Om maar met de deur in huis te vallen: wist jij al dat 66% van de cyberaanvallen wordt veroorzaakt door medewerkers? In de keten mens, techniek en organisatie blijkt de mens keer op keer de cruciale schakel. Uit eigen onderzoek en ervaring blijkt dat maar liefst 70% van de medewerkers per e-mail of telefoon een wachtwoord aan een onbekende ‘collega’ geeft en 95% geen aandacht schenkt aan een onbekende zonder bezoekerspas. Ook logt ruim 30% regelmatig met een zakelijk device in op een onbeveiligd publiek WiFi-netwerk en (her)gebruikt men wachtwoorden die in 40% van de gevallen binnen 24 uur te kraken zijn.
Waarom je je niet moet blindstaren op awareness
Op dit moment zetten veel organisaties dus vol in op het verhogen van bewustwording bij medewerkers. Maar in veel gevallen is een awarenesstraining niet de enige en soms zelfs niet de juiste methode. Veel van deze trainingen zijn namelijk alleen gericht op het zenden van kennis. Maar ook als je medewerkers die kennis hebben, is het lang niet zeker dat zij zich ook veiliger gaan gedragen. Wat houdt ze tegen? En wat helpt wél?
- In veel gevallen blijkt dat niet voldoende specifiek omschreven is wat er onder cyberveilig gedrag wordt verstaan. Mensen weten simpelweg niet wat er van ze verwacht wordt als het gaat om wachtwoorden, het vergrendelen van de werkplek, clean desk policy en het omgaan met phishing mails. In de praktijk zien we dat het cyberveilig gedrag toeneemt als medewerkers concreet weten wat er van ze verwacht wordt.
- Het ontbreekt mensen regelmatig aan gelegenheid om cyberveilig gedrag te vertonen, bijvoorbeeld omdat er op de werkplek geen afsluitbare kasten, shredders of afgesloten papierbakken aanwezig zijn. Of omdat ze een pashouder hebben waar de pas steeds uitvalt, zodat ze die niet goed zichtbaar kunnen dragen. Dit soort gevallen vraagt niet om een awareness-gerichte oplossing, maar om andere (organisatorische) maatregelen.
- Daarnaast schatten veel mensen de kans dat zich daadwerkelijk een incident voordoet te laag in, of onderschatten zij de impact van een mogelijk incident. Dit maakt dat zij onvoldoende gemotiveerd zijn om het gewenste gedrag te vertonen en dus risico’s nemen. Dan is het effectief om hen (bijvoorbeeld met een inlooptest of een nep-phishingmail) niet alleen te laten zien hoe eenvoudig het is om in het kantoor of de systemen binnen te dringen, maar ook hoever je daarbij kunt komen.
- Tot slot zien we vaak dat mensen het moeilijk vinden om zich veilig te gedragen, zeker in relatie tot onbekenden. Zij zijn liever vriendelijk en behulpzaam, bijvoorbeeld door iemand binnen te laten of niet aan te spreken op het ontbreken van een pas, dan dat zij iemand uit veiligheidsoverwegingen tegenhouden. Dat wordt gezien als onvriendelijk en onbeleefd. Maar als je ze de juiste handvatten meegeeft om het gewenste veilige gedrag te vertonen zonder dat ze zich onbeleefd voelen, kan dat veel verschil maken.
Conclusie
Meer awareness zou nooit het einddoel moeten zijn, cyberveilig gedrag wél. Denk dus ook eens aan andere maatregelen en interventies!
