Cyberbewustzijn bij werknemers verhogen: zo pakt u dat aan

Het bewustzijn van cybersecurityproblemen onder werknemers is in veel organisaties laag. Dat is gevaarlijk, omdat hun gedrag vaak bepaalt of een cyberaanval succesvol is. Of dat het al in een vroeg stadium lukt om de aanval af te slaan, zodat de organisatie daar de gevolgen niet van ondervindt. Het is belangrijk dat werknemers zich bewust zijn van risico’s zoals:

• Phishing
• Malware
• Ransomware
• Hacking

Cybercriminelen proberen systemen binnen te dringen, toegang tot data te krijgen of mee te kijken bij specifieke beslissingen. De specifieke risico’s verschillen per branche en per bedrijf. De oplossing is in veel gevallen vergelijkbaar: meer cyberbewustzijn houdt cybercriminelen veel beter buiten de deur. 

Werknemers die zich beter bewust zijn van de cyberrisico’s herkennen eventuele openstaande deuren, cybercriminelen die proberen binnen te dringen en andere situaties die potentieel gevaarlijk zijn. Met voldoende bewustzijn voor de digitale risico’s is eigenlijk iedere werknemer een extra laag aan beveiliging voor de organisatie. 

Deze vijf manieren beschrijven mogelijkheden om het bewustzijn onder werknemers stapsgewijs te verhogen:

Begin met een meetmoment van de awareness onder het personeel. Het is een nulmeting, om vast te stellen waar je als organisatie op dit moment staat. Stuur bijvoorbeeld een test-e-mail aan alle werknemers. Gebruik een phishing-mail of een andere e-mail die vraagt om informatie die werknemers niet zouden mogen delen. Of meer algemeen, waarbij de alarmbellen zouden moeten gaan rinkelen.Meet vervolgens hoeveel werknemers inderdaad merken dat er iets niet klopt. En hoeveel werknemers er niets mee doen, en er juist wel op klikken of in meegaan. Let op: houd alleen algemene statistieken bij. Het is niet de bedoeling om specifieke werknemers aan te spreken op hun ‘verkeerde’ handelen. In plaats daarvan gaat het om het algemene huidige beeld van het cyberbewustzijn. 

Tip: herhaal de meting tijdens het proces, bijvoorbeeld door iedere drie tot zes maanden te meten hoe het staat met het cyberbewustzijn van werknemers. 

Deel de inzichten in de actuele awareness en in de vooruitgang met zoveel mogelijk werknemers. Bespreek bijvoorbeeld de resultaten van de nulmeting, door aan te geven waar de risico’s zitten en waar het bewustzijn misschien al groter is. Het vergroot de betrokkenheid van werknemers. Ga tegelijkertijd in gesprek met werknemers, door ze te vragen naar waar zij wellicht vragen over hebben. Of waar ze behoefte aan hebben, om vast te stellen hoe ze zich graag bewuster zouden maken van de risico’s die er op dit moment zijn. Door de interactie aan te gaan neemt de betrokkenheid verder toe, dus is de kans groter dat de rest van de maatregelen meer effect heeft.Let op: houd er rekening mee dat werknemers die zich niet bewust zijn van de risico’s niet goed weten waar ze om moeten vragen of welke voorkeur ze zouden moeten hebben. Bij grote onbekendheid is het soms beter om (bovenop de voorkeuren) algemene trainingen en testen te organiseren. 

Tip: wijs op specifieke risico’s die de organisatie loopt of deel informatie tijdens een lezing of training. Wijs op die manier op de gevaren van bijvoorbeeld phishing, malware, ransomware en hacking.

Een praktische aanpak is bijvoorbeeld de phishing-simulatietest. Het is een e-mail waarbij je test of de eerder gedeelde informatie over phishing, malware, ransomware en hacking inderdaad goed is doorgedrongen.

De test is eenvoudig. Vraag de IT-afdeling om een e-mail te ontwerpen zoals een cybercrimineel dat zou doen, om met phishing data te verzamelen. Stuur bijvoorbeeld een e-mail over een aanstaand groot evenement, waarvoor werknemers kaarten kunnen winnen. Als personeel van de organisatie zijn zij speciaal geselecteerd voor de beste tickets. Een klik op de button is voldoende om kans te maken.

Houd vervolgens bij wie er inderdaad op de button klikt. En wie er niets doet of zelfs meldt dat er mogelijk iets niet in de haak is. Deel de resultaten met de IT- en/of security-afdeling. Breng op die manier in kaart of de risico’s zijn afgenomen na de nulmeting aan het begin van het proces.

Organiseer vervolgens een cyber-awareness-training. Kies voor een combinatie van theorie over de risico’s, praktische tips om daarmee om te gaan en voorbeelden van situaties die zich kunnen voordoen.

De phishing-simulatietest en de resultaten daarvan kunnen een mooie case vormen om te delen. Het is opnieuw niet de bedoeling om individuele werknemers aan de schandpaal te nagelen. Deel alleen algemene statistieken, die laten zien hoe jullie hier als organisatie op dit moment mee omgaan.

Wijs op de gevaren die bijvoorbeeld een e-mail kunnen bevatten en deel ook voorbeelden van de andere vormen van cybercrime. Op die manier neemt het bewustzijn van cyberrisico’s toe, om daar in het vervolg scherper op te zijn.

Vergeet ten slotte ook de vooruitgang niet te vieren als het cyberbewustzijn toeneemt. Het is belangrijk om werknemers te motiveren om hier alert op te blijven en bijvoorbeeld actief te waarschuwen als ze iets opvallends zijn.

Dat lukt alleen als de motivatie hoog is om hierop te letten en daar informatie over te delen. Blijf bijvoorbeeld awarenessmetingen doen, en vier het op het moment dat jullie als team of als volledige organisatie vooruitgaan. Dat helpt om de volgende stap te zetten, vanuit de motivatie om de menselijke cyberbeveiliging zo sterk mogelijk te maken.