Cyberbewustzijn bij werknemers verhogen: zo pakt u dat aan

Meer dan 90 procent van de datalekken en cybersecurityproblemen ontstaat door menselijk handelen. Mensen binnen de organisatie vormen de kwetsbare schakel, waardoor cyberaanvallen ondanks goede beveiligingssystemen succesvol kunnen zijn. Het verbeteren van de cyberveiligheid draait daarom grotendeels om het verhogen van cyberbewustzijn bij werknemers, stelt consumentenpsycholoog Patrick Wessels. 

Hoe maakt en houdt u uw medewerkers bewust van de risico’s van cyberaanvallen? Dit verhaal legt het uit. Meer weten? Lees ook over ransomwarephishingDDoS-aanvallen en datalekken of over de nieuwste cybercrime trends en IT-beveiliging.

Het bewustzijn van cybersecurityproblemen onder werknemers is in veel organisaties laag. Dat is gevaarlijk, omdat hun gedrag vaak bepaalt of een cyberaanval succesvol is. Of dat het al in een vroeg stadium lukt om de aanval af te slaan, zodat de organisatie daar de gevolgen niet van ondervindt. Het is belangrijk dat werknemers zich bewust zijn van risico’s zoals:

  • Phishing
  • Malware
  • Ransomware
  • Hacking

Cybercriminelen proberen systemen binnen te dringen, toegang tot data te krijgen of mee te kijken bij specifieke beslissingen. De specifieke risico’s verschillen per branche en per bedrijf. De oplossing is in veel gevallen vergelijkbaar: meer cyberbewustzijn houdt cybercriminelen veel beter buiten de deur. 

5 manieren om werknemers bewuster te maken

Werknemers die zich beter bewust zijn van de cyberrisico’s herkennen eventuele openstaande deuren, cybercriminelen die proberen binnen te dringen en andere situaties die potentieel gevaarlijk zijn. Met voldoende bewustzijn voor de digitale risico’s is eigenlijk iedere werknemer een extra laag aan beveiliging voor de organisatie. 

Phishing

Deze vijf manieren beschrijven mogelijkheden om het bewustzijn onder werknemers stapsgewijs te verhogen:

1. Meet awareness onder medewerkers

Begin met een meetmoment van de awareness onder het personeel. Het is een nulmeting, om vast te stellen waar je als organisatie op dit moment staat. Stuur bijvoorbeeld een test-e-mail aan alle werknemers. Gebruik een phishing-mail of een andere e-mail die vraagt om informatie die werknemers niet zouden mogen delen. Of meer algemeen, waarbij de alarmbellen zouden moeten gaan rinkelen.Meet vervolgens hoeveel werknemers inderdaad merken dat er iets niet klopt. En hoeveel werknemers er niets mee doen, en er juist wel op klikken of in meegaan. Let op: houd alleen algemene statistieken bij. Het is niet de bedoeling om specifieke werknemers aan te spreken op hun ‘verkeerde’ handelen. In plaats daarvan gaat het om het algemene huidige beeld van het cyberbewustzijn. 

Tip: herhaal de meting tijdens het proces, bijvoorbeeld door iedere 3 tot 6 maanden te meten hoe het staat met het cyberbewustzijn van werknemers. 

“Wijs op specifieke risico’s die de organisatie loopt of deel informatie tijdens een lezing of training.”

2. Deel inzichten met meer werknemers

Deel de inzichten in de actuele awareness en in de vooruitgang met zoveel mogelijk werknemers. Bespreek bijvoorbeeld de resultaten van de nulmeting, door aan te geven waar de risico’s zitten en waar het bewustzijn misschien al groter is. Het vergroot de betrokkenheid van werknemers. Ga tegelijkertijd in gesprek met werknemers, door ze te vragen naar waar zij wellicht vragen over hebben. Of waar ze behoefte aan hebben, om vast te stellen hoe ze zich graag bewuster zouden maken van de risico’s die er op dit moment zijn. Door de interactie aan te gaan neemt de betrokkenheid verder toe, dus is de kans groter dat de rest van de maatregelen meer effect heeft.Let op: houd er rekening mee dat werknemers die zich niet bewust zijn van de risico’s niet goed weten waar ze om moeten vragen of welke voorkeur ze zouden moeten hebben. Bij grote onbekendheid is het soms beter om (bovenop de voorkeuren) algemene trainingen en testen te organiseren. 

