Om de digitale veiligheid te verhogen, investeren organisaties vaak fors in technologische voorzieningen als firewalls en antivirusoplossingen. Hoe noodzakelijk ook, dat is hooguit een goed begin. Want het integreren van digitale veiligheid in bedrijfsprocessen is net zo goed van belang, al was het alleen maar om een digitaal veilige werkwijze te borgen. Tegelijk heb je niet genoeg aan techniek en beleid om je doel te bereiken. Het creëren van ‘cybersecurity awareness’ bij medewerkers is de derde en onmisbare component. Als de mensen in jouw organisatie zich niet bewust zijn van de cyberrisico’s en de manier waarop ze omgaan met cybersecurity, kun je de duurste firewall aanschaffen en toch getroffen worden door een cyberaanval.
Digitale veiligheid is dus een optelsom van IT, werkwijze en menselijk gedrag. Wanneer een organisatie slachtoffer wordt van cybercriminaliteit, ligt dat zelden aan de technologische producten en diensten die dat tegen moeten gaan. Natuurlijk moet je er wel voor zorgen dat alles up-to-date werkt. Uit onderzoek blijkt echter dat meer dan 70% van alle datalekken wordt veroorzaakt door IT-gebruikers. Een geweldig hoog percentage dat direct aangeeft waar de zwakke schakel in de digitale beveiligingsketting zit. Dat maakt ook meteen duidelijk hoe belangrijk cybersecuritybewustzijn is en op welk gebied je (dus) veel winst kunt behalen. Door cybersecurity awareness in jouw organisatie te verhogen, bewerkstellig je een verandering in het gedrag van jouw medewerkers waardoor de digitale veiligheid in jouw organisatie met sprongen omhooggaat.
Beleid
Voordat je aan de slag gaat met het verhogen van de cybersecurity awareness in jouw organisatie, moet je beseffen dat digitale veiligheid geen ‘feestje van IT’ is. Het is echt noodzakelijk om cybersecuritydoelstellingen te vertalen naar cybersecuritybeleid dat door de directie wordt vastgesteld en door de gehele organisatie wordt gedragen. Helder beleid maakt het bovendien eenvoudiger om nieuwe medewerkers tijdens het onboarding traject duidelijk te maken welk belang jouw organisatie aan digitale veiligheid hecht. De HR-afdeling zal in het inwerkprogramma dus tijd moeten inruimen voor cybersecurity awareness. Daardoor wordt het ook voor de volledige organisatie steeds duidelijker dat digitale veiligheid (en weerbaarheid) geen exclusieve IT-aangelegenheid is, maar iedereen aangaat en dat elke medewerker daar zijn of haar steentje aan kan – en zelfs móet – bijdragen. HR kan dat proces uitstekend borgen in de organisatie.
Plan van aanpak
Ook al werken jouw medewerkers in een veilige IT-omgeving, het blijven mensen. Wanneer ze niet weten welke cybergevaren er zijn, kun je dus ook niet van ze verlangen dat ze alert op bedreigingen reageren. Dan maken ze fouten uit onwetendheid. Daarbij komt ook nog eens dat cybersecurity voor veel mensen een ver-van-mijn-bed-show is. Het wordt zelden in verband gebracht met iets waar ze zelf iets aan kunnen doen. Toch is dat wel degelijk het geval. Op het niveau van IT-gebruikers kun je als directie en management een paar eenvoudige stappen zetten om de cybersecurity awareness in jouw organisatie te verhogen. Met een gedegen programma is dat niet eens zo ingewikkeld. In het kort komt het plan van aanpak neer op testen, blijven testen, kennis aanbieden en ‘het leuk houden’.
Uit de praktijk
Bij onze klant Schouten Zekerheid staat cybersecurity awareness intussen hoog op de agenda. Nadat de IT-afdeling als test een eigen phishing mail naar alle medewerkers had verstuurd, bleek dat de uitkomst veel te wensen overliet. De directie was er meteen van overtuigd dat maatregelen dringend nodig waren. Die werden dan ook snel genomen. “Wat begon als een project, is inmiddels uitgegroeid tot een bedrijfsproces”, vertelt Erik Lameijer, Teamleider Automatisering bij het Rotterdamse verzekeringskantoor, in de derde aflevering van onze podcastserie over cybersecurity ‘Hack van de Dam’. “Daarin hebben we phishingtesten, e-learning en gamification geïntegreerd.”
Gebruikersvriendelijk
Wanneer je een nepmail zelf verstuurt, kun je meten hoeveel medewerkers in jouw organisatie zich laten verleiden om op de ingevoegde link te klikken en welke onderwerpen daarbij populair zijn. Op een e-learning platform kun je korte video’s plaatsen waarin één aspect van cybersecurity wordt behandeld. Denk aan het maken van sterke wachtwoorden, veilige opslag (en veilig delen) van gegevens of een betrouwbare internetverbinding. Zo zijn er veel meer securitythema’s die je op een gebruikersvriendelijke manier tot leven kunt laten komen. En je kunt spelelementen aan het proces toevoegen, zoals een cybersecurity quiz waarin verschillende vragen over digitale gevaren worden gesteld.
Vaste plek
“Door de spelvorm wordt het geen zwaar onderwerp, maar eerder iets om samen te doen”, heeft Erik Lameijer bij Schouten Zekerheid gemerkt. “Ook nog eens goed voor de teamgeest. Maar wat vooral mooi is om te merken, is dat het proces weliswaar door de IT-afdeling in gang is gezet, maar daarna door HR is opgepakt en nu een vaste plek onze organisatie heeft gekregen. Dat is misschien nog wel de grootste winst. Cybersecurity leeft nu bij iedereen.”
Bij Schouten Zekerheid hebben ze hun digitale veiligheidszaken dus goed op orde. Wil jij dat ook in jouw organisatie? Neem dan gerust contact met me op. Ik help je graag om de cybersecurity awareness in jouw organisatie te verhogen.
Download ons redpaper
‘Zo’n hack; dat zal mij toch niet gebeuren?’
en geef concreet vorm en inhoud aan cybersecurity in jouw organisatie
