Security awareness, een relatief bekend begrip binnen onze sector. Tegenwoordig erkennen steeds meer organisaties het belang van menselijk gedrag voor de gehele informatiebeveiliging van de organisatie. Trainingen binnen het kader van ISO 27001 zijn bedoeld om medewerkers niet alleen bewust te maken van informatiebeveiligingsrisico’s, maar hen ook in staat te stellen veilig te handelen in hun dagelijkse werkzaamheden. Het gaat daarbij niet om het ‘afvinken van verplichte kennisoverdracht’. Dit zag ik namelijk voorheen wel eens in het werkveld, maar het gaat om het ontwikkelen van begrip, vaardigheden en gewenst gedrag dat aansluit bij de praktijk. Effectieve security awareness ondersteunt het Information Security Management System (ISMS) door beleid en maatregelen te vertalen naar herkenbare situaties. Dit zorgt ervoor dat medewerkers weten wat er van hen wordt verwacht, waarom dat belangrijk is en hoe zij hier concreet naar kunnen handelen.
In het vorige blog van mijn collega Laurens Rüpp lieten we zien waarom informatiebeveiliging in de praktijk zelden faalt door technologie, maar vaker door het menselijk gedrag. Het blog hierna van mijn collega Hediye Kamalizade liet zien dat menselijke fouten vaak een logisch gevolg zijn binnen de organisatorische context van organisaties. Dit is het laatste deel. We bespreken hier onder andere de praktische tips en de mogelijke methodes voor het opzetten van een security awareness training, die rekening houdt met de context, routines van het menselijke gedrag.
Samenvatting theorie
Als eerste hierbij nog een korte samenvatting van de theorie uit de vorige blogs. Informatiebeveiliging wordt vaak benaderd als een technisch vraagstuk, terwijl in de praktijk veel incidenten terug te leiden zijn tot menselijk gedrag. Dat gedrag is zelden irrationeel of onverschillig, maar ontstaat onder invloed van emoties, routines, sociale normen en context. De neuroloog António Damásio is er bijgehaald en stelt dat ‘mensen voelende machines zijn die denken’. Dat betekent dat veilig of onveilig gedrag niet primair wordt gestuurd door kennis of regels. Het eerste blog introduceert een systematische gedragsaanpak op basis van vijf gedragslenzen, afkomstig uit het Persuasive by Design-model. Deze lenzen maken inzichtelijk hoe informatieveilig gedrag tot stand komt: via gewoontes en impulsen, kennis en overtuigingen, zichtbaarheid en feedback, motivatie en vaardigheden, en herhaling in de dagelijkse praktijk. Dit gaan we dan ook meenemen voor de opzet van de awareness training.
Daarnaast kwam in het tweede blog ook naar voren dat zelfs de beste en meest loyale medewerker op een phishinglink zou kunnen klikken en dat dit niet uit onwil voortkomt, maar door de manier waarop ons brein en onze werkomgeving functioneren. Door bijvoorbeeld hoge werkdruk of vermoeidheid. Hierdoor schakelen we over op de ‘automatische piloot’, waarbij we snelle, onbewuste beslissingen nemen om energie te besparen, waardoor waakzaamheid afneemt. Onderzoek laat zien dat de menselijke factor bij een groot deel van de datalekken een rol speelt. Extra trainingen of strengere regels zijn daarom zelden de oplossing, de beveiliging faalt namelijk ook vaak door een kloof tussen beleid en praktijk, onwerkbare processen en een cultuur waarin werkdruk veiligheid ondermijnt. Effectieve informatiebeveiliging vraagt om een integrale benadering waarin mens, proces en techniek samenkomen en waarbij de veilige route ook de makkelijkste route is.
Deze informatie is zeer relevant en helpt ons inzicht te krijgen op wat uiteindelijk wel en niet werkt, maar ook waarom. Dit kunnen we goed gebruiken om de daadwerkelijke training vorm te geven en komt terug in de tips.
Opvallend, maar uiteindelijk best logisch
Er zijn natuurlijk verschillende manieren om security awareness goed te implementeren in de organisatie. Wat we uiteindelijk kunnen concluderen is dat er geen ‘One size fits all’-oplossing is. Ook dat er consistentie en herhaling nodig is, ofwel, geduld. Menselijk gedrag pas je niet snel of gemakkelijk aan. Wel zien we in de praktijk, bij andere organisaties verschillende toepassingen van hoe zij bezig waren het bewustzijn van medewerkers te verbeteren. Wat vaak, over het algemeen als positief wordt ervaren is het volgende.
Een laagdrempelig aanspreekpunt
Niet één aanspreekpunt, maar meerdere wat betreft vragen over security en/of privacy in verschillende afdelingen (vaak op locatie). Zeker bij grotere organisaties, is de stap naar meteen een FG of CISO, die vaak al erg druk zijn, groter dan een medewerker in een team die snel even je vraag kan beantwoorden. Een organisatie noemde het ook wel ‘Informatiebeveiliging (en privacy) vraagbakens’. Dit kunnen medewerkers zijn met affiniteit met dit onderwerp en per kwartaal een sessie hebben om op de hoogte gehouden te worden van recente ontwikkelingen binnen en buiten de organisatie m.b.t. informatiebeveiliging (en eventueel privacy).
