Security Awareness e-learnings en Phishing simulaties werken niet en stompen gebruikers alleen maar af waardoor het risico mogelijk juist vergroot wordt met de inzet van deze tools.

Met enige regelmaat zien we dit soort berichten voorbijkomen op LinkedIn. En alhoewel ik het hier niet volledig mee eens ben zit er wel een kern van waarheid in, maar dit is eigenlijk van toepassing op alle tools in alle werkvelden. Namelijk, het proces waarbij we simpelweg een kant en klare tool tegen ieder probleem aan gooien is maar zelden de werkelijke oplossing.

Het fundamentele probleem

In veel organisaties worden informatiebeveiliging, risicomanagement en continuïteitsmanagement nog steeds gezien als een noodzakelijk kwaad. En dan zijn zaken als Security Awareness geen punten die hoog op de agenda verschijnen.

Regelmatig worden organisaties geconfronteerd met vereisten vanuit accountants, verzekeraars of overheden, die bijvoorbeeld een security awareness-programma verplicht stellen. In kleinere bedrijven belandt deze taak vaak bij iemand die het ‘erbij doet’, terwijl in grotere organisaties het mandaat om echt impact te maken nog weleens ontbreekt. Als gevolg daarvan wordt vaak gekozen voor een kant-en-klare oplossing met een aantrekkelijk marketingverhaal, ondersteund door een boodschap vanuit de directie dat het belangrijk is en dat iedereen ermee aan de slag moet.

Ironisch genoeg is het vaak diezelfde directie die de training zelf nooit volgt. De aankondiging wordt uitbesteed aan de marketing afdeling of meerdere keren uitgesteld, omdat er voor de directie altijd urgentere zaken lijken te zijn. Iedereen weet dit eigenlijk ook wel. En laten we eerlijk zijn: de meeste content in standaard security awareness-tools is zelden echt inspirerend, en nodigt dus ook niet echt uit tot urgentie of enthousiasme.

Dit proces negeert het cruciale feit dat iets alleen werkt als het echt bij de organisatie past, iedereen meedoet en het daadwerkelijk bijdraagt aan de bedrijfsvoering of helpt bij het veilig houden van de organisatie. Bovendien is het essentieel dat de taak wordt toegewezen aan iemand die er daadwerkelijk verstand van heeft en gepassioneerd is.

Net als bij elk standaardpakket geldt dat security en awareness producten alleen echt effectief zijn als ze worden gebruikt zoals bedoeld door de makers. Vaak wringt dit, omdat we niet de tijd nemen om zaken goed te implementeren of afwijken van de beoogde werkwijze. Dit leidt tot halve implementaties, niet behaalde doelen en gefrustreerde eindgebruikers die doelloos door een gestandaardiseerde training heen klikken.

Terug naar Security Awareness

Het voorgaande kan je plotten op zo’n beetje ieder proces in de organisatie, tot en met het kopen van toiletpapier toe. Oud papier is misschien goedkoper dan rollen toiletpapier, maar de beleving laat toch wat te wensen over. Laten we even in het midden laten hoe mensen om je proces heen gaan werken in dit geval.

Laten we eerst kijken naar wat nu precies het doel is van het invullen van het Security Awareness proces. Als je nu nog steeds denkt dat de enige reden om hier wat mee te doen de vraag van de verzekeraar of accountant is ben je niet meer te redden denk ik.

We begeven ons iedere dag in het digitale domein, en hoe graag we zouden zien dat het internet een grote verzameling van positieve constructieve mensen met de juiste bedoelingen is moeten we toch echt in gaan zien dat het internet niet echt veel veiliger is dan een donker steegje in de nacht in een slechte buurt.

Nou is dat langzaamaan wel algemeen bekend aan het raken, maar wat heeft dat dan voor een gevolgen voor ons? En wat betekend dat voor jouw dagelijkse werkzaamheden?

Uiteindelijk valt dat uiteen in twee trajecten die wat mij betreft altijd ingevuld zouden moeten worden:

Dreigingen, waar hebben we het dan over?

