Zo stimuleer je het bewustzijn van je medewerkers
Uit alle onderzoeken blijkt dat medewerkers de zwakste schakel zijn in de informatiebeveiliging. Uiteraard zijn technische en organisatorische maatregelen belangrijk, maar zonder medewerkers die zich bewust zijn van de risico’s is er nog steeds een hoog risico op incidenten met alle vervelende consequenties van dien. Hoe stimuleer je dan het bewustzijn? Hoe meet ik of de inspanningen die ik doe succesvol zijn?
Een incident is zo ontstaan. Een medewerker hoeft maar op een verkeerde link in een e-mail of op een bijlage bij een e-mail te klikken of een besmette USB in zijn computer te sturen of er kan een virus (malware) zijn geïnstalleerd. Cybercriminelen kunnen door deze malware met je meekijken, toetsaanslagen volgen of andere gevoelige informatie verzamelen.
Een geüpdate virus- en malwarescanner kan dit grotendeels voorkomen, maar er verschijnen dagelijks nieuwe vormen van malware. Er is daarom meer nodig voor een veiliger bedrijfsvoering.
Bewustwording
Bewustwording is van essentieel belang zoals eerder opgemerkt. Technische en organisatorische maatregelen zoals bijvoorbeeld (antivirus-software, VPN, tweestapsverificatie) zijn onmisbaar, maar het grote verschil kun je maken met het verbeteren van de bewustwording.
‘Onder aan de streep zijn de maatregelen die je treft net zo sterk als de belangrijkste schakel in het beschermen van (persoons)gegevens: en dat is de medewerker’, aldus Rob de Leur, information security expert bij QVox.
Voorkomen is beter dan genezen
Volgens De Leur kunnen veel pogingen van cybercriminelen voorkomen worden als medewerkers weten welke risico’s er zijn. Helaas is er nog altijd te weinig bekendheid over risico’s, aldus De Leur.
‘Kijk maar eens in de praktijk. Hoe vaak negeer jij een update of stel je een back-up uit? Hoeveel tijd en aandacht besteed jij om een goed wachtwoord te bedenken (hierbij enkele tips) in plaats van een variant op het vorige?’ Om in de toekomst pogingen van cybercriminelen te voorkomen of in ieder geval de impact ervan te beperken is het cruciaal dat medewerkers bewust zijn van de risico’s.
De wereld om ons heen veranderd snel en cybercriminelen worden steeds slimmer, wat het belang van het continu aandacht vragen voor bewustwording onderstreept. Medewerkers moeten bewust worden én bewust blijven van hun aandeel in het beschermen van (persoons)gegevens.’. volgens De Leur.
Security awareness app
Aim2Secure heeft een laagdrempelige app ontwikkeld waarmee organisaties, gebaseerd op relevante thema’s en uitgerust met actuele vragen en prikkelende stellingen medewerkers bewust kunnen maken van de risico’s van informatie-uitwisseling. ‘Onze filosofie is dat een ieder binnen een organisatie verantwoordelijk is voor informatiebeveiliging. Van de receptioniste tot aan de directeur.’, aldus directeur van Aim2Secure. ‘De app wordt iedere dag aangevuld met nieuwe vragen, maar een organisatie kan ook haar eigen vragen (beleid) in de app opnemen. Zo kan een een organisatie aantoonbaar inzichtelijk maken wat ze doen om het bewustzijn te verbeteren, maar ook laten zien wat het effect van alle maatregelen is’.
Skills
‘Geef je leidinggevenden een makkelijk leesbare folder met standaard uitgangspunten van informatiebeveiliging. Zet informatiebeveiliging standaard op de agenda van het werkoverleg. Daag de afdeling marketing uit om leuke posters te maken over bepaalde thema’s gerelateerd aan informatiebeveiliging. Beschrijf wat je van iedere medewerker verwacht en bespreek dit met de medewerker tijdens het functioneringsgesprek. Vraag de security officer om een presentatie te komen geven van de incidenten van de afgelopen maanden. Zomaar een paar ideeën die in de praktijk heb gezien en die werken.’
Wedstrijdje
‘Voor veel medewerkers is tijd die nodig is in het up to date blijven van regels omtrent informatiebeveiliging een moetje waar je jezelf met tegenzin doorheen werkt. Door één maand per jaar te benoemen als ‘maand van de informatiebeveiliging’ en gedurende die maand op een ludieke wijze aandacht te vragen voor dit thema kun je een grote stap zetten. Verzin bijvoorbeeld een wedstrijdje door bijvoorbeeld selfiewedstrijd te organiseren om medewerkers te motiveren op een originele manier vast te leggen hoe ze met informatiebeveiliging omgaan, of gebruik je security awareness app om de resultaten te vergelijken en prijzen aan de winst per afdeling te koppelen. Wedstrijdjes wil je immers graag winnen!.'
Tips
Voor organisaties die echt aan de slag willen met bewustwording hieronder nog enkele tips van Rob de Leur:
Beloon risicobewust gedrag. Bijvoorbeeld met een handgeschreven kaartje of een certificaat dat medewerkers krijgen na het meedoen met de security awareness app.
Geef jouw security-ambassadeurs de ruimte om initiatieven uit te werken en informatiebeveiliging actief te promoten.
Gebruik je eigen intranet om tips te delen en eerder behandelde onderwerpen op te frissen.
Betrek informatiebeveiliging op je thuissituatie, want ook daar moet je bewust zijn van de risico’s.
Gebruik een awareness app om op een makkelijke en doeltreffende wijze je medewerkers bewust te maken.
#Aim2Secure