Hoe maak je medewerkers bewust?

kindness-1353773_1280.jpg

>90% van security-incidenten ontstaan doordat medewerkers onbewust fouten maken. Computers, firewalls en andere ICT oplossingen stel je in en volgen de instructies, mensen zijn allemaal verschillend en zijn veel moeilijker te sturen. Door medewerkers bewust te maken van risico’s van informatie-uitwisseling kun je als organisatie veel narigheid voorkomen. Maar hoe creëer je bewustwording? Een oprechte uitdaging!

Zonder bewustwording blijven medewerkers vastzitten in oude gewoontes en patronen. Bij bewustwording gaat het erom dat je ziet wat je denkt en dat je ziet wat je doet. Je staat stil bij jouw eigen handelingen. Dit kan confronterend zijn. Medewerkers zullen immers ontwikkelde patronen en gedrag onder de loep gaan nemen. Het is echter cruciaal om deze te doorbreken en bewuster te worden.

Sinds de invoering van de AVG wordt de term bewustwording veel gebruikt. Dit is niet vreemd aangezien iedere organisatie aantoonbaar aan bewustwording moet werken. Als functionaris gegevensbescherming, manager of ICT specialist kun je dat niet alleen. Iedere medewerker, van de productmedewerker tot de financieel manager. Iedereen moet een bepaalde basis aan bewustwording ten aanzien van risico’s hebben.

Hoe kun je jouw medewerkers bewust maken? Hierbij 5 tips:

  1. Werk continu aan bewustwording. Continuïteit is een bewezen succesfactor om bewustwording te stimuleren. Bied terugkerende thema’s op verschillende manieren aan. Eens per jaar een verplichte e-learning voor iedere medewerker is helaas niet voldoende. Maar het kan wel een mooi onderdeel zijn van je aanpak of in het inwerkprogramma voor nieuwe medewerkers. Een security awareness app is een applicatie waarmee je gericht en gestructureerd continu aandacht kunt vragen voor relevante thema’s. Een dergelijke applicatie kan je helpen je awareness programma tot een succes te maken.

  2. Herkenbaar. Een andere bewezen succesfactor is herkenbaarheid. Wanneer een medewerker risico’s herkent is de impact enorm groot. Bijvoorbeeld het transparant bespreken van security-incidenten (hoe is het incident ontstaan, wat zijn de mogelijke gevolgen en hoe voorkomen we dat deze in de toekomst nogmaals ontstaan), een penetratietest, phishingtests, USB sticks met ‘malware’ laten rondslingeren etc. Wanneer je medewerkers risico’s laat ervaren ‘raak’ je hen beter.

  3. Cultuur binnen jouw organisatie. Net als iedere medewerker is ook iedere organisatie uniek. Pas je aanpak aan aan de cultuur. Differentieer per afdeling. Niet iedere afdeling heeft dezelfde aanpak en informatie nodig. Door medewerkers van afdelingen te betrekken bij je aanpak en in te schatten wat zij nodig hebben kun je je aanpak per afdeling aanpassen en zodoende de bereidwilligheid van medewerkers om te blijven participeren vergroten.

  4. Hou het simpel. Kies een aanpak die weliswaar gestructureerd en doordacht is, maar hou het simpel én leuk. Wanneer je aanpak te veelomvattend en te complex is zullen medewerkers weerstand ontwikkelen en dat is niet wat je kunt gebruiken. Je wil alle medewerkers op hun eigen niveau ‘raken’. Hou het daarom simpel. Je aanpak is niet bedoeld om medewerkers bang te maken en alleen te kijken naar onveilig gedrag, maar juist naar gemakkelijke en veilige oplossingen te zoeken. Medewerkers moeten vooral niet bang zijn om fouten te maken, het is een leerproces voor iedereen en niemand doet het meteen perfect. Dit kan je gedurende het hele traject benoemen.

  5. Evalueer regelmatig. Evalueer periodiek hoe je aanpak is bevallen. Kijk naar het effect in de vorm van een toe- of afname van het aantal security-incidenten, maar bespreek vooral je aanpak met de medewerkers. Hoe bevallen de questionnaires van de security awareness app? Hoe was de laatste bespreking van de security-incidenten? Pas op basis van deze feedback je aanpak aan en ga vooral door! Want één ding is zeker: bewustwording stopt nooit!

#Aim2Secure