Waarom security awareness onmisbaar is in uw organisatie

Een cyberaanval of datalek kan immens grote schade aanrichten. Hoe verhoog je de security en privacy awareness van je medewerkers? We spreken erover met Marijke Stokkel en Linda van Liempt, privacy- en cybersecuritydeskundigen bij BDO.

Dreiging neemt toe

Een belangrijk aspect van cybersecurity is het zorgen dat medewerkers bewust en veilig omgaan met informatie. Dat is belangrijk voor iedere medewerker die met een apparaat werkt dat verbonden is met internet, maar bijvoorbeeld ook voor medewerkers bij de receptie die ervoor zorgen dat er geen onbevoegden het pand in kunnen komen. 

Stokkel ziet in de praktijk dat veel organisaties hier al flink mee bezig zijn. “We doen geregeld benchmark-metingen op dit gebied. We zien dat er veel aandacht is voor dit onderwerp, maar dat tegelijkertijd de dreigingen toenemen. In de basis zijn veel mensen zich bewust van de risico’s, maar de aanvallers worden steeds slimmer en hun methodes steeds geavanceerder.”

Misleiding

Een van de belangrijkste dreigingen is het misleiden van medewerkers om ze geld of informatie afhandig te maken, bijvoorbeeld door valse e-mails, sms'jes of WhatsApp-berichten te sturen: phishing. Stokkel stipt BEC-fraude (Business E-mail Compromise), dat zich richt op zakelijk e-mailverkeer, aan. “Hierbij doet de crimineel zich voor als een zakelijke relatie van het doelwit. De CEO van het bedrijf bijvoorbeeld, die vraagt om een bepaalde overboeking te doen. Of men geeft zich uit voor leverancier en vraagt het bekende rekeningnummer te veranderen. Beide soorten zien we regelmatig.”
Het kan voor medewerkers erg lastig zijn om deze phishingmails te herkennen. “Medewerkers proberen hun werk vaak goed te doen, maar moeten er wel toe in staat worden gesteld om veilig te werken”, zegt Van Liempt. “Wanneer je honderd mails per dag ontvangt, kan het gebeuren dat je toch op een verkeerde link klikt.” 

Gedragsverandering

Informatiebeveiliging is iets van alle tijden, vertelt Van Liempt. “Vroeger moest je de fysieke post versnipperd weggooien. Nu moeten mensen in een digitaal domein veilig leren werken. Helaas krijg je dat niet met een paar simpele maatregelen voor elkaar. We focussen ons op het veranderen van gedrag door verschillende leerinstrumenten in te zetten. Daarnaast creëren we randvoorwaarden waarmee medewerkers op een veilige manier gewoon hun werk kunnen doen.”

Wanneer Stokkel en Van Liempt bij een organisatie aan de slag gaan, starten ze meestal met een onderzoek. “We beginnen met awarenessmeting. Deze bestaat uit een enquête en een reeks interviews waar we niet alleen kennis toetsen, maar ook de motivatie van medewerkers. Daarnaast meten we in hoeverre medewerkers in staat worden gesteld om veilig te werken. Deze awarenessmeting wordt vaak gecombineerd met een gedragsmeting, zoals een phishingtest waarbij een nep phishingmail wordt verstuurd, of we schakelen een mystery guest in, die probeert binnen te dringen in het gebouw of toegang wil krijgen tot vertrouwelijke informatie”, aldus Stokkel, die benadrukt dat de meetmethodes van BDO gebaseerd zijn op basis van wetenschappelijk onderzoek. “We vinden het belangrijk dat onze diensten gedrag daadwerkelijk verbeteren en werken daarom samen met onderzoekers en stagiairs. Wij willen kennisontwikkeling op dit gebied te bevorderen.”

Doelgroepgericht

Wanneer duidelijk is waar de uitdagingen zitten, is het tijd om met de juiste leerinstrumenten aan de slag te gaan. “Welke we hiervoor inzetten, hangt af van de organisatie. Een groot bedrijf heeft misschien voorkeur voor een online training of platform met geautomatiseerde phishing-simulaties, maar we leveren ook andere soorten awarenessactiviteiten. Denk aan dilemmasessies, crisissimulaties, hackdemo’s, ludieke quizzen en trainingen voor directies”, vertelt Stokkel. “Wat betreft de risico’s kijken we naar het profiel van de organisatie en dat van de medewerkerdoelgroepen in de organisatie. Als het account van een systeembeheerder of CEO gecompromitteerd wordt, heeft dat andere gevolgen dan het account van een gemiddelde verkoopmedewerker of student. Bij het inzetten van leerinstrumenten houden we ook rekening met de verschillende doelgroepen. De één wordt enthousiast van een cybersecurity game, de ander heeft liever een feitelijke uitleg in een korte training.”

Aansluiting bij de werksituatie

In sommige gevallen wordt het meetinstrument ook gebruikt als leerinstrument. “Zo laten we een mystery guest filmen hoe hij het gebouw binnenkomt, over de afdeling loopt en allerlei dossiers in kan zien. Wanneer we in een video laten zien waar het mis gaat en hoe het beter kan, zien we dat medewerkers direct aan het denken worden gezet. Het verhaal sluit specifiek aan bij hun werksituatie”, legt Van Liempt uit. “Dit verhoogt de motivatie om het gedrag te veranderen.” Van Liempt benadrukt dat ook directies kunnen leren. “Zo kan er uit de interviews naar voren komen dat medewerkers in het nieuwe kantoorgebouw met glazen wanden onmogelijk vertrouwelijk kunnen overleggen.”