Met een paar aanpassingen worden medewerkers gestimuleerd.

Organisaties kunnen meer doen om cyberveilig gedrag te stimuleren. Bijvoorbeeld door security-awareness mee te nemen in recruitment en evaluatiegesprekken. Veel cyberincidenten zijn het gevolg van menselijke fouten, zoals een werknemer die in een phishingmail trapt.

Vrijwel alle Nederlandse organisaties bieden al een vorm van security-awarenesstraining aan, zo blijkt uit onderzoek van Mimecast, een bedrijf voor cybersecurity. De meeste organisaties doen dit elke maand (46%) of elk kwartaal (35%). Vooral groepstrainingen met het eigen IT- of securityteam zijn populair. Om het maximale uit een security-awarenessprogramma te halen, moeten de trainingen verankerd zijn in de gehele organisatie. Dat kan via vijf aanpassingen die veilig cybergedrag te stimuleren.

1. Beloon cyberveilig gedrag
Wees voorzichtig met straffen, maar beloon werknemers als zij goed presteren op het gebied van security-awareness. Deel incentives uit voor het regelmatig melden van verdachte e-mails bij de IT-afdeling of voor enthousiaste deelname aan het trainingsprogramma. Maak cyberveilig gedrag bovendien een vast onderdeel van evaluatie- en beoordelingsgesprekken.

2. Moedig werknemers aan om fouten te melden
Zelfs een goed getrainde werknemer kan per ongeluk op een malafide link klikken. Hoe eerder de IT-afdeling hiervan op de hoogte is, hoe groter de kans dat de schade kan worden beperkt. Bouw daarom aan een open organisatiecultuur waarin mensen niet bang zijn om fouten te melden, maar daarvoor zelfs bedankt worden. Een fout melden moet net zo normaal zijn als koffie halen.

3. Benoem security-awareness als eis in vacatures
Benadruk in vacatures dat security-awarenesstrainingen bij de functie horen en dat het bedrijf dit serieus neemt. De werknemer moet security-awarenesstrainingen volgen om bedrijfssystemen te gebruiken.

4. Communiceer over het doel en testscores
Het is ook zaak om het huidige personeel mee te krijgen met security-awareness. Leg uit dat de organisatie kwetsbaar is en dat iedereen nodig is om cyberincidenten te voorkomen. Communiceer vaak en op een positieve manier over de resultaten en de huidige situatie, bijvoorbeeld over het aantal gevaarlijke kliks of een stijging in het aantal gemelde e-mails. Dit draagt bij aan betrokkenheid en verantwoordelijkheid zonder druk op medewerkers.

5. Let op het taalgebruik
Werknemers krijgen vaak te horen dat ze als eindgebruikers de zwakste schakel in security zijn. Aanpassingen in het taalgebruik laten security-awareness beter landen in de organisatie. Noem de medewerkers die de trainingen volgen bijvoorbeeld geen eindgebruikers, maar cyberverdedigers. Dit benadrukt dat cyberveilig gedrag onderdeel van het DNA moet zijn.