DOSSIER SECURITY AWARENESS | TRAINEN EN HERHALEN
Om security awareness in de organisatie te waarborgen, zijn kennis en vaardigheden nodig. Het verkrijgen hiervan gaat niet over één nacht ijs. Het is een traject van training en regelmatige opfrissing van opgedane kennis. En dat vraagt natuurlijk ook tijd en inspanning. Dit traject lichten we toe.
Begin met een nulmeting
Door het trainingsprogramma te starten met het uitsturen van een phishing-simulatie en/of het afnemen van een kennisanalyse, kun je het kennisniveau van iedereen binnen de organisatie in kaart brengen. Gaandeweg het programma kun je de verbeteringen volgen. Met een phishing-simulatie controleer je of mensen een niet te vertrouwen e-mail herkennen (phishingaanval). Een kennisanalyse bestaat vaak uit een reeks vragen waar verschillende soorten risico’s aan bod komen.
Bepaal de doelgroepen
Door de nulmeting weet je meer over het kennisniveau betreffende beveiliging van iedereen binnen de organisatie. Op basis hiervan, maar ook aan de hand van de verschillende behoeften en werkwijzen kunnen er doelgroepen worden bepaald. Bijvoorbeeld op basis van functie, afdeling of eerdere beveiligingsproblemen. Deze groepen kunnen een eigen trainingsprogramma volgen.
Trainingsprogramma
Een trainingsprogramma bestaat uit verschillende modules gericht op een bepaalde doelgroep. Aanbieders van zo’n trainingsprogramma bieden daarvoor een online omgeving aan. Deze omgeving kan speciaal voor jouw bedrijf worden ingericht met een basis-set aan trainingen en phishing-campagnes.
De modules behandelen specifieke onderwerpen zoals:
- Het herkennen van phishing e-mails en ransomware.
- Hoe zorg je voor een goede privcacybescherming (AVG).
- Veilig omgaan met internet & social media.
- Het herkennen van verschillende vormen van fraude.
- Het belang van sterke wachtwoorden en een wachtwoordmanager.
- Het gevaar van openbare computers en publieke WiFi.
Veel bedrijven beginnen een trainingsprogramma wanneer ze zich ISO 27001 willen of moeten laten certificeren. In dat geval is de training voor iedereen verplicht.
Communication is key
Om mensen mee te krijgen de trainingen ook daadwerkelijk te gaan volgen is het slim om ze vooraf te informeren van de noodzaak en in het geval van een ISO-certificering, waarom het verplicht is. Geef mensen de gelegenheid vragen te stellen. Deel belangrijke beveiligingsinformatie en -updates. Probeer uit te leggen wat het betekent als je bedrijf de klos is. En neem de angst weg om te melden als iemand toch per ongeluk iets doet wat niet de bedoeling is.
Herhalen, hoe kun je het een beetje leuk maken?
Het vergroten van security awareness is natuurlijk een serieuze zaak, maar gelukkig hoeft het niet saai te zijn. Opgedane kennis zou bijvoorbeeld getest kunnen worden door het organiseren van een security-borrel of pubquiz. Ook zijn er al verschillende aanbieders van escape rooms en andere games die gericht zijn op het oplossen van beveiligingsproblemen, zowel in fysieke vorm als online.
Security awareness dossier
Dit is het laatste deel uit het dossier. In het vorige artikel van het security-awareness-dossier bespreken we het belang van het melden van een beveiligingsincident.
