VERDIEPINGSARTIKEL

Voortdurend werken aan dataveilige werknemers

Al heeft uw organisatie alle digitale data technisch en formeel perfect dichtgetimmerd, de ‘menselijke firewall’ is vaak de gevaarlijkste. Het is dan ook essentieel om werknemers te leren hoe ze moeten omgaan met cyberdreiging. Alleen training kan niet voorkomen dat werknemers een keer een phishing-mailtje openklikken of onbedoeld bedrijfsinformatie lekken. Om het medewerkersbewustzijn over zulke veiligheidsrisico’s te vergroten, is voortdurende oefening nodig. Hoe pakt u dit aan?


7 januari 2022 4 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement Online en is geschreven door Bas Schiltmans, Chief Technology Officer bij KCM Group, e-mail: welcome@kcmgroup.eu, www.kcmgroup.eu/security-awareness


 

Bij veel organisaties wordt een trainingsdag georganiseerd of een e-learning gedeeld om werknemers te leren over de digitale gevaren die ze in hun werk tegen kunnen komen. Een éénmalige training dus, met een toets die bewijst dat iedereen weet wat hij moet doen.

Soms worden deze trainingen en toetsen af en toe herhaald om de kennis beter te laten beklijven bij mensen. Maar dit gebeurt dan meestal niet heel vaak en ook zit er vaak veel tijd tussen.

In de praktijk toepassen

Daarnaast is bekend dat werknemers veruit het meeste leren door samenwerken en werken met problemen in de praktijk. Alleen formeel leren gaat dus niet de benodigde langetermijneffecten hebben om de kennis en het gedrag van werknemers continu te verbeteren.

Werknemers vergeten heel snel ze wat ze in een training of e-learning hebben geleerd, als ze het niet in de praktijk hoeven toepassen. Voor een blijvende gedragsverandering zijn continue aandacht voor het onderwerp en oefening nodig.

Snel het juiste antwoord op de vraag

Begrijpelijke en hapklare informatie

Hoe pakt u dit – na de eerste training of e-learning – aan?

Allereerst moet u ervoor zorgen dat werknemers de informatie uit de training makkelijk kunnen terugzoeken. Let daarbij op drie zaken:

  • De informatie moet begrijpelijk zijn en van het juiste niveau. Het heeft geen zin om een administratief medewerker met formele procedures en instructies om de oren te slaan. De informatie die essentieel is, moet zó worden ‘vertaald’ dat voor iedereen in de organisatie duidelijk is.
  • De kennis moet hapklaar zijn. Werknemers moeten bij een vraag over databeveiliging snel en makkelijk kunnen vinden wat ze zoeken, zonder eerst een heel boekwerk te hoeven doornemen. Ze moeten snel het juiste antwoord op hun vraag kunnen vinden en dan weer door met hun dagelijkse werk.
  • De informatie moet compleet en actueel zijn, anders zullen werknemers deze snel niet meer gebruiken.

Overal instructies en reminders!

Het is belangrijk dat werknemers bij vragen snel een antwoord kunnen vinden, maar nog beter is het om korte instructies, tips en reminders toe te voegen aan de reguliere werkinstructies, checklists en applicaties. Op die manier is de informatie steeds onder de aandacht van de werknemer als hij er in de praktijk (potentieel) mee te maken krijgt.

Een hulplijn inschakelen

Ten tweede moeten werknemers altijd een hulplijn kunnen inschakelen als ze informatie missen of ergens over twijfelen. Zorg dus ook voor informatie over de beschikbare communicatiemogelijkheden op de plaatsen waar mensen deze nodig hebben. Het is niet voldoende om een telefoonnummer ergens op het intranet te zetten!

Met de kennis aan de slag

Informatie over dataveiligheid op de juiste manier beschikbaar stellen is essentieel, maar daarmee bent u er nog niet. Werknemers moeten getriggerd worden om met de kennis aan de slag te gaan, het liefst zo vaak mogelijk om te zorgen dat ze de informatie vasthouden. Dat kan op twee manieren.

Steekproeven om gegevens te ontfutselen

Regel dat er in de organisatie van tijd tot tijd nep-phishingmails en nep-gesprekken rondgaan, waarbij geprobeerd wordt om vertrouwelijke gegevens van werknemers ontfutselen. Werknemers moeten van deze steekproeven op de hoogte zijn; dat houdt iedereen op zijn hoede.

Dit is wel een arbeidsintensieve manier om het werknemersbewustzijn over dataveiligheid te verhogen en traint zeker ook niet alle vormen van cyberdreiging. Zaken als het gebruik van onveilige wachtwoorden en onbekende wifi-netwerken en het onbeveiligd delen van vertrouwelijke gegevens blijven hierbij onderbelicht.

Elke week één meerkeuzevraag over dataveiligheid

Een andere optie is om alle werknemers elke week of elke twee weken één meerkeuzevraag te mailen over dataveiligheid met een beknopte toelichting bij het juiste antwoord.

Alles in een app

Een speciaal programma met actuele informatie over dataveiligheid kan u het wekelijks versturen van vragen naar werknemers uit handen nemen. De meeste kennis over dataveiligheid is voor alle werkgevers hetzelfde, die zit dan ook al standaard in het programma en wordt actueel gehouden. Het is mogelijk om bedrijfsspecifieke informatie toe te voegen, maar dat deel moet uw organisatie dan wel zelf bijwerken.

 

De app kan niet alleen automatisch elke week een mail rondsturen, maar ook snel en makkelijk allerlei uitkomsten van de wekelijkse vragenmails voor u op een rijtje zetten. Zo kunt u het kennisniveau van de werknemers aantoonbaar maken voor de directie, voor klanten, voor certificering en in het ergste geval de Autoriteit Persoonsgegevens (bijvoorbeeld bij een datalek). Ook kunt u met zo’n rapportage gericht extra aandacht besteden aan vragen die eerder door veel werknemers verkeerd beantwoord werden.

 

In de app kunt u ook de eerdergenoemde hulplijn instellen, zodat werknemers met een vraag of probleem met één druk op de knop een collega kunnen raadplegen.

Niet te veel kostbare productietijd

Het is belangrijk dat het kiezen van het correcte antwoord en het lezen van de toelichting de werknemers niet veel tijd kost, anders zullen ze de mails na verloop van tijd negeren of keer op keer uitstellen. Ook voor uw organisatie is het natuurlijk belangrijk dat het niet te veel kostbare productietijd kost.