Dit is het deel dat je algemeen kan maken, je kan dit invullen met sprekers uit het werkveld, of in communicatie gericht op je hele organisatie. De kern van dit onderdeel is dat je mensen bekend maakt met de dreigingen en de gevolgen. Wat is identiteitsfraude nou echt? Wat zijn de gevolgen en wat zijn de algemene kenmerken. Hoe komen criminelen aan jouw gegevens, en wat kunnen ze daar dan mee? Of wat zijn methodes waarop aanvallers toegang kunnen krijgen tot jullie bedrijfsdata? Maar ook, wat zijn nou de gevolgen van ransomware voor een organisatie? Ook hier is ruimte voor ervaringsdeskundigen om de impact duidelijk te maken. Het doel is het zichtbaar maken van waar we ons tegen moeten verdedigen en een gevoel van betrokkenheid en urgentie in dit proces creëren.

Je kan hier tot op zekere hoogte wel af met e-learnings, maar ik zou als je deze route bewandeld altijd kiezen voor een combinatie met live sessies. En als je dan moet kiezen heeft het sterk mijn voorkeur om voor live sessies te gaan en de interactie op te zoeken om de inhoud echt te laten landen. Er zijn altijd wel mogelijkheden om deze sessies onder te brengen in andere bijeenkomsten, het hoeven dan ook geen uren durende indoctrinatiesessies te zijn.

Wat is jouw (de medewerker) rol in dit proces?

Hier wijken we af van de standaard aanpak die we nu veel zien. Als je echt een gedragsverandering wil realiseren moet je mensen echt betrekken in het proces. En dat gaat gewoon niet lukken met gestandaardiseerde e-learning oplossingen die mensen hersenloos door kunnen klikken.

Hier is simpelweg meer afstemming en dialoog nodig, en ik moet zeggen dat ik dit vaak zelf ook de leukste trajecten vind. Ga met een afdeling in gesprek, verdiep je in wat ze dagdagelijks aan het doen zijn en zoek naar waar voor hen de grootste risico’s zitten en neem ze daar in mee. Waar in je normale werkzaamheden moet je extra opletten en hoe kunnen ze dat het beste doen.

Hier komt dan ook nog een stukje tooling om de hoek kijken, want dit is ook echt de gelegenheid om mensen mee te nemen in de tooling die ze tot hun beschikking hebben. Hoe kan je mails controleren, wie kan je benaderen bij twijfel? Hoe deel je veilig data, enzovoorts.

Hier is de menselijke interactie cruciaal, bouw aan betrokkenheid en een gevoel van urgentie door ook echt een klein stukje ownership bij de gebruikers zelf te leggen. Dit hoeft helemaal niet vanuit angst, maar gewoon een gevoel van betrokkenheid bij het welzijn van je organisatie is al een flinke stap.

Hoe pak je dit aan

Als je voor een dergelijke aanpak moet strijden met een simpele e-learning van 3 euro per medewerker waar je accountant en verzekeraar blij van worden is het lastig om dit uit te leggen. Maar daar zit weer het commitment waar we mee begonnen zijn, als je dit als organisatie alleen maar doet omdat het moet kan je het eigenlijk net zo goed niet doen, maar weet wel dat je dan vanzelf aan de beurt komt en het ook bij jou mis gaat.

Wat werkt dan wel? Trek het proces breder, stel echt iemand aan die hier affiniteit mee heeft, vaak gaat dit een profiel zijn die een goed gevoel heeft voor processen in een organisatie, dus als zo iemand dan toch al aan tafel gaat met je afdelingen, kijk dan ook meteen of overal optimaal gebruik gemaakt wordt van alle tools die iemand tot zijn of haar beschikking heeft. Luister naar de beleving op de werkvloer en zorg dat deze signalen op de juiste plek in de organisatie terecht komen.

Security awareness kost tijd, en capaciteit, maar kan zoveel meer betekenen dan enkel een vinkje op een lijst van een externe auditor. Zet het in om het gesprek met je medewerkers aan te gaan, maak het persoonlijk en toon betrokkenheid, en met die stappen kan je er voor zorgen dat je medewerkers, het team dat jouw bedrijf succesvol maakt zich ook verbonden voelen met het veilig houden van jouw organisatie.


Eén reactie op “Security Awareness e-learnings en Phishing simulaties werken niet”

  1. […] schreef ik over het belang en de positie van Security Awareness (zie mijn artikel). Een belangrijk aandachtspunt is dat we samen met de operationele afdelingen naar hun processen […]

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *