Succesfactoren
Succesfactoren van een succesvol Security Awareness
Succesfactoren
Betrokkenheid en sponsorship van de directie is cruciaal bij het uitvoeren van een Security Awareness programma. Niet alleen kan de directie zorgen voor de juiste middelen, ook kunnen ze een voorbeeldfunctie vervullen voor de hele organisatie. Vraag bijvoorbeeld of de CxO een keer een korte anekdote kan vertellen of presentatie kan geven over ISA, gericht op zijn of haar eigen ervaring.
Tip: onderzoek hoeveel inlogpogingen of malafide emails worden verstuurd naar zijn/haar account. Dit maakt de dreiging veel tastbaarder.
Security Awareness is geen one-sitze-fits-all aanpak waarbij generieke trainingen en campagnes effectief bijdragen aan het verlagen van menselijk risico. Zorg ervoor dat het programma is aangepast aan jouw organisatiecontext en -risico’s. Neem voorbeelden uit de industrie en vertaal deze naar de behoeften van de organisatie
Het aanpassen van het Security Awareness programma is een tijdrovend proces, maar toch zul je het programma af moeten stemmen op nieuwe wet- en regelgeving, nieuwe technologieën en veranderede markten. Door de inhoud van het programma relevant te houden is de kans groter dat medewerkers de materie snappen en zich gaan gedragen binnen de gestelde kaders. Meet en evalueer daarom altijd de effectiviteit van je programma, en experimenteer met nieuwe technieken.
Het (uitvoeren van het) Security Awareness programma mag niet tot onnodige storingen in het operationele proces zorgen. Doet dat het wel, dan raken mensen gefrustreerd en krijgen ze een afkeer tegen dit soort trainingen. Biedt verschillende trainingen aan op verschillende momenten en locaties. Geef mensen de ruimte om te kiezen hoe en waar ze deelnemen, dit geeft ze meer eigenaarschap over hun agenda. Denk daarnaast aan de gebruikerservaring bij het implementeren van beveiligingsmaatregelen. Hoe beter die ervaring is, hoe groter de kans dat medewerkers niet op zoek gaan naar manieren om de maatregel te omzeilen.
Niet alle medewerkers hebben dezelfde risico’s, kennis en vaardigheden, of spreken dezelfde taal binnen een organisatie. Zo zijn er bijvoorbeeld high risk users: medewerkers met toegang tot gevoelige informatie, zoals HR, IT en Finance, die extra aandacht nodig hebben op het gebied van informatiebeveiliging
Aan de andere kant zijn er ook gebruikers, zoals oudere werknemers, die minder IT-technisch zijn en daarom behoefte hebben aan eenvoudige en begrijpelijke instructies.
Door rekening te houden met de verschillende doelgroepen kan het ISA-programma beter aansluiten bij de behoeften van de gebruikers en word de kans vergroot dat zij de instructies begrijpen en opvolgen. Dit kan leiden tot een hogere naleving van de beveiligingsmaatregelen en daarmee tot een vermindering van het aantal incidenten.
Tip: Met de snelle opkomst van AI en cloud, wordt het steeds eenvoudiger om zelfgemaakt materiaal te vertalen en aan te passen aan de doelgroep.
Het is belangrijk om medewerkers te belonen als onderdeel van een succesvol Security Awareness-programma. Medewerkers die verdachte e-mails rapporteren of andere veiligheidsincidenten melden, moeten worden beloond met positieve feedback en erkenning. Dit kan bijvoorbeeld in de vorm van een persoonlijk bedankje of vermelding op een wall of fame. Erkenning versterkt niet alleen het gevoel van betrokkenheid bij de organisatie, maar ook de motivatie om veiligheidsincidenten te blijven melden. Het vieren van successen draagt daarnaast bij aan een positieve bedrijfscultuur waar aandacht is voor beveiliging en die kan bijdragen aan het creëren van een gevoel van gemeenschap en teamwork binnen de organisatie.
Tip: Straf de mensen niet die op phishing mails klikt, maar beloon de medewerkers die het niet doen en deze melden. Positive reinforcement is van cruciaal belang om de veiligheidscultuur in stand te houden
Met het toenemende bewijs voor de lage effectiviteit van phishing simulaties is het wellicht beter om je middelen aan andere vormen van Security Awareness te spenderen. Phishing simulaties dragen namelijk niet meetbaar bij aan de verlaging van het menselijk risico, en kunnen zelfs averechts werken doordat mensen
Tip: wil je toch graag phishing simulaties blijven uitvoeren, maak de mails dan zo laagdrempelig mogelijk. Hoe meer mensen doorhebben dat het om een (nep) phishing mail gaat, hoe groter de kans dat ze het gaan melden en begrijpen dat ze in staat zijn om phishing te herkennen. Te moeilijk herkenbare phishing e-mails dragen niet bij aan verbeteren van de bewustwording.
Wil je ook aan de slag om de Security Awareness te verhogen in jouw organisatie? Of wil je samen met onze experts eens kijken welke veranderingen en verbeteringen er aangebracht kunnen worden in jouw security? Vul dan onderstaand formulier in en wij nemen z.s.m. contact met je op.
Meer over security