Binnen ORTEC bestaat bij aanvang de wens om te werken aan bewustwording van security en privacy. “In het kader van de ISO 27001 certificering ontstond de behoefte om meer aandacht te besteden aan de onderwerpen.” Vertelt Jet Woudstra, Compliance & Quality Officer bij ORTEC. “Maar hoe? Op dat moment wisten we dat we ‘iets’ met security awareness wilden en ‘iets’ met privacy wilden.” Om de stand van zaken op te tekenen volgde er een nulmeting.

“Awareways heeft bij ons een nulmeting uitgevoerd. We hadden eigenlijk niet echt een idee van wat we konden verwachten.” De presentatie van de resultaten leverde niet alleen maar interessante cijfers op. De gewenste attitude binnen Ortec bleek al verder gevorderd te zijn dan verwacht. “Dat was echt een positieve verrassing. Hier kwam namelijk uit dat bijna alle medewerkers onderwerpen als security en privacy heel belangrijk vonden, maar nog niet echt voor ogen hadden hoe zij dit dan konden toepassen in hun gedrag.” Dat is uiteraard al een gunstige uitgangspositie. “Ook liet de presentatie het traject naar bewustzijn echt leven. Awareways maakt een bijzonder interessante koppeling met gedragspsychologie.”

Op het moment van de nulmeting had ORTEC zich nog niet specifiek gebogen over beleid op het gebied van security en privacy. “Beleid is iets dat veel mensen saai vinden, maar gek genoeg werd duidelijk dat er juist heel veel behoefte aan was. We zijn dan ook direct aan de slag gegaan met het opstellen hiervan, zodat dit bij de eerste awareness training (Level Brons, RvdS) meteen meegenomen kon worden.” Om medewerkers te enthousiasmeren is er samen aan een passende communicatiecampagne gewerkt. Awareways had hiervoor een treffend voorstel met een motto, posters en banners. Dit voorstel hebben we samen afgestemd op ons budget en de organisatiecultuur.” Als onderdeel hiervan werd de directie omgedoopt tot ‘het grote voorbeeld’. “Zodra de eerste security awareness training live was, hebben alle directieleden hier het voortouw in genomen. Dit zorgde ervoor dat de medewerkers snel volgden.”

Al snel zijn de onderwerpen gaan leven binnen de cultuur van ORTEC. Niet alleen in cijfers werd zichtbaar dat er meer bewustzijn werd gecreëerd. ORTEC had zelf al een experiment gedaan met phishing, maar wilde dit toch liever outsourcen. “Met de phishing simulaties van Awareways hebben we natuurlijk kunnen zien dat het aantal ‘klikkers’ van 8% naar 4% terugliep. Ook is het aantal incidentmeldingen sterk toegenomen. Daar zijn we heel trots op, maar we hebben het ook teruggezien in het gedrag van mensen. Medewerkers maakten printjes van hun behaalde certificaat en verzonnen allerlei grappen om elkaar op zaken te attenderen.” Dat de manier waarop de trainingen werden aangeboden tot succes heeft geleid tot succes, is duidelijk. “Veel medewerkers werden erg enthousiast van de manier waarop de training werd aangeboden, met name door de gamification elementen.”

Hoewel het startniveau beduidend hoger lag dan ORTEC had verwacht, gaat het implementeren van nieuw beleid natuurlijk niet over één nacht ijs. “Met behulp van de Awareways projectmanager hebben wij het proces stapsgewijs kunnen doorlopen. We hebben deze begeleiding als heel prettig ervaren, er was elke keer opnieuw ruimte voor een volgende stap en afstemming op de situatie.” Dit geldt overigens ook voor de trainingscontent. “Het was erg handig dat Awareways met een serie vragen als leidraad aankwam en we deze vervolgens samen op maat konden maken. Dit was soms een uitdaging, omdat we vestigingen en medewerkers over heel de wereld hebben en er dus binnen ORTEC ook veel verschillende culturen bestaan.”

Op het moment dat we Jet Woudstra spreken, zijn de eerste drie levels al geschied. “We zijn nu toe aan het vierde level, diamant.” Tot nu toe is er al echt sprake van een zichtbare verandering. “Het is goed om te kunnen vaststellen dat er meer incidenten worden gemeld en er meer wordt gerapporteerd, maar we zien vooral dat medewerkers het echt een plek in onze werkcultuur geven.”