De mens is nog steeds een zwakke schakel bij het streven naar cyberveiligheid. Ondanks trainingen en alle media-aandacht voor cyberincidenten, blijft personeel vaak slordig. Organisaties moeten meer doen om cyberveilig gedrag te stimuleren. Dit kan door security-awareness mee te nemen in hr-processen zoals recruitment en evaluatiegesprekken.
Veel cyberincidenten zijn het gevolg van menselijke fouten, zoals een werknemer die in een phishingmail trapt. Dit geldt bijvoorbeeld ook voor de recente cyberaanval op Uber, waarbij een hacker toegang kreeg tot verschillende interne systemen. De hacker zou zich hebben voorgedaan als een IT-expert van het bedrijf. Zo wist hij een medewerker te overtuigen om inloggegevens af te staan.
Security-awarenesstrainingen zijn een middel om dit soort fouten te voorkomen. Vrijwel alle Nederlandse organisaties bieden al een vorm van security-awarenesstraining aan, zo blijkt uit onderzoek van Mimecast. De meeste organisaties doen dit elke maand (46%) of elk kwartaal (35%). Vooral groepstrainingen met het eigen IT- of securityteam zijn populair.
Trainingen te vrijblijvend
Om het maximale uit een security-awarenessprogramma te halen, moeten de trainingen verankerd zijn in de gehele organisatie. Nu zijn security-awarenesstrainingen vaak te vrijblijvend. Vanuit het perspectief van de werknemer is niet altijd duidelijk waarom cyberveiligheid zo belangrijk is.
Goede communicatie is nodig opdat medewerkers weten waarom ze niet op een link moeten klikken. Ook moeten ze zich veilig en zelfverzekerd genoeg voelen om verdachte e-mails en gemaakte fouten te melden. Om dat te bereiken is het cruciaal security-awarenesstrainingen te integreren in het personeelsbeleid. Dat kan op een aantal manieren.
Beloon cyberveilig gedrag
Wees voorzichtig met straffen, maar beloon werknemers vooral als zij goed presteren op het gebied van security-awareness. Dat biedt een beter resultaat. Zo zou je incentives kunnen uitdelen voor het regelmatig melden van verdachte e-mails bij de IT-afdeling. Of voor enthousiaste deelname aan een trainingsprogramma. Maak cyberveilig gedrag bovendien een vast onderdeel van evaluatie- en beoordelingsgesprekken.
Moedig werknemers aan om fouten te melden
Zelfs een goed getrainde werknemer kan per ongeluk op een malafide link klikken. Hoe eerder de IT-afdeling hiervan op de hoogte is, hoe groter de kans dat de schade kan worden beperkt. Bouw daarom aan een open organisatiecultuur waarin mensen niet bang zijn om fouten te melden, maar daarvoor zelfs bedankt worden.
Neem huidig personeel mee
Meer dan ooit is cyberveiligheid te beschouwen als teamwerk. Nieuwe werknemers kun je vanaf het begin laten deelnemen aan het trainingsprogramma, maar het is ook zaak om je huidige personeel mee te krijgen. Leg uit dat de organisatie kwetsbaar is en dat je iedereen nodig hebt om cyberincidenten te voorkomen.
