Oktober is cyberbeveiliging bewustwordingsmaand. Dit is het uitgelezen moment om ervoor te zorgen dat werknemers volledig voldoen aan de cyberbeveiligingsmaatregelen in uw bedrijf. Het is echter niet voldoende om enkel folders uit te delen en te hopen dat werknemers begrijpen waarom cyberbeveiliging van cruciaal belang is.
In plaats daarvan is het nodig om met bruikbare strategieën te komen, niet alleen om te benadrukken dat cyberbeveiliging belangrijk is, maar ook om uw werknemers een actieve rol te laten spelen in de cyberbeveiligingsprocedures in het bedrijf.
1. Help werknemers begrijpen waarom dit belangrijk is
Veel werknemers hebben zelfs geen basisbewustzijn van wat het betekent om cyberbeveiligingsstrategieën te implementeren en waarom dat belangrijk is. Ze hebben bijvoorbeeld geen besef van de wijdverspreide problemen die kunnen ontstaan als een persoon op een geïnfecteerde link klikt en het volledige netwerk geïnfecteerd wordt. Een goede eerste stap bij het bespreken van cyberbeveiliging met werknemers is het materiaal relevant maken.
Leg werknemers uit hoe hun acties directe gevolgen kunnen hebben voor de cyberbeveiliging van het hele bedrijf. Wanneer werknemers begrijpen dat het naleven van cyberbeveiligingsnormen het bedrijf in zijn geheel ten goede komt, zijn ze meer geneigd om risicovol digitaal gedrag te vermijden.
Uit een onderzoek in 2018 bleek bij 500 personen bijvoorbeeld dat twee op de vijf werknemers op onbekende links of bijlagen klikte. Ze deden dit waarschijnlijk zonder na te denken over de mogelijke gevolgen.
Een ander onderzoek door Shred-It toonde aan dat meer dan 25 percent van de respondenten hun computer niet vergrendelde wanneer ze niet aan hun bureau zaten. Deze voorbeelden tonen aan dat nalatigheid van werknemers een duur en reëel probleem is voor organisaties, maar dat dit op zinvolle manieren kan worden beperkt.
Het doel van de discussies met werknemers in een vroeg stadium over de naleving van cyberbeveiliging, is om hen te laten beseffen hoe zelfs kleine, onschuldig lijkende keuzes verregaande gevolgen kunnen hebben voor een organisatie.
Eén manier om dit te doen is door verschillende scenario's te spelen. Zo wordt het duidelijker dat zelfs kleine beslissingen een aanzienlijk verschil kunnen maken – zowel in positieve als negatieve zin. Tijdens deze gesprekken mogen vertegenwoordigers van het bedrijf werknemers echter nooit het gevoel geven dat ze tekortschieten op het vlak van cyberbeveiliging.
In plaats van alleen te praten over de fouten op het gebied van cyberbeveiliging, moeten mensen die anderen informatie geven over cyberbeveiliging benadrukken dat het niet zo moeilijk is als sommigen denken om kleine stappen te nemen die de cyberbeveiliging van het hele bedrijf versterken.
2. Integreer opleiding in cyberbeveiliging in het onboardingstraject
Ervoor zorgen dat werknemers cyberbeveiliging belangrijk vinden vereist een uitgebreid proces – en één dat nooit te vroeg kan beginnen. Daarom is het verstandig om van cyberbeveiliging een onderwerp te maken waar nieuwe werknemers meteen over horen.
Deze strategie biedt meerdere voordelen. Eerst en vooral toont dit werknemers dat cyberbeveiliging ingebakken zit in de bedrijfscultuur en meer is dan een bijkomstigheid. Bovendien biedt dit hen mogelijkheden om de bedrijfsinspanningen op het gebied van cyberbeveiliging al vanaf hun eerste dag te ondersteunen.
Mensen willen zich gewaardeerd voelen op hun werk en willen het gevoel hebben dat ze het bedrijf op een zinvolle manier helpen om de doelstellingen te behalen. Door cyberbeveiliging te integreren in het onboardingstraject, leren ze meteen hoe ze kunnen bijdragen en de werkplek voor iedereen veiliger kunnen maken.
3. Zorg ervoor dat het management het goede voorbeeld geeft
De kans is groot dat mensen zich verzetten tegen nieuwe of aangepaste cyberbeveiligingstactieken als ze niet de indruk krijgen dat het hoogste management het niet evenveel ermee eens is als de mensen lager op de bedrijfsladder. Een essentiële manier om een sterke cyberbeveiligingscultuur te creëren in een organisatie, is erkennen dat de bedrijfsleiding dit moet bestendigen.
Omdat de bedrijfsleiders moeten weten wat er wordt gedaan om de cyberbeveiligingscultuur te versterken, is het een goed idee om regelmatig meetings te organiseren met hoge leidinggevenden en leden van het cyberbeveiligingsteam. Samen kunnen deze personen problemen bespreken, de voortgang bekijken en andere manieren bedenken om werknemers te betrekken bij best practices op het gebied van cyberbeveiliging.
