5 manieren om het security-bewustzijn van medewerkers te vergroten
De eerste stap bij het verhogen van het cybersecurity-bewustzijn van medewerkers is het respecteren van de medewerkers zelf.
Je hoort het vaak genoeg: medewerkers zijn de zwakke schakel in de cybersecurity-keten van een bedrijf. Het klopt dat menselijke fouten of een gebrek aan kennis over veilige werkwijzen vaak bijdragen aan beveiligingsincidenten. Daarom is het cruciaal om medewerkers bewust te maken van het belang van cybersecurity en zo bedrijfsgegevens veilig te houden.
Maar als je werknemers ook daadwerkelijk behandelt als een gevaar voor de bedrijfsveiligheid kan dat een negatief effect hebben op de bedrijfscultuur. Daarom moet elk security awareness programma vooral de werknemers zelf respecteren. Hoe vergroot een bedrijf het cybersecurity-bewustzijn, zonder voorbij te gaan aan de werknemers? Hieronder delen F-Secure-experts hun tips.
1. Creëer een cultuur van vertrouwen
Marko Buuri, Principal Security Consultant bij F-Secure, benadrukt hoe belangrijk het is om vertrouwen op te bouwen onder medewerkers. Een bedrijf moet werknemers leren security-problemen te herkennen en te melden. Dit moet in een open en benaderbare sfeer gebeuren, zodat werknemers het doen met de beste intenties voor het bedrijf.
“Als je werknemers als de zwakste schakel beschouwt, is het moeilijk om vertrouwen op te bouwen,” zegt Buuri. “Ze vertellen je misschien niet of ze op een link hebben geklikt of een bijlage hebben geopend als ze bang zijn dat ze worden gestraft of bespot. Als security-medewerker wil je dat werknemers mogelijke security events melden. Dus dat moet een positieve ervaring zijn.”
2. Maak security leuk en boeiend, niet saai en geforceerd
Security Management Consultant Ville Niileksela helpt bedrijven het cybersecurity-bewustzijn van medewerkers te vergroten. Hij gebruikte een paar marketingtrucs tijdens een security awareness event voor een verzekeringsmaatschappij.
“De feedback van medewerkers over hun bedrijfstrainingen over andere onderwerpen was dat de events zo saai zijn dat ze met tegenzin deelnemen,” zegt hij. “We werken hard om security awareness events interessant en boeiend te maken. Werknemers moeten niet het gevoel hebben dat het gewoon weer een training is waartoe ze verplicht worden.”
Niileksela’s event vond plaats in een grote tent met glazen wanden. Er was ook een kampioen barista om publiek te trekken. Zijn team toonde snelle presentaties van 5 minuten over cybersecurity-onderwerpen. Zo waren de presentaties tegelijkertijd licht, maar ook interessant en zinvol.
Uiteindelijk heeft meer dan de helft van het personeel van de verzekeringsmaatschappij de training gevolgd en de feedback was overweldigend positief van zowel deelnemers als bedrijfsleiders.
3. Benadruk elke dag dat iedereen een security-mindset moet hebben
Cybersecurity is niet alleen iets voor IT-mensen. Laat werknemers weten dat elk van hen een belangrijke rol speelt bij het beveiligen van het bedrijf. Het is een mindset die moet worden ingebakken in alle activiteiten, op het werk én in het persoonlijke leven. Dit betekent dat je de juiste keuzes moet maken rond kleine taken en gedragingen. Bijvoorbeeld het vergrendelen van je laptop wanneer je deze onbewaakt achterlaat, zelfs voor een korte periode. Of vreemden niet in beveiligde gebieden laten zonder de juiste identificatie. Want security zit hem uiteindelijk in die kleine praktische dingen.
“Je kunt wel alle ins en outs van de GDPR kennen, maar als je van alles laat slingeren op je bureau en je vertrouwelijke bedrijfsinformatie op een openbare plaats bespreekt, heb je daar niet zoveel aan,” zegt Niileksela.
4. Laat medewerkers weten welke bedrijfsinformatie gevoelig en vertrouwelijk is
Als ze niet weten dat het vertrouwelijk is, kun je ze dan de schuld geven dat ze het niet goed beschermen? Elk bedrijf is anders en elk bedrijf heeft andere informatie te beschermen. Medewerkers moeten weten welke gevoelige informatie in het bedrijf niet kan worden gedeeld met de buitenwereld. Ze moeten ook worden getraind in het omgaan met en beschermen van de klant. Bijvoorbeeld het correct verifiëren van de identiteit van een klant voordat ze hun zaak bespreken, gevoelige papieren vernietigen en unieke wachtwoorden gebruiken bij het aanmelden bij services.
Voorbeelden van gevoelige informatie zijn klantinformatie, R&D-plannen en productontwikkelingsprojecten, verkoopcontracten, financiële bedrijfsinformatie, werknemersinformatie en diagrammen van bedrijfsnetwerken.
5. Maak security-training onderdeel van het dagelijkse werk
Cybersecurity moet niet zomaar één training per jaar zijn, werknemers moeten regelmatig boeiende en inspirerende reminders krijgen. Een goed voorbeeld van het top-of-mind houden van cybersecurity is het gebruik van een programma voor gesimuleerde phishing-e-mails. Medewerkers ontvangen periodiek gesimuleerde phishing-e-mails en krijgen punten wanneer ze het als phising herkennen. Als de werknemer toch op de e-maillink klikt of de bijlage opent, krijgt hij een minitraining om dit soort mails te herkennen als phishing. De spelfactor van dergelijke programma’s maakt het leuk en werknemers gaan ook sceptischer naar mails kijken.
Posters, games, quizzen, grappige nieuwsbrieven, blogs en hand-outs zoals onze Data Protection Checklist zijn ook mooie manieren om regelmatig op te roepen tot veilige manieren van werken.
Download onze snelle en eenvoudige checklist voor gegevensbescherming om te delen met uw werknemers.
Categorieën