Winkelmand

Geen producten in je winkelwagen.

Do’s en don’ts van security awareness training

In samenwerking met KnowBe4 - Met de explosieve groei van digitale risico’s is het van groot belang om medewerkers bewust te maken van beveiliging. Dat kan met security awareness training. Maar hoe wordt een trainingsprogramma effectief?

Do’s en don’ts van security awareness training
Jason Goodman via Unsplash
Je leest nu: Do’s en don’ts van security awareness training

Het belang van beveiligingsbewustzijn van personeel moet evident zijn. Vrijwel dagelijks haalt een digitale inbraak of ransomware-incident de krant. In veruit de meeste gevallen begint zo’n situatie met een ondoordachte actie van een medewerker.

Security awareness training is training van medewerkers over waar ze mee te maken krijgen en hoe ze zulke situaties kunnen herkennen, is dan ook cruciaal in het voorkomen van een beveiligingsincident. Maar hoe zorg je ervoor dat de lessen van een training ook daadwerkelijk worden toegepast?

Multidisciplinair team

Het begint met het samenstellen van een team dat deze training gestalte geeft, legt Security Awareness Advocate Jelle Wieringa van beveiligingsbedrijf KnowBe4 uit. Er is een rol weggelegd voor ict, maar niet eens zozeer voor het ict-aspect van beveiligingsuitdagingen zelf. ‘De training moet ingericht worden. Dat is een stukje techniek en daar heb je ict bij nodig.’

De vraag om training komt dan ook vaak bij ict te liggen, maar dat is maar één aspect van een multidisciplinair team dat vereist is voor een dergelijk programma.

De tweede en wel net zo belangrijke stap is personeelsmanagement. ‘Daar komt hr om de hoek kijken. Hr weet hoe de medewerkers in elkaar zitten en richt zich op het verbeteren van personeel. Zij zijn gewend om mensen te trainen, dus ga daar vooral een keer te rade hoe je dit het beste in jouw organisatie kunt toepassen’, zegt Wieringa.

‘De derde die ik altijd aanraad, is marketing. Alles valt of staat bij goede communicatie en marketing weet wel hoe je moet communiceren. Mijn ideale team bestaat dus uit security, ict, hr en marketing.’

Hoe inspireer je?

Vervolgens de belangrijkste vraag waar organisaties mee worstelen: hoe zorg je ervoor dat medewerkers geïnteresseerd raken en de boodschap beklijft? Dat moet komen vanuit het stimuleren van intrinsieke motivatie en niet met bijvoorbeeld een certificaat dat behaald moet worden om in aanmerking te komen voor een bonus, vertelt Wieringa. ‘Mensen moeten geïnspireerd zijn om vanuit zichzelf iets te gaan doen. Dat is meer dan alleen een besef waarom iets belangrijk is.’

Hij denkt dat communicatie hier een sleutelrol in speelt. ‘Inspiratie moet een continu proces zijn. Door te communiceren over de voortgang, inspireer je vanuit positiviteit: “Hé, we gaan de goede kant op.” Vertel ook over de risico’s, waardoor mensen zien waarom bewustheid zo belangrijk is. Vertel niet over hoeveel ransomware wordt verspreid, maar licht toe waarom jouw organisatie vatbaar is voor bijvoorbeeld een phishingaanval.’

Kortom, leg medewerkers uit wat het risicoprofiel is van de organisatie, zodat duidelijk wordt waar ze mee te maken kunnen krijgen.

Gevoel van meesterschap

‘Mensen leren om ergens beter in te willen worden. Zo werkt het met hobby’s. We hebben met dopamine een geweldig beloningssysteem. Elke keer als we iets doen wat we gaaf vinden, komt dopamine vrij. Gebruik dit effect ook bij de security awareness training. Zorg ervoor dat mensen elke keer kleine overwinninkjes halen. Veel kleine overwinningen doen het beter dan een paar grote. Zorg er dus voor dat als je mensen traint, ze meerdere keren per jaar van een kleine overwinning kunnen genieten.’

Volgens de deskundige is het beter om mensen per maand tien minuten te trainen met een kleine beloning als een certificaat, button of een reep chocola, dan ze één keer per jaar twee uur in een klaslokaal te zetten.

Autonomie van werknemers

‘Vrijheid is een heel krachtige manier van leren’, weet Wieringa. ‘Je kiest als organisatie een thema, bijvoorbeeld ransomware in het eerste kwartaal, phishing in het tweede, business email compromise in het derde, maar je biedt de gebruiker de mogelijkheid om waar, hoe en wanneer hij dat zelf wil binnen dat kwartaal over dat thema te leren. Die autonomie zorgt ervoor dat mensen het leuk voor zichzelf kunnen maken.’

Dat doe je door meerdere verhalen aan te bieden, bijvoorbeeld met een benadering vanuit de techniek, risicomanagement of een financieel proces. ‘Als je techneut bent, vind je de techniek waarschijnlijk leuker dan de proceskant.’ Maar een accountant in business ziet misschien meer in een uitleg vanuit een financieel proces.

Gedragsverandering

‘Het gaat eigenlijk niet eens zozeer om kennisvergaring, maar veel meer om gedragsverandering’, zegt Wieringa. ‘Ook daar helpen inspiratie, autonomie en meesterschap, want het zijn stimulansen voor intrinsieke motivatie. Je komt toch te vaak tegen dat mensen in een klaslokaal worden gestopt om een training te volgen waar ze helemaal geen zin in hebben. Ciso’s en directieleden klagen dat het zo moeilijk is om personeel te trainen, maar bedenk dan: hoe zou je zelf getraind willen worden?’

Do’s

Start een multidisciplinair team. Bewustwordingstraining is in principe meer een kwestie van personeelsmanagement dan informatietechnologie. Hr is van wezenlijk belang.
Communiceer over de voortgang. Laat zien hoe de organisatie volwassener wordt op het gebied van beveiliging, om de positieve insteek te benadrukken.
Zorg voor kleine overwinningen. Medewerkers reageren goed op het gevoel dat ze krijgen als iets lukt. Met bijvoorbeeld gamification is dit element toe te voegen aan de training.
Creëer een divers aanbod. Iedereen leert anders. Denk aan podcasts, oefeningen online, een klassikale training, apps en games, lezen van artikelen – bied een breed palet.
Bied microtrainingen aan. De aandachtsspanne van mensen is kort, een kortstondige herinnering werkt beter dan een lange herhaaloefening.

Don’ts

Leg uit vanuit angst. Niet: dit is een dreiging voor ons. Maar: dit is een noodzaak en waardevol voor de organisatie. Belicht vooral de positieve kant, over welke stappen de organisatie verder helpen.
Negatieve feedback geven. Het model met de wortel en de stok werkt niet. Mensen raken niet gemotiveerd van negatieve feedback en het inspireert personeel zeker niet.
Roep geen negatieve emotie op. Doe bijvoorbeeld geen phishingtest die inspeelt op angsten die in de organisatie leven, bijvoorbeeld een nepmail over bonussen terwijl er reorganisatie dreigt.
Financieel belonen. Een financiële incentive werkt heel kortstondig, mensen willen en verwachten daarna meer. Geld werkt niet goed voor motivatie op de lange termijn.
Maak het groot. Ga bij training niet uit van de wereld van online criminaliteit. Houd het concreet bij de organisatie, en maak de leerdoelen klein en haalbaar.