Security Awareness vergroten door de inzet van Blended Learning

InformatiebeveiligingArtikelen
Geschreven door Michel Lindenborn

Foutje, bedankt.

Het overgrote deel van de beveiligingsincidenten en datalekken, komt voort uit menselijke fouten. Volgens onderzoek van antivirus software producent Kaspersky, was verwijtbaar menselijk gedrag in 2019 de oorzaak van 90% van de clouddienst gerelateerde datalekken. Human error dus, we haalden het al eens aan in ons artikel over de voordelen van het hebben van een ISO 27001 certificaat. Maar hoe borg je Security Awareness in de praktijk, zodat het aantal menselijke fouten op het gebied van informatiebeveiliging zo ver mogelijk terug wordt gedrongen? Wij geloven in e-learning, als onderdeel van een blended learning strategie. Wat ons betreft met afstand de beste manier om dit voor elkaar te krijgen. In dit artikel kijken we naar het belang van veiligheidsbewustzijn, wat blended learning inhoudt en hoe jij dit in kunt zetten om het aantal menselijke fouten in je organisatie verder terug te dringen.  



Het belang van Security Awareness 

Security Awareness is volgens Wikipediade kennis en houding die leden van een organisatie bezitten met betrekking tot de bescherming van de fysieke, en vooral informatieve, activa van die organisatie.’ Simpel gezegd: medewerkers snappen hoe ze veilig om kunnen gaan met informatie. Wanneer medewerkers dat goed begrijpen, worden de risico’s beperkt die de continuïteit van een bedrijf in de weg kunnen staan. Medewerkers met een groot veiligheidsbewustzijn zijn minder vatbaar voor phishing mails, voor het klikken op een verkeerde link of voor het delen van wachtwoorden.  

Het creëren of vergroten van die bewustwording gaat over het aan- en afleren van gedrag. Medewerkers moeten in staat zijn om antwoorden te hebben op een reeks van vragen: hoe handel ik veilig? Waar moet ik op letten bij het versturen van een mail? Bij welke signalen zouden er alarmbellen moeten gaan rinkelen? En ook; wat doe ik als ik dan iets verdachts heb herkend? Hoe draag ik bij aan het afremmen van een verdere verspreiding van een geconstateerd risico? Hoe herken ik vandaag het nieuwe risico van morgen?  

De conclusie is al snel; een plenaire training en een mooie vuistdikke handleiding gaan niet voldoende effect hebben. Om de veranderlijke wereld van externe beveiligingsrisico’s bij te benen én een gedragsverandering te realiseren, moet je continu aandacht besteden aan het onderwerp. Want dat wat top of mind is, dat pas je consequent toe.   


E-learning als motor gedragsverandering 

Met een e-learning kies je voor een tool die altijd beschikbaar is voor je medewerkers. Niet langer is het verspreiden van kennis afhankelijk van de agenda’s van de personen in je organisatie die de specifieke kennis bezitten. Je trainingsbudget kan met een stuk tooling vele malen efficiënter worden ingezet, want voorbij is de huur van zaal en apparatuur. Of het rekening houden met de capaciteitsgrenzen van een trainingslocatie. Een online trainingsmodule helpt om medewerkers op hun eigen tempo en eigen niveau te laten werken aan trainingsstof. Daarbij helpt een goede e-learning zowel de cursist als de organisatie met inzichten: welke onderdelen ervaart men als lastig en verdienen meer aandacht? Welke kennis blijkt al goed aanwezig?  

Een goede online cursus is daarbij interactief en maakt gebruik van verschillende soorten opgaven, om het leren attractief, effectief én leuk te maken. Denk hierbij aan afwisseling tussen audio en video, de inzet van drag en drop om antwoorden in een juiste volgorde te zetten, of de welbekende multiple choice vraag.  

Goede e-learning software helpt ook om gemakkelijk en snel trainingen te ontwerpen of aan te passen. Voorbij zijn de powerpoints met opvolgende versienummers of de stapels uitgeprinte, maar inmiddels hopeloos achterhaalde, handleidingen. Je beheert op één plek de enige bron van trainingsinformatie. Tot slot helpt de online beschikbaarheid van die informatie bij het gemakkelijk verspreiden ervan. Plaats de links naar belangrijke trainingen op een intranet. Organiseer een themamaand en laat HR in de mailhandtekening linken naar de laatst bijgewerkte cursus. Breng je e-learning onder de aandacht in een whatsappgroep met je collega’s. Alles, om ervoor te zorgen dat je belangrijke trainingsinformatie continu onder de aandacht blijft brengen en een echte gedragsverandering voor elkaar krijgt.  

 

Security Awareness & Blended Learning 

De genoemde pluspunten van een e-learning, maken het bij uitstek een goed middel om medewerkers schaalbaar en effectief te trainen op het verbeteren van hun veiligheidsbewustzijn. De wendbaarheid van de tool helpen om de snelle veranderingen spoedig en kostenefficiënt in de trainingen op te kunnen nemen. De interactiviteit van een online oplossing, helpen je echte situaties na te bootsen. En de uitkomsten van de trainingen geven je een feitelijk, op data gebaseerd, beeld van de stand van het veiligheidsbewustzijn in jouw organisatie.

