reactie toevoegen