Tip: wijs op specifieke risico’s die de organisatie loopt of deel informatie tijdens een lezing of training. Wijs op die manier op de gevaren van bijvoorbeeld phishing, malware, ransomware en hacking.

3. Doe een phishing-simulatietest

Een praktische aanpak is bijvoorbeeld de phishing-simulatietest. Het is een e-mail waarbij je test of de eerder gedeelde informatie over phishing, malware, ransomware en hacking inderdaad goed is doorgedrongen.

De test is eenvoudig. Vraag de IT-afdeling om een e-mail te ontwerpen zoals een cybercrimineel dat zou doen, om met phishing data te verzamelen. Stuur bijvoorbeeld een e-mail over een aanstaand groot evenement, waarvoor werknemers kaarten kunnen winnen. Als personeel van de organisatie zijn zij speciaal geselecteerd voor de beste tickets. Een klik op de button is voldoende om kans te maken.

Houd vervolgens bij wie er inderdaad op de button klikt. En wie er niets doet of zelfs meldt dat er mogelijk iets niet in de haak is. Deel de resultaten met de IT- en/of security-afdeling. Breng op die manier in kaart of de risico’s zijn afgenomen na de nulmeting aan het begin van het proces.

Phishing

4. Organiseer een cyber-awareness-training

Organiseer vervolgens een cyber-awareness-training. Kies voor een combinatie van theorie over de risico’s, praktische tips om daarmee om te gaan en voorbeelden van situaties die zich kunnen voordoen.

De phishing-simulatietest en de resultaten daarvan kunnen een mooie case vormen om te delen. Het is opnieuw niet de bedoeling om individuele werknemers aan de schandpaal te nagelen. Deel alleen algemene statistieken, die laten zien hoe jullie hier als organisatie op dit moment mee omgaan.

Wijs op de gevaren die bijvoorbeeld een e-mail kunnen bevatten en deel ook voorbeelden van de andere vormen van cybercrime. Op die manier neemt het bewustzijn van cyberrisico’s toe, om daar in het vervolg scherper op te zijn.

5. Vier de vooruitgang bij meer cyberbewustzijn

Vergeet ten slotte ook de vooruitgang niet te vieren als het cyberbewustzijn toeneemt. Het is belangrijk om werknemers te motiveren om hier alert op te blijven en bijvoorbeeld actief te waarschuwen als ze iets opvallends zijn.

Dat lukt alleen als de motivatie hoog is om hierop te letten en daar informatie over te delen. Blijf bijvoorbeeld awarenessmetingen doen, en vier het op het moment dat jullie als team of als volledige organisatie vooruitgaan. Dat helpt om de volgende stap te zetten, vanuit de motivatie om de menselijke cyberbeveiliging zo sterk mogelijk te maken. 

Cyberbewustzijn bij werknemers verhogen: zo pakt u dat praktisch aan

Heeft u bedrijf alles in huis om u te beschermen tegen cyberaanvallen? Vodafone Business kan u helpen om alle schakels in uw bedrijf te beveiligen. 

Cyberbewustzijn bij werknemers verhogen: zo pakt u dat praktisch aan

Veilig Vooruit

Bescherm uw medewerkers, apparaten, locaties en verbindingen. 

BusinessScan

Advies over uw digitale oplossingen

Beter en veiliger samenwerken met uw medewerkers? Slimmer bereikbaar zijn? Doe de Business Scan en krijg binnen 5 minuten gratis en vrijblijvend ICT-advies voor uw bedrijf.