Ok, so far so good. Maar hoe pak je de inrichting van de e-learning nu aan? Wanneer je zelf aan de gang wilt gaan met het maken van een Security Awareness training, hebben we een aantal hele praktische tips: 

 

#1 Praktijkvoorbeelden

Zorg ervoor dat medewerkers geen vertaalslag hoeven doen naar hun eigen praktijk, maar creëer die eigen praktijk in je e-learning. Bij vragen over phishing: kies bestaande phishing mails, die je opzoekt met Google Afbeeldingen. Stel je vragen over je antivirusoplossing? Gebruik dan ook echt screenshots van je eigen omgeving. Beperk je nooit tot alleen het toetsen van de theorie, maar vertaal die theorie altijd naar herkenbare situaties. 

#2 Hoe eet je een olifant?

Juist. Hapje voor hapje. Security is een breed onderwerp. Breng focus aan, door de belangrijkste onderwerpen (lees: risico’s) voor jouw organisatie de meeste aandacht te geven. Maak een basistraining waarin je de belangrijkste risico’s afvangt. Creëer follow-up trainingen waar je de belangrijkste onderwerpen herhaalt én het voorkomen van kleinere risico’s aankaart.

 

#3 Regelmatig updaten & aanbieden!

Werk je e-learning elke keer bij, als er nieuwe vormen van risico’s bekend zijn. Maak varianten van een phishing mail, zodat je hetzelfde principe met verschillende varianten traint. Check ook na 4 maanden nog eens of die procedure nog tussen de oren zit en stel er opnieuw vragen over.  

#4 Maak het interactief 


Varieer. Dus kom niet alleen met alinea’s tekst en een multiple choice vraag. Gebruik de potentie van je tool en zet video, audio en interactieve vragen in, om de stof nog beter tussen de oren van medewerkers te krijgen.  

#5 Het wiel is al uitgevonden 

Natuurlijk moet je de materie aanpassen naar jouw specifieke situatie, maar dat wil niet zeggen dat je alle vraagstukken van voor tot achter moet verzinnen. Gelukkig voor jou, maar helaas voor hen, zijn er genoeg organisaties de fout in gegaan in het verleden. Dat biedt voorbeelden om soortgelijke risico’s bij jou te voorkomen. Een aantal plekken waar je inspiratie kunt opdoen, om goede trainingscontent mee te maken: 

  • De phishing quiz van Jigsaw (de quizoplossing van Google). 

  • Kenniscentrum Platform Informatiebeveiliging  

  • Security afdeling van techtarget.com. Bijvoorbeeld deze blog over 10 security incidents. 

  • Grootschalige, aansprekende én recente voorbeelden vind je door op nu.nl te zoeken op ‘datalek’ 

 

En dat blended learning dan? 

We hebben nog wat onbelicht gelaten: in de opening van dit artikel spraken we heel bewust van de e-learning als onderdeelvan een blended learning strategie. Wat is dat dan? Blended learning is het aanreiken van trainingsstof via zowel digitale middelen als via persoonlijk contact. En daar zit, volgens de vakliteratuur*, nu precies de succesfactor in voor die gedragsverandering die je zo nodig hebt voor het verbeteren van veiligheidsbewustzijn.

Met de e-learning geef je richting aan de lesstof die je in algemene zin getraind wilt hebben. De inzichten die gemaakte trainingen geven, kunnen vervolgens worden gebruikt om op individueel niveau bij te sturen. Bij die ene collega betekent dat nog eens doorlopen waarom hij moeite heeft met herkennen van phishing mails. Bij een ander blijkt het handig nog eens face to face bespreken wat een sterk wachtwoord precies inhoudt. En misschien moet HR het in de beoordelingsgesprekken komend jaar standaard met iedereen bespreken; wat te doen bij het constateren van een datalek? Door online resultaten te verbinden aan persoonspecifieke aandachtspunten, breng je de twee werelden optimaal bij elkaar en ga je échte verandering teweeg brengen.  

 

Slot

Met de juiste inzet van blended learning, zorg je voor een nog betere inzet van je trainingscapaciteit. Je verlaagt kosten en tijdsinspanning aan de voorkant, door een interactieve en effectieve training voor al je medewerkers klaar te zetten. Met die uitkomsten, kun je de persoonlijke trainingsinzet veel meer afstemmen op het individu. Zo zet je de expertise van je trainers nog meer in om echte inhoudelijke verbetering te realiseren. En dát zorgt ervoor dat je kunt blijven meebewegen met de risico’s van morgen. Trainze! 

Onze Security Awareness e-learning inzetten als onderdeel van jouw blended learning strategie? Lees hier meer over onze oplossing, of neem met ons op!  

* Bron: Continu.co.

 
Michel Lindenborn
Vorige

Enreach
Volgende

Vijf voordelen van een ISO 27001 certificaat