In veel organisaties is training een terugkerend item, soms een lust en soms een last. Denk aan een set standaard trainingen voor een specifieke functie of een compleet opleidingsplan dat wordt aangeboden aan (nieuwe) medewerkers.
Er zijn ook organisaties waar het onderwerp training een stuk vrijer is vormgegeven. Denk aan een online omgeving met keuze uit de meest uiteenlopende onderwerpen; van excel tot mindfulness en van een introductie communicatietraining tot exotische programmeertalen. In beide scenario’s is er echter een onderwerp dat vaak tussen wal en schip valt, cybersecurity awareness.
Binden en boeien
Binnen het HR-trainingsprogramma wordt cybersecurity vaak onderbelicht of zelfs gemist. Trainingen die bijvoorbeeld zijn gericht op een cleandesk-policy worden vaak nog geschaard onder algemene bedrijfsregels. Cybersecurity en awareness worden al snel gezien als een IT-feestje, waardoor dit soort trainingen tussen wal en schip vallen.
Een gemiste kans, want cybersecurity is allerminst alleen een IT-feestje, cybersecurity gaat om techniek, processen en mensen/ menselijk gedrag. Dat laatste, menselijk gedrag, is met name een gebied waar HR sterk is en waar tegelijkertijd het startpunt van veel cybersecurity-incidenten ligt. Denk bijvoorbeeld aan een medewerker die op een phishinglink klikt of vertrouwelijke data per ongeluk met derden deelt.
Wil je als organisatie, of HR-afdeling, gaan beginnen met het opzetten van een awareness programma rondom cybersecurity, dan zal het je wellicht verbazen wat er allemaal mogelijk is. De keuze is al lang niet meer beperkt tot standaard e-learning modules. Tegenwoordig variëren de mogelijkheden van e-learning modules à la Netflix tot real live trainingen, simulaties en gaming. Om keuzestress te voorkomen geef ik je hierbij een aantal punten om in je achterhoofd te houden.
We zijn allemaal gelijk, maar toch net anders
Awarenesstrainingen zijn al lang het niveau voorbij van standaard e-learning modules die gelijk zijn voor alle medewerkers, met standaardvragen die standaard elk half jaar wordt herhaald. Zo’n training is uiteraard niet erg inspirerend of leerzaam.
Inspireren of uitdagen?
Gelukkig zijn die standaard e-learning trainingen al lang en breed geschiedenis. Awareness opbouwen kan namelijk ook door medewerkers te boeien en te inspireren of zelfs uit te dagen. Hoe je dat doet? Door je mensen als individu te zien en ze de informatie die je wilt overdragen op maat aan te bieden. De inhoud is gelijk, maar de vorm verschilt.
Houd rekening met het type functie
Daarnaast is het goed om rekening te houden met de functie van de medewerker. Een baliemedewerker heeft andere aandachtspunten om rekening mee te houden dan iemand op de financiële administratie, in de productie of in een buitendienstfunctie.
Toch hebben ze allemaal in meer of mindere mate toegang tot het bedrijfsnetwerk en bedrijfsgegevens, waardoor je ze allemaal wel een basisniveau wilt meegeven, maar de accenten anders komen te liggen. Daarnaast is het ook prettig als medewerkers kunnen leren in hun eigen taal. Omdat het onderwerp voor veel mensen toch een soort ‘ver van mijn bed’-show is, werp je een extra drempel op als je de trainingen aanbiedt in een vreemde taal, inclusief Engels!
Kennen en kunnen
Niet elk mens is gelijk, dat geldt ook voor de manier waarop wordt geleerd. Door hier bewust op in te spelen wordt leren geen moetje, maar een leuke afwisseling tijdens een drukke werkweek. Met dit in het achterhoofd is het dan ook niet zo vreemd dat, als je het cyberbewustzijn van mensen wilt vergroten, je de content op diverse manieren zal moeten aanbieden. Zodat de manier past bij de manier waarop de medewerker informatie opneemt. Dat kan dus zijn via e-learning, maar ook via animaties of Netflix-achtige films.
Door de inhoud achteraf te toetsen, zie je hoe de content is opgenomen en of mensen de training met positief resultaat hebben afgerond of niet. Dat kan met een eindtoets, maar bijvoorbeeld ook door een simulatie.
Toetsen van het geleerde
Een eenvoudig praktijkvoorbeeld. Een organisatie heeft 500 medewerkers die regelmatig te maken krijgen met phishingmails. Door hen te trainen op het herkennen van dit soort berichten maak je de kans dat ze op een link klikken of een bijlage openen kleiner. De eindtoets wordt afgerond en het gros van de medewerkers slaagt.
Door een maand na de training een phishingsimulatie te initiëren, zie je of medewerkers de kennis niet alleen tot zich hebben genomen, maar ook daadwerkelijk beheersen. Daarnaast kan, voor medewerkers die regelmatig een extra training op het gebied van phishingmails herkennen krijgen en in simulaties toch telkens weer klikken, aanvullende actie worden ondernomen.
Je wilt uiteraard voorkomen dat medewerkers afknappen op telkens weer dezelfde training en dezelfde informatie of simulatie. Door medewerkers adaptief te laten leren voorkom je dat ze telkens weer dezelfde vragen krijgen voorgeschoteld.
Cybercriminelen zijn zeer inventief als het gaat om nieuwe methodes, waardoor er telkens weer nieuwe onderwerpen zijn om je medewerkers bewust van te maken. Daarna kan je ze uiteraard met simulaties of games op een andere, meer interactieve manier, trainen en ze bewust maken van de consequenties van hun gedrag.
Door leren leuk te maken nemen medewerkers de leerstof beter op en maken ze die sneller eigen, met als bijkomend voordeel voor de organisatie dat je het risico op een cyberincident verkleint.
Lees ook:
- Phishing en de kunst van het verleiden
- Cybersecurityspecialist Tesorion neemt branchegenoot Kahuna over
