Winkelmand

Geen producten in je winkelwagen.

Hoe lessen uit Hollywood jouw bedrijf beter beschermen tegen hackers

In samenwerking met KnowBe4 - Een plot, verschillende karakters, sympathie voor de hoofdpersoon en onverwachte wendingen. Het zijn de aspecten van een goed verhaal. Maar deze oeroude lessen uit Hollywood blijken ook bij uitstek geschikt om je te beschermen tegen hackers en de digitale beveiliging van je bedrijf een boost te geven.

tips uit hollywood helpt hackers tegen te gaan
Etienne Girardet via Unsplash
Je leest nu: Hoe lessen uit Hollywood jouw bedrijf beter beschermen tegen hackers

Dat stelt Jelle Wieringa. Hij is Security Awareness Advocate bij KnowBe4, dat een platform biedt voor security awareness trainingen en phishing-simulaties. Cybersecurity gaat volgens hem over drie zaken: het proces, de technologie en mensen. ‘Het is algemeen bekend dat mensen hierbij worden beschouwd als meest kwetsbare schakel, aldus Wieringa. ‘Er wordt een mailtje met een besmet linkje rondgestuurd, een medewerker klikt daar per ongeluk op en zo krijgen hackers vrij spel.’

Een goed getrainde medewerker

Het is een scenario dat bedrijven te allen tijde willen voorkomen. Eén van de instrumenten die ze hebben om dit tegen te gaan, zijn de zogeheten security awareness trainingen. Die zijn bedoeld om het cyber-bewustzijn van medewerkers te verhogen en veilig gedrag te trainen.

Zo leren ze bijvoorbeeld phishing-mails te herkennen, waarbij cybercriminelen een medewerker naar een valse website proberen te lokken. ‘Zo’n 70 tot 90% van alle succesvolle cyberaanvallen starten bij de mens. Een goed getrainde medewerker is daarmee het beste wapen tegen hackers.’

Saai

Awareness kweken gaat over gedragsverandering en mensen in beweging krijgen. Dat lukt volgens Wieringa veel beter als je dat doet met een verhaal. ‘Je moet ervan uitgaan dat de meeste medewerkers helemaal niet op een cybersecurity-training zitten te wachten. Ze vinden de stof meestal saai. Je moet dus iets bij ze activeren om de kennis ook echt succesvol over te brengen. Een verhaal zal daarbij helpen’, aldus Wieringa.

De kunst van storytelling

Storytelling gaat over het toepassen van verhalen om zo meer betrokkenheid te creëren bij je doelgroep. Deze methode passen filmmakers uit Hollywood al meer dan 100 jaar toe. Want een goed verhaal beklijft, doet iets met het onderbewustzijn en zet mensen aan het denken. Het is de kunst van storytelling.

‘Alleen maar lezen hoe een phishing-mail eruit ziet, heeft vaak niet het gewenste effect. Zo activeer je mensen niet. De kennis vloeit snel weg en het risico dat ze later alsnog een keer op een besmet linkje klikken is best groot. Veel effectiever is het om deze informatie te verpakken in een verhaal, bijvoorbeeld met een cartoon. Laat de medewerker daar vervolgens iets mee doen, door een op waarheid beruste situatie te simuleren. Daarmee zorg je pas echt voor bewustzijn en gedragsverandering.’

Pas de lesmethodiek aan

En zo is er volgens Wieringa meer om rekening mee te houden bij security awareness. ‘Ieder mens is anders en zo leert ieder mens ook anders. De één vindt video’s leuk, de ander leest liever een verhaal en weer een ander speelt graag een rollenspel. Het helpt om je lesmethodiek aan te passen aan de karaktereigenschappen van de gebruiker. Hierbij geldt dus: one size does not fit all.’

Het langdurig stampen van kennis noemt hij old-school, meer heil ziet hij in micro-learning. ‘Gebruik bij voorkeur kortstondige trainingsmomenten van 5 tot maximaal 10 minuten per maand. Drama en humor werken hier vaak goed, ook dat is storytelling.’

Timing

De volgende fase van micro-learning dient zich overigens ook al aan. Hierin draait het vooral om timing. Content over cybersecurity wordt nu meestal op willekeurige tijden in de organisatie verspreid. Dat verschuift straks naar real-time. Even nadat een medewerker een phishing-mail heeft ontvangen, verschijnt er een video in zijn inbox waarin deze aanvalstechniek wordt besproken. Over relevantie gesproken.

Carrot and stick

Maar wat als medewerkers hardleers blijken? Trainingen worden niet afgemaakt en in sommige gevallen zelfs compleet genegeerd. Volg het pad van geduld, zo predikt Wieringa, maar geef wel duidelijk de grenzen aan. Het is het handelen volgens de bekende carrot and stick-methode, waarbij goed gedrag wordt beloond.

‘Maar awareness trainingen zijn niet vrijblijvend, zegt hij. Het is dus wel zaak dat mensen hier serieus mee aan de slag gaan. Wanneer iemand dat herhaaldelijk blijft weigeren, is een gesprek met zijn of haar leidinggevende onvermijdelijk. Dat is de stick in dit verhaal.’

The Inside Man

Het ultieme voorbeeld de toepassing van storytelling bij security awareness is ‘The Inside Man’. Deze serie werd geproduceerd in opdracht van KnowBe4 en was eerder te zien op Amazon Prime. De hoofdpersoon is een bedrijfshacker die voor zijn werk in allerlei situaties terecht komt. Van social engineering tot ransomware-aanvallen en bedreigingen van binnenuit. Het is entertainment met een educatief sausje.