Dit is hoe je security awareness inzet zonder tijdsverlies

Vergeet die taaie security awareness training waarbij je collega’s urenlang op oncomfortabele stoelen luisteren naar een droge presentatie. Dat schiet zijn doel voorbij: je collega’s voelen nog meer weerstand bij het onderwerp en ondertussen gaat er een hele werkdag aan productiviteit verloren. In dit artikel leggen wij je uit hoe je security awareness een begrip maakt binnen je organisatie zonder dat het jou en je collega’s uren waardevolle tijd kost.

Security awareness dat echt iets oplevert

Er zijn tal van sectoren, zoals de maak- en productie-industrie, waarbij productiviteit, efficiëntie en continuïteit de essentie van de bedrijfsvoering vormen. Om in die gevallen een hele dag te spenderen aan security awareness voelt als een flinke belasting voor zowel je collega’s als voor de organisatie. En dat terwijl security awareness geen eenmalige verplichting zou moeten zijn, maar juist een waardevolle toevoeging aan je organisatie.

Zonder de juiste aanpak voelt security awareness als een checklist waar je een vinkje achter zet zonder echte impact te maken. Maar hoe zorg je ervoor dat security awareness weinig tijd kost maar wel resultaat levert?

Hoeveel tijd kost het om écht impact te maken?

Wanneer je te weinig tijd besteed aan security awareness loopt je organisatie risico om slachtoffer te worden van een cyberincident. Besteed je er te veel tijd aan dan kan het gaan drukken op je collega’s en ten koste gaan van de productiviteit. Je wilt een gulden middenweg vinden.

In de praktijk blijkt dat organisaties gemiddeld 3 uur per werknemer per jaar besteden aan security awareness trainingen. 81% van alle organisaties maakt gebruik van intervaltraining, waarbij er iedere maand of ieder kwartaal een training wordt uitgezet.

Dit kan op verschillende manieren. Denk bijvoorbeeld aan:

• Klassikale trainingen: deze zijn tijdsintensief. Er komt veel informatie op je collega’s af, waardoor het overweldigend kan zijn. Ook vraagt deze aanpak om een leuke en interactieve setting om de spanningsboog vast te houden.
• Online trainingen: deze zijn vaak flexibel te volgen door collega’s op een zelfgekozen moment, zoals bijvoorbeeld een rustig moment op de dag. Online trainingen bieden de mogelijkheid om de kennis te verspreiden over verschillende momenten, zodat de informatie beter blijft hangen. Ook is het inzichtelijker met betrekking tot het meten van resultaten.
• Microlearning: de afgelopen jaren is microlearning uitgegroeid tot een populaire trainingsvorm. Vanuit de gedachten om een zogenaamde learning fatigue (trainingsvermoeidheid) tegen te gaan, bestaat microlearning uit korte interactieve trainingen van maximaal 5 minuten. Je collega’s kunnen op deze manier snel en gefocust informatie tot zich nemen zonder dat te veel concentratievermogen vraagt.

Denk verder dan het vinkje

Security awareness gaat uiteindelijk verder dan het volgen van een training. Het doel is niet simpelweg een cursus afvinken, maar ervoor zorgen dat je medewerkers er écht iets van opsteken en bewust worden van hun rol en verantwoordelijkheden op het gebied van informatiebeveiliging. Natuurlijk is security awareness training een onmisbaar onderdeel, maar blijvende gedragsverandering bereik je pas wanneer je medewerkers de juiste middelen en ondersteuning krijgen. Wat is nodig voor effectieve gedragsverandering?

• Security awareness training: kies een trainingsmethode die aansluit bij je organisatie.
• Duidelijke beleidsregels: zorg dat medewerkers weten wat er van hen wordt verwacht.
• Sterke technische beveiliging: een sterke technische fundering voorkomt veel risico’s.
• Heldere interne communicatie: zorg dat iedereen weet waarom informatiebeveiliging en daarmee security awareness belangrijk is.

Dit laatste punt wordt vaak onderschat, terwijl het juist bepalend is voor het succes van je security awareness campagne. Meer tips over het dichten van de kloof tussen kennis en gedrag delen we hier.

De beleving van security awareness op de werkvloer

Stel je voor: je werkt al 10 jaar lang in de assemblagehal waarbij je weinig te maken hebt met computers. Je vindt het best wel prima, weinig poespas en iedere dag weet je wat je te wachten staat. Ineens is er door iemand bepaald dat je getraind moet worden in security awareness. Waarom? Dat is toch iets voor de IT-afdeling? En hoe raakt dit jouw werk? Je werkt immers niet met computers.

Zonder context voelt security awareness aan als een opgelegde verplichting, wat weerstand kan oproepen. Wil je draagvlak creëren? Volg dan deze tips:

• Laat het management een korte introductie geven over het belang van dit onderwerp;
• Met een krachtige kick-off sessie zoals een social engineering onderzoek laat zien informatiebeveiliging verder gaan dan computerbeveiliging;
• Zorg ervoor dat je collega’s er zowel zakelijk als privé iets van leren, zo bescherm je naast je organisatie ook je collega’s;
• Betrek de directie, het management en de communicatieafdeling bij de campagne;
• Hang security awareness posters op in de bedrijfsruimte om wat extra bewustzijn te creëren;
• Voer regelmatige phishingsimulaties uit en houd je collega’s alert op verdachte mails en malafide links;
• Kies voor een security awareness training die je kan afstemmen op verschillende afdelingen of functies zodat de informatie voor iedereen van toepassing is.

Start met een effectieve security awareness campagne

Wanneer je al deze punten combineert zit je op een effectieve security awareness campagne die niet alleen veel tijd bespaart ten opzichte van traditionele trainingsmethodes, maar ook nog eens meer impact maakt doordat het onderwerp interactief wordt gemaakt.