Het wordt vaak gezegd: je ‘first line of defense’ zijn de medewerkers. Als je medewerkers immers op een verkeerde link klikken, of zelfs een hele laptop in de trein laten liggen, dan kan dat grote gevolgen hebben voor de hele organisatie. Om medewerkers bewust te maken van deze risico’s, kun je ze een security awareness-training laten volgen.
Hoe zorg je ervoor dat medewerkers niet op gevaarlijke links klikken en veilig met informatie omgaan? Dat is een uitdaging. Helemaal omdat phishers steeds betere phishingmails maken die enorm realistisch overkomen. Het is echter niet onmogelijk om personeel goed op te leiden, waardoor zij de phishingmails eruit leren te vissen. Je kiest dan voor security awareness training.
Eén van de meest opzienbarende feitjes over security-incidenten is waarschijnlijk dat in 90 procent van alle gevallen een menselijke fout heeft gezorgd voor het probleem. Dat kan een softwareleverancier zijn die per ongeluk een zwakte in de software heeft laten zitten, of een medewerker die per ongeluk klikte op een link in een bericht naar zijn telefoon.. Iedereen kan dus een security-incident veroorzaken. Daarom is security awareness training zo belangrijk.Het kan dus uit veel verschillende lagen naar voren komen, zo’n security-incident.
In een security awareness training leren medewerkers niet alleen hoe ze phishingmails kunnen herkennen en veilig om moeten gaan met informatie. Zij leren bijvoorbeeld ook wat ze moeten doen wanneer ze wél op een verkeerde link hebben geklikt. Dat is precies dat stukje ‘awareness’. Je bewust zijn van de gevaren, ook als het kwaad al geschied lijkt te zijn. Daarom wordt er ook aandacht besteed aan het stappenplan rondom phishing en andere incidenten, want als het kwaad al geschied is, wat dan?
Een training geeft een medewerker bovendien meer verantwoordelijkheidsgevoel over de cyberveiligheid van het bedrijf. Om te beginnen bij zichzelf. Het is makkelijk denken: daar hebben we IT of Security voor, maar medewerkers leren zich door dit soort trainingen te realiseren dat ook zij een deel van de verantwoordelijkheid dragen. Ze hoeven niet te weten hoe cybersecurity technisch werkt, maar wel zijn ze gebaat bij tools die helpen om kwaadwillenden buiten de deur te houden.
Cursussen rondom security awareness zijn er om medewerkers te laten inzien welke rol zij hebben in cybersecurity en hoe zij helpen om incidenten, groot en klein, te voorkomen. Alles om ervoor te zorgen dat er geen data verloren gaat, dat het bedrijf geen reputatieschade oploopt of dat er financiële gevolgen zijn voor de organisatie.
Cybersecurity trainingen zijn er voor alle lagen in de organisatie: van de commerciële afdeling die met leveranciers te maken heeft, tot de klantenservice die veel met persoonsgegevens werkt. Hoewel je zou denken dat er op elk beroep weer andere zaken van toepassing zijn, is de basis van security awareness voor iedereen gelijk. Iedereen is uiteindelijk dat wapen tegen cybercrime, sommigen weten dat alleen nog niet.
Eén keer een cursus doen is bovendien niet genoeg. De stof vaak herhalen is essentieel, maar ook het in de gaten houden van nieuwe trucs die hackers bedenken is belangrijk. Het is nooit te vroeg voor een cursus cybersecurity awareness. En ook niet voor een herhaling van de stof. Succes!
[Fotocredits – Sikov © Adobe Stock]
