Start de Cyber Security Assistent

Er zijn tal van mogelijkheden om het veilig handelen van medewerkers te faciliteren en daarmee de cyberveiligheid binnen de organisatie te verbeteren. De keuze voor de juiste interventie is afhankelijk van de grondslag van het probleem, waarom het probleem zich voordoet en de gewenste situatie.

Cyber awareness

Mens
Een basis bewustzijn over cyberveiligheid is een noodzakelijke voorwaarde voor cyberveilig gedrag, maar leidt zelden tot een gedragsverandering. Lees hier meer over bewustwording.

Veel bedrijven maken gebruik van awareness trainingen en campagnes om hun medewerkers bewust te maken van cyberrisico’s en om ze richtlijnen te geven voor hoe men cyberveilig kan handelen. Dit is een uitstekend en noodzakelijk beginpunt van een cyberveilige organisatie. Betere awareness alleen leidt echter zelden tot gedrag(sverandering). Dit heeft veel te maken met het feit dat cyberveiligheid meestal bovenop de primaire werkzaamheden van de medewerker komt en dus minder prioriteit krijgt. Dat neemt niet weg dat een basis bewustzijn een noodzakelijke voorwaarde is voor cyberveilig gedrag: je kunt immers niet verwachten dat iemand veilig gedrag vertoont als die persoon niet bewust is van wat er verwacht wordt.

Implementatie

Er zijn veel vormen om cyber-awareness bij te brengen, bijvoorbeeld:

  • Formele trainingen in groepsverband.
  • Trainingen voor het individu, bijvoorbeeld micro-learning.
  • Voorlichting over risico’s en veilig gedrag via bijvoorbeeld het intranet of sociale mediakanalen zoals Yammer of twitter.
  • Beleidsstukken over cyberveiligheid. Dit kunnen formele beleidstukken zijn of in een meer toegankelijke, samenvattende vorm worden aangeboden.

Interventie meten

Zelfrapportage

Vragenlijsten zijn een goede manier om de medewerkers te vragen naar wat zij geleerd hebben van een awareness interventie, zoals een training of voorlichting. Ook kan nagegaan worden of het moment waarop interventie werd aangeboden een geschikt moment was. Idealiter zouden medewerkers gevraagd worden of hun gedrag is veranderd na de interventie. Zelfrapportage van gedrag is echter niet erg betrouwbaar, omdat mensen in werkelijkheid lang niet altijd doen wat ze zeggen te doen.

Observeren

Om te weten of mensen veiliger gedrag vertonen na een awareness interventie dan ervoor, kan een situatie worden geënsceneerd.

Loggen

Het systeem kan loggen hoeveel medewerkers daadwerkelijk een voorlichtingsstukje hebben bekeken dat digitaal is gepresenteerd. Let wel dat dit niet aangeeft of mensen daadwerkelijk iets geleerd hebben of iets hebben onthouden. Ook geeft deze maat niet aan of de voorlichting een gedragsverandering teweeg heeft gebracht. Wanneer een awareness interventie zich richt op meetbaar gedrag, zoals het klikken op phishing-links, kunnen veranderingen in dit gedrag gemeten worden door klikgedrag te loggen, bijvoorbeeld via het gebruik van nep-phishing-mails. Denk wel aan het uitvoeren van een nul-meting voor de implementatie van de interventie.

Interventie op maat voor uw organisatie?

Elke organisatie heeft haar eigen risicoprofiel en bedrijfscultuur. Cybersecurity is divers en omvat meerdere gekoppelde risico’s. TNO kan u helpen met het ontwikkelen van een interventiebeleid dat is afgestemd op uw organisatie. Meer informatie?

Dr. Rick van der Kleij

088 866 5855
rick.vanderkleij@tno.nl