5 manieren om bewustzijn op een aantrekkelijke wijze te stimuleren
Binnen organisaties wordt veel gedaan om het bewustzijn als het gaat om informatiebeveiliging te vergroten. Niet zo vreemd want uit wereldwijd onderzoek blijkt dat 90% van de incidenten ontstaan door menselijk handelen. Inmiddels wordt er ook steeds duidelijker wat wel en wat niet werkt. Zo blijkt dat posters met waarschuwingen over cybercrime niet of nauwelijks effect hebben. Wat wel werkt zijn de volgende 5 manieren.
1. Strooi met USB sticks of stuur e-mails waar een ‘virus’ op staat
USB sticks met ‘virussen’ of een e-mail met een link naar een ‘virus’ zijn makkelijk te verkrijgen. Een gebruiker die zo’n USB stick in zijn PC doet of op de link in zo’n e-mail klikt krijgt een melding op zijn scherm waarin staat dat er nu net zo goed ransomware op zijn computer (en het hele bedrijfsnetwerk) zou kunnen staan. Beloon medewerkers die wel, conform interne richtlijnen, zo’n verdachte USB stick melden. Schrijf na zo’n actie een leuk artikel voor op intranet en bespreek resultaten tijdens werkoverleggen.
2. Maak informatiebeveiliging tastbaar
Datalekken, AVG, cybercrime, ransomware. Er wordt binnen informatiebeveiligingkringen met deze termen gesmeten alsof een ieder weet waar het over gaat. Medewerkers hebben vaak moeite te begrijpen wat de eventuele gevolgen zijn hun handeling door bijvoorbeeld te klikken op een link in een phishingmail, het in een computer stoppen van een USB stick of het gebruiken van een zwak wachtwoord. Maak de risico’s van informatie-uitwisseling duidelijk en leg ook uit dat niet alles risico’s kunnen worden beheerst door een ICT afdeling. Uit onderzoek van een Britse internetprovider uit 2018 kwam naar voren dat 31 procent van de ondervraagde organisaties niet met een leverancier wil werken die door onachtzaamheid slachtoffer is geworden van cybercriminaliteit.
3. Het melden van een datalek is geen straf
Binnen organisaties heerst er doorgaans angst voor datalekken. Voor het melden van een datalek en het vervolgens handelen conform de gestelde richtlijnen krijg je normaliter geen straf. Wat als organisaties het zouden omdraaien en medewerkers zouden belonen als ze een datalek melden? De Autoriteit Persoonsgegevens stelt dat de 27.000 meldingen in Nederland (2019) lang niet alle werkelijke datalekken zijn. Ik vond een artikel op internet waarin een directeur van een grote organisatie medewerkers beloont in de vorm een cadeau wanneer ze een datalek melden. Dit werkte goed. Het aantal meldingen en dus ook het aantal gemelde datalekken nam toe, maar misschien net zo belangrijk: medewerkers spraken erover met elkaar. Kern is dat het belangrijk is om datalekken niet te verzwijgen en dat organisaties leren om toekomstige datalekken te voorkomen.
4. Gebruik laagdrempelige tools
Er zijn tal van tools beschikbaar om het bewustzijn te stimuleren. Veel van deze tools zijn onnodig duur en complex. Hou het simpel en gebruik laagdrempelige tools om medewerkers te prikkelen. Geen ellenlange e-learning-achtige vragenlijsten, maar regelmatig een enkele prikkelende vraag of stelling werkt het beste. Natuurlijk is het ontwikkelen van competenties belangrijk voor organisaties, maar minstens zo belangrijk is het stimuleren van het bewustzijn.
5. Er is heel veel (gratis) beschikbaar op internet
Wie houdt er niet van. Leuke, ludieke filmpjes. Op het gebied van informatiebeveiliging zijn er op onder andere Youtube veel leuke en interessante filmpjes te vinden, zoals bijvoorbeeld deze waarbij een boodschap in een videoclip met liedje is verwerkt, of deze van een komediant. Deel deze met je medewerkers of speel er een af tijdens het werkoverleg of de dagstart. Makkelijk en direct beschikbaar.
#communityAim2Secure
#Aim2Awareness