4 tips voor een effectief security awareness programma

‘Je medewerkers vormen de grootste kwetsbaarheid in de strijd tegen cybercrime en digitale dreigingen’.

Herkenbaar? Overal lees je over menselijk gedrag als oorzaak van datalekken en beveiligingsincidenten. Bij Awareways geloven we dat mensen juist de sterk(st)e schakel in de beveiligingsketen van jouw organisatie kunnen vormen. En dat een creatieve, positieve benadering van security awareness een sleutelrol speelt in het succes van trainingen en programma’s.

In dit artikel lees je welke tips, naast een positieve benadering, nog meer een positieve invloed hebben op security awareness programma’s.

Welcome to the security awareness movement

1. Daag ze uit

Ondanks het feit dat normen als ISO 27001 en de BIO al jaren voorschrijven dat beveiligingsbewustzijn en -training deel moeten uitmaken van een beveiligingsprogramma, heeft dat nog niet tot de gewenste resultaten geleid. Wachtwoorden worden nog steeds opgeschreven in notitieboekjes, phishing blijft succesvol en onveilig gedrag online is bepaald nog niet verbannen.

Security awareness training

Dat komt deels omdat een security awareness programma als ‘moetje’ funest is voor de beoogde resultaten ervan. Zelfs als organisaties proactief zijn op training, is het afronden vaak een doel op zich – ten koste van aandacht voor daadwerkelijke en structurele gedragsbeïnvloeding op lange termijn.

Introduceer je de benodigde kennis via een traject dat louter bedoeld is om de juiste vinkjes te zetten, of maak je er een uitdagend leerproces van dat daadwerkelijk – en meetbaar – resultaten oplevert?

2. Meten is weten

Het succes van een awareness campagne staat of valt bij het juiste startpunt, gebaseerd op de juiste data. Informatie is namelijk macht. Hoe meer inzicht je hebt in de mate van informatiebewustzijn van jouw medewerkers, hoe beter je een awareness training af kunt stemmen op de behoeften binnen jouw organisatie.

Dat doe je door voorafgaand de volwassenheid op het gebied van informatiebewustzijn binnen de organisatie te meten en te analyseren, want pas dan kun je aan de slag om deze te verhogen. De uitkomst geeft jouw organisatie concrete actiepunten voor de toekomst.

Gedragsverandering gaat over culturen, niet over individuen. Metingen zijn vaak heel individueel ingestoken, met als resultaat dat de aansluitende programma’s geneigd zijn om het verhogen van die gemiddelden (van die individuele prestaties) als doel te hebben. Veel efficiënter is het daarom om de cultuur van de organisatie aan te spreken, waar de verbeteringen in (collectief) gedrag aangepakt moeten worden – want dat is de route om je organisatie als vangnet in te richten om sterker en weerbaarder te worden.

Onze Cultuurscan is de start van jouw cultuurveranderingstraining, gebaseerd op een sociaal psychologisch model wat inzicht geeft in menselijk gedrag en onderliggende constructen die hier invloed op hebben.

3. Communicatie, communicatie, communicatie

Neem de tijd om een nieuwe maatregel in te voeren, maak een overkoepelend plan en betrek daar de juiste afdeling(en) in zoals marketing, communicatie en HR. Deze afdelingen beschikken over de juiste skills om de boodschap en het belang van het beleid goed over te brengen. Maak er daarom gebruik van.

Voor een effectieve beïnvloeding van gedrag is meer nodig dan informatieverstrekking alleen. Met andere woorden: introduceer de nieuwe aanpak niet als voldongen feit, maar ga met je medewerkers in gesprek.

Een droge aanpassing van het beleid, van de ene op de andere dag ingevoerd, is gedoemd om slechts ter kennisgeving aangenomen te worden.

Een communicatieconcept dient als kapstok voor alle boodschappen, waaronder de interventies in relatie tot security, privacy en/of integriteit. Goede communicatie is bovendien een interventie op zich, wanneer je de praktische speerpunten van een security awareness campagne deelt.

TIP: bij het communiceren van nieuwe maatregelen is het belangrijk om niet alleen het wanneer, maar ook het hoe en waarom van een aanpassing te benadrukken. Neem je de organisatie daarin niet aan de hand, dan wordt de maatregel slechts een vervelende verplichting uit de hoek van compliance.

4. Pas op voor ‘olifantenpaadjes’

Het vierde en laatste punt is er één waar we vanuit de Awareways-expertise gedragspsychologie graag nog even bij stil staan. Bij security- en privacy-onderwerpen, zoals e-mail, het tóch versturen van informatie aan een niet-geautoriseerd persoon en het thuis vernietigen van gevoelige documenten, zien we in de praktijk dat er vaak een zogenaamd ‘olifantenpaadje’ wordt gekozen.

Olifantenpaadjes zijn paadjes die een alternatief bieden op de officiële, bestraatte routes. Ze slijten langzaam in het landschap doordat ze als alternatieve weg veelvuldig worden gebruikt door voetgangers, fietsers of automobilisten – en worden daarmee alleen maar aantrekkelijker om te gebruiken.

Ann neemt een olifantenpaadje

‘Het zal wel, ik pak snel deze weg’

Hoe dat zich verhoudt tot informatieveilig werken? Maarten Timmerman, directeur Awareways: “Veilig werken is vaak toch lastiger dan niet-veilig werken, want het kost extra inspanning. Als je druk bent of bijvoorbeeld een belangrijke deadline hebt, dan kan het heel verleidelijk zijn om het ideale veilige gedrag – dat toch even tijd kost – snel in te korten door dat alternatieve weggetje te nemen. Bijvoorbeeld gewoon even snel mailen, in plaats van via de correcte route.”

In het geval van een alternatieve route negeer je het vaak het hele bewust ontwerp van de infrastructuur, waar verkeersveiligheid altijd een onderdeel van is.

“Bij securitymaatregelen lijkt het belang van veiligheid en het bewuste idee daarachter ook vaak een ver-van-mijn-bed-show, want de kans dat het misgaat is klein – toch? En dat klopt soms ook wel, want als je snel even wat naar je privé-mail stuurt, is die kans inderdaad klein. Het probleem is echter dat het niet om de kans op een incident gaat, maar om de impact ervan als het wél fout gaat…”

De volgende stap: Awareways

Security en privacy awareness is een middel, duurzame gedragsverandering is ons echte doel. Hoe kun je kennis effectief inzetten op een manier die beklijft, om meetbaar de stap te kunnen zetten en dat doel te behalen? Die vraag beantwoorden we graag voor je.

Op zoek naar een tool die verder gaat dan e-learning? Een innovatief programma dat dankzij stimulerende gamificatie écht kennis overbrengt en deelnemers de uitdaging biedt om zichtbaar te groeien? Dan is onze interactieve leerplatform echt iets voor jouw organisatie. Lees hier meer over Wave.

Neem vrijblijvend contact op voor meer informatie.

Maximaliseer de potentie van je medewerkers