Een open en leergierige bedrijfscultuur
Dit kan natuurlijk op verschillende manieren worden opgevat en misschien zelfs wat cliché klinken. Toch helpt het als een leidinggevende vanaf het begin uitlegt waarom informatiebeveiliging en privacy belangrijk zijn, welke (gedrags)regels binnen de organisatie gelden en dat fouten maken nu eenmaal menselijk is. In zo’n omgeving zijn mensen eerder geneigd om ermee aan de slag te gaan en verantwoordelijkheid te nemen. Vaak geven medewerkers dan ook sneller aan als ze twijfelen over iets of een fout maken, zoals op een phishingmail klikken. Dit verhoogt de incident meldingsbereidheid bij medewerkers en dit borgt uiteindelijk dat de organisatie een beter zicht heeft op de gevaren en de daarbij behorende risico’s. Uiteindelijk kan de organisatie hierop dan gepaster reageren, door bijvoorbeeld gerichte trainingen.
De trainingen laten aansluiten op een bestaand overleg of bijeenkomst
Met de awareness training kun je ook aansluiten op een bestaand overleg die periodiek wordt gevolgd door een groep medewerkers. Je kunt een training ook samenvoegen met een bijeenkomst (zowel fysiek als digitaal). Daardoor heb je al meteen een groep mensen die aanwezig is en laat je zien dat informatiebeveiliging en/of privacy een belangrijk onderwerp is, die voor iedereen geldt. Houd hiermee wel rekening met de doelgroep.
Tips voor het opstellen van een security awareness training
Vaak zijn de security awareness trainingen inhoudelijk prima, maar ze missen soms hun doel. Medewerkers weten na afloop vaak wél wat phishing is of waarom sterke wachtwoorden belangrijk zijn, maar in de praktijk verandert er weinig. De stap hierna ontbreekt. Dat is dus geen onwil, maar een logisch gevolg van hoe menselijk gedrag werkt. De organisatorische context van een organisatie, bijvoorbeeld werkdruk of de werkomgeving, heeft hier ook invloed op.
Het opstellen van een effectieve security awareness training is vaak lastig. Hoe zorg je ervoor dat medewerkers niet alleen weten wat veilig gedrag is, maar dit ook daadwerkelijk gaan toepassen in hun dagelijkse werk?
Tip 1. Zorg dat je afwisselt per training; zowel fysiek als digitaal en sluit aan op de doelgroep.
Afwisseling zorgt dat men in eigen tijd hieraan kan werken, maar door fysieke aanwezigheid kun je de groep monitoren en inspelen op interactie. In fysieke trainingen kun je peilen wat goed aankomt en waar er vraag naar is. Ook kun je dan per groep specifiekere thema’s behandelen die voor die doelgroep meer van toepassing is.
Tip 2. Gewoontes aanleren door herhaling en beloning.
Borg in de training afspraken met betrekking tot informatiebeveiliging voor verschillende afdelingen. Zorg dat de belangrijkste informatie en afspraken elke training herhaald worden (wel op verschillende manieren of perspectieven). Zodat het aansluit op de praktijk en zorg voor een positieve beloning aan ‘goed gedrag’. Dit sluit aan op de theorie van de gedragslenzen, die de kracht van herhaling bespreekt. Door bepaalde werkprocessen vast te leggen, dit herhaaldelijk te communiceren naar medewerkers toe en ze het te laten uitvoeren, zorg je ervoor dat dit op termijn een werkwijze wordt die medewerkers op een gegeven moment als ‘standaard’ ervaren.
Tip 3. Zichtbaarheid van het informatiebeveiligingsgedrag vergroten.
Deze tip sluit aan op gedragslens drie. Het zorgen voor inzicht en kennis bij medewerkers helpt om ze mee te krijgen in verandering. Zorg voor zichtbaarheid van de bedrijfsrisico’s en borg dat ze inzicht krijgen op hun eigen gedrag m.b.t. informatiebeveiliging en privacy. Dit kun je bewerkstelligen door praktijkvoorbeelden en ervaringen in de trainingen te verwerken. Dit kan vervolgens door iets te leren van de incidenten. Dit kan door een ‘root cause analyse’ uit te voeren. Dit is een systematische methode om de onderliggende oorzaak (de kern van het probleem) van incidenten te helpen identificeren, met als doel begrijpen waarom het incident heeft kunnen plaatsvinden. Het belangrijkste is, communiceer open naar medewerkers en neem ze mee om zo herhaling in de toekomst te voorkomen.
Tip 4. Focus tijdens de training op het menselijk gedrag onder (werk)druk.
Zoals ook beschreven in het tweede blog, is het van belang het te erkennen dat dit een veelvoorkomende oorzaak is van een menselijke fout. Speel hier dan ook op in door tijdens de trainingen te oefenen met het nemen van beslissingen onder druk. Het voorkomen van werkdruk is natuurlijk het eerste waar je naar moet kijken, maar soms ontkom je niet aan een drukke week met deadlines. Zorg voor input bij medewerkers en gebruik dit voor realistische tijdsdruk-simulaties (scenario’s) waarin je in de training kunt focussen op het integreren van reflexen (simpele gedragstoepassingen) die men dan kan uitvoeren om de risico op fouten, zoals het klikken op een phishinglink, te verkleinen. Bijvoorbeeld als er een urgente actie wordt verwacht van een collega, dat er altijd eerst een berichtje/belletje wordt gedaan.
Uiteindelijk draait effectieve informatiebeveiliging niet om strengere regels of meer kennis. In deze serie hebben we laten zien dat informatieveilig gedrag ontstaat door een omgeving die veilig handelen vanzelfsprekend maakt. Wanneer organisaties bewust investeren in gedrag, processen en cultuur, wordt security awareness niet een verplicht onderdeel van compliance, maar verankerd binnen de werkomgeving. Het draait om het ontwerpen van een werkomgeving waarin veilig gedrag vanzelfsprekend wordt, gedragen door mensen die begrijpen dat hun dagelijkse keuzes daarin het verschil maken.
Onze unieke 'Phishing Awareness Service' traint je medewerkers om phishing e-mails te herkennen en hier passend mee om te gaan.
