Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Zo geef je effectieve security awareness-training

Computable Expert

mr. Jeffrey De Graaf
Managing Director Emea, KNOWBE4. Expert van Computable voor het topic Security.

Zakelijke trainingen zijn niet altijd leuk en inspirerend. Soms voelt het als een ‘moetje’ en doe je niets anders dan de tijd uitzitten. Zo kan het ook gaan bij security awareness-training. Nobel om dat als it’er voor de medewerkers in jouw organisatie te organiseren, maar zonde (en potentieel gevaarlijk) als deelnemers tijdens zo’n training tegen de slaap vechten.

De noodzaak van security awareness-trainingen is vaker benoemd. De reputatieschade en financiële schade van datalekken, ceo-fraude of besmetting met ransomware kunnen bedrijven de das omdoen. Het is daarom verontrustend dat uit onderzoek van Enterprise Management Associates (een grote analist in de it-wereld) blijkt dat zo’n zestig procent van de bedrijven dat security awareness-training intern aanbiedt daarvoor weinig effectieve methoden gebruikt. Zo stuurt 36 procent van de onderzochte bedrijven maandelijks een video met veiligheidsinstructies naar medewerkers. Bijna een kwart van de bedrijven geeft eens in de zoveel tijd een klassikale training, waarbij medewerkers in een zaaltje (met een paar snacks, als ze mazzel hebben) moeten luisteren naar een lange powerpointpresentatie.

Inspireren

"Medewerkers hebben verschillende talenten en zwakke punten, en reageren dus verschillend op de leerstof"

Genoemde methodes beschouwen medewerkers als een passief publiek en betrekken ze dus onvoldoende bij het beveiligingsprobleem waar bedrijven mee worstelen. Zo voelt een security awareness-training eerder als een straf dan als een manier om personeel te leren (en te inspireren!) om actief deel te nemen aan de veiligheid van hun organisatie. Ze houden er ook geen rekening mee dat medewerkers verschillende talenten en zwakke punten hebben, en dus verschillend reageren op de leerstof. Werknemers hebben bovendien verschillende behoeften op het gebied van security awareness, afhankelijk van hun functie en toegang tot gevoelige informatie. Kortom, een one-size-fits-all-benadering werkt gewoon niet.

Daarom leidt het gebruik van bovengenoemde methodes bij it-afdeling en directie vaak tot teleurstelling: het online-gedrag van medewerkers verandert nauwelijks. Daarmee is de kans aanwezig dat leidinggevenden het hele idee van security awareness-training overboord gooien in plaats van kritisch te kijken naar de trainingsmethode.

Hapklare brokken

Toch is een positieve gedragsverandering echt te bereiken. Het geheim is security awareness-training regelmatig en in hapklare brokken aan te bieden. Niet alleen met online-trainingsmodules (die een medewerker kan volgen wanneer hij of zij er tijd voor heeft), maar ook met grappige video’s, games en valse phishing-e-mails. De inhoud komt dan frequenter langs en is gevarieerder, waardoor het een grotere impact heeft.

Bij deze aanpak is de training interactief en gebaseerd op de functies van personeelsleden, waardoor zij het eerder relevant en waardevol zullen vinden. Omdat het uitdagender is, worden de gedachten en het geheugen van medewerkers effectiever aangesproken dan wanneer ze passief zitten te kijken naar een (half)jaarlijkse presentatie. Je kunt als it’er het enthousiasme verder vergroten door een systeem met beloningen in te zetten: de medewerker die in een bepaalde periode het best scoort kan leuke prijzen winnen. En niet onbelangrijk: draag ook zelf de waarde van training uit en weet collega’s te enthousiasmeren. Daarmee is effectieve security awareness-training bepaald geen straf.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Spelenderwijs leren, leuk en inspirerend enthousiasme vergroten, leuke prijzen winnen ..

Ik kan niet wachten op de aankomende recessie, is er eindelijk geen geld meer voor die kul ;-)

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-01-23T11:16:00.000Z Jeffrey De Graaf
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.