4. Zorg ervoor dat de maatregelen goed worden begrepen en uitgevoerd
Cyberbeveiligingsprofessionals in een organisatie kunnen er niet blindelings op vertrouwen dat werknemers alle of de meeste dingen doen die ze geleerd hebben. Een cyberbeveiligingsaudit uitvoeren is echter een uitstekende manier waarop organisaties kunnen nagaan hoe veilig ze zijn. Op basis daarvan kan bepaald worden of werknemers het geleerde in de praktijk brengen of dat er nog veel ruimte voor verbetering is.
Veel bedrijven, zoals bedrijven die verbonden zijn aan de federale overheid of bedrijven die geld krijgen van een overheidsinstantie, moeten audits doorlopen en bewijzen dat ze over goed gedefinieerde regels, documenten, procedures en processen beschikken waaruit blijkt dat ze aan de normen voldoen en cyberbeveiliging ernstig nemen. Deze inspecties zijn echter informatief voor alle soorten organisaties omdat ze referentieniveaus vaststellen.
Naast audits kunnen bedrijven oefeningen in cyberbeveiliging plannen waarin mensen de geleerde vaardigheden in de praktijk kunnen brengen in gesimuleerde scenario's. Back-ups van systemen maken en vertrouwen op tweeledige verificatie zijn voorbeelden van manieren om directe verbeteringen op het gebied van cyberbeveiliging aan te brengen.
Oefeningen bevestigen dat mensen de nodige dingen doen en geven deelnemers de kans om vragen te stellen over alles wat onduidelijk is. Door cyberbeveiligingspraktijken helder en overzichtelijk te maken, is de kans groter dat mensen ze zullen uitvoeren als goede gewoontes. Al deze individuele praktijken komen zo samen en vormen doeltreffende plannen.
Een onderzoek gepubliceerd in 2017 over de bereidheid tot cyberbeveiliging in overheidsorganisaties toonde aan dat 68 percent van de bestuursleden in bedrijven geen opleiding in cyberbeveiliging had gekregen over hoe ze moeten reageren op incidenten, en 10 percent had geen plan hoe om te gaan met inbreuken. Deze statistieken zijn belangrijk, want zonder plan kunnen organisaties niet voldoende snel reageren op onverwachte gebeurtenissen.
5. Leer werknemers hoe ze moeten reageren op verdachte situaties
Werknemers leren hoe ze moeten voldoen aan best practices in cyberbeveiliging betekent voorkomen dat ze te veel twijfelen wanneer ze beslissen of ze iets verdachts moeten melden. Mensen die vreemde gebeurtenissen opmerken denken vaak "iemand anders zal dat wel melden", maar dat is niet noodzakelijk een valabele conclusie.
Het is belangrijk dat bedrijven gebruiksvriendelijke processen hebben voor het nauwkeurig en direct melden van ongewone gebeurtenissen op het vlak van cyberbeveiliging. Cyberbeveiligingspersoneel moet daarnaast duidelijk maken dat ze liever hebben dat mensen dingen melden die achteraf vals alarm blijken te zijn dan dat ze iets verzwijgen uit angst voor vergelding of schaamte.
Het hebben van een eenvoudig, universeel systeem vermindert het aantal fouten en voorkomt dat de verzamelde informatie onvolledig is. Dit gebeurt bijvoorbeeld wanneer verschillende afdelingen verschillende manieren gebruiken om leden van het cyberbeveiligingsteam op de hoogte te brengen van ongewone situaties. Als een meldingssysteem te verwarrend is voor gebruikers, kunnen ze zich bovendien overweldigd voelen doordat het lijkt alsof ze een gebrek aan kennis hebben.
6. Geef niet te veel informatie in één keer
De meeste mensen kennen het verdoofde gevoel dat ze krijgen als ze gebombardeerd worden met talloze PowerPoint-dia's wanneer ze al het gevoel hebben dat hun hersenen niet nog meer informatie kunnen opslaan zonder te ontploffen.
Daarom is het belangrijk dat de cyberbeveiligingsexperten in een bedrijf, ongeacht de opleidingsmethodes die ze gebruiken, informatie in hanteerbare stukken verspreiden.
Ze kunnen hiervoor korte video's gebruiken of lunchsessies organiseren waarbij mensen informatie krijgen terwijl ze genieten van lekker eten. Kleine hoeveelheden informatie tegelijk geven is in elk geval de beste manier.
Bereidheid tot cyberbeveiliging moet een constant proces zijn
Cyberbeveiligingsprofessionals kunnen niet een bepaald punt bereiken en beslissen dat hun werknemers voldoende voorbereid zijn op een eventuele cyberbeveiligingsdreiging.
De hier vermelde tips zijn nuttig, maar alleen als ze net zo regelmatig worden gebruikt als andere bedrijfsprocessen. Zo volgen werknemers waarschijnlijk allemaal standaardprocedures voor het aanvragen van vakantie of registreren van hun uren.
Het naleven van cyberbeveiligingsnormen zou op een vergelijkbare manier moeten verlopen: iedereen zou best practices in cyberbeveiliging moeten volgen omdat iedere werknemer een rol speelt in het beschermen van de cyberveiligheid van een organisatie.