Datalekken vinden plaats aan de lopende band. Niets nieuws dus. Je zou haast kunnen denken dat door alle datalekken je naam, initialen, functieomschrijving en werklocatie inmiddels wel algemeen bekend zijn. Waar maken we ons eigenlijk druk om? De Noord-Ierse politie weet inmiddels beter: haar volledige personeelsbestand bestaande uit 10.000 medewerkers staat online. Een “onacceptabel datalek” met “onmeetbare impact” in een land waar politieagenten regelmatig het doelwit zijn geweest van aanslagen en geweld met een religieus karakter. Had oom agent hier beter moeten weten?
Je bent zo sterk als je zwakste schakel
We kennen allemaal de uitspraak wel: “Je bent zo sterk als je zwakste schakel”. Een uitspraak die door te trekken is naar medewerkers wanneer we het hebben over kennis over passend omgaan met gevoelige informatie. Waar er vorig jaar meer dan 21.000 datalekken plaatsvonden, ontstond het merendeel van de datalekken door menselijk handelen. Denk hierbij aan ‘echte foutjes’ zoals het maken van typefouten bij het uitsturen van een e-mail of poststuk, waardoor ze op een verkeerde plek bezorgd worden, tot het delen van gegevens op een onveilige manier of het delen van persoonsgegevens via phishing. Kortom: organisaties kunnen de boel technisch goed beveiligen en mooie plannen hebben liggen over hoe er gehandeld moet worden als er iets fout gaat, maar dit is onvoldoende. Zou het kweken van bewustzijn en gedragsverandering bij medewerkers niet prioriteit nummer 1 moeten zijn?
Kennis en gedragsverandering moet op #1
Ook bij de politie in Noord-Ierland ging het fout omdat een lijst met aantallen medewerkers en bijbehorende functies per ongeluk voorzien werd van namen en hierop gedeeld werd met de ontvanger (en online werd gepubliceerd). Hoewel fouten nou eenmaal gemaakt worden op de werkvloer, zien we dergelijke voorbeelden (van verschillende omvang en gevolgen) maar al te vaak voorbijkomen. En dat terwijl het overgrote deel van dit soort fouten, nooit aan de oppervlakte komt. Simpelweg omdat het niet in de medewerkers opkomt dat dit wel eens een incident kan zijn waar ze wat mee moeten. Hoewel het bewustzijn over dit onderwerp bij een hoop organisaties in toenemende mate op de agenda komt te staan, is het voor het overig deel de tijd om het roer om te gooien. Alleen zo maak je het risico om in je hemd gezet te worden zo klein mogelijk.
Hoe kun je hiervoor zorgen?
Wanneer je als organisatie inziet dat jouw medewerkers niet de zwakke plek, maar juist de beschermlaag moeten zijn tegen cyberrisico’s en privacy problemen, dan is het tijd om in te zetten op het vergroten van het bewustzijn hierover. Maar hoe doe je dit nou goed?
Allereerst is het belangrijk om in te zien dat één keer leren eigenlijk geen keer leren is. Een eenmalige AVG-sessie, of een enkele phishingmail versturen als trainingsvorm is simpelweg onvoldoende. Om kennis over te brengen en een nieuwe manier van werken te implementeren is herhaling nodig. Ook moet je ervoor zorgen dat de training aansluit bij de praktijk en dus gebaseerd is op de werkelijkheid. Daarom geen saaie ‘doorklik e-learnings’, of eenmalige trainingen, maar terugkerende training via bijvoorbeeld gamification, middels het spelen van een serious game.
Privacy Simulatie
De Privacy Simulatie van ICTRecht is zo’n serious game waarmee medewerkers op een interactieve wijze passend leren omgaan met issues op het gebied van privacy en security. Ze leren door het spelen van de game hoe een organisatie zich kan wapenen tegen datalekken en crisissituaties herkennen. Als speler kom je terecht in het crisisteam dat wordt ingeschakeld door een fictieve organisatie en moet je erachter komen wat er aan de hand is en hoe de organisatie de problemen op kan lossen.
Het spel is waarheidsgetrouw, dus het biedt de medewerker een unieke kans om te oefenen met real life privacy- en securityproblemen. Organisaties kunnen jaarlijks een nieuwe moeilijkheidsgraad van het spel afnemen zodat het trainen van awareness een terugkerend thema wordt binnen de organisatie. De modules worden doorlopend uitgebreid om in te spelen op nieuwe type dreigingen. Medewerkers kunnen hierdoor continue hun kennis op peil houden, zonder dat er taaie trainingen of standaard e-learnings doorlopen hoeven worden. Dit is een unieke manier om medewerkers geboeid te houden en het bewustzijn over deze onderwerpen onderdeel van de werkwijze van jouw organisatie te maken.
Wil jij fouten zoals die van de Noord-Ierse politie voorkomen binnen jouw organisatie en ben je geïnteresseerd in de Privacy Simulatie? Plan dan een vrijblijvende demo in met Jorden Bailey
