Zakelijke trainingen zijn niet altijd leuk en inspirerend. Soms voelt het als een ‘moetje’ en doe je niets anders dan de tijd uitzitten. Zo kan het ook gaan bij security awareness-training. Nobel om dat als it’er voor de medewerkers in jouw organisatie te organiseren, maar zonde (en potentieel gevaarlijk) als deelnemers tijdens zo’n training tegen de slaap vechten.
De noodzaak van security awareness-trainingen is vaker benoemd. De reputatieschade en financiële schade van datalekken, ceo-fraude of besmetting met ransomware kunnen bedrijven de das omdoen. Het is daarom verontrustend dat uit onderzoek van Enterprise Management Associates (een grote analist in de it-wereld) blijkt dat zo’n zestig procent van de bedrijven dat security awareness-training intern aanbiedt daarvoor weinig effectieve methoden gebruikt. Zo stuurt 36 procent van de onderzochte bedrijven maandelijks een video met veiligheidsinstructies naar medewerkers. Bijna een kwart van de bedrijven geeft eens in de zoveel tijd een klassikale training, waarbij medewerkers in een zaaltje (met een paar snacks, als ze mazzel hebben) moeten luisteren naar een lange powerpointpresentatie.
Inspireren
Genoemde methodes beschouwen medewerkers als een passief publiek en betrekken ze dus onvoldoende bij het beveiligingsprobleem waar bedrijven mee worstelen. Zo voelt een security awareness-training eerder als een straf dan als een manier om personeel te leren (en te inspireren!) om actief deel te nemen aan de veiligheid van hun organisatie. Ze houden er ook geen rekening mee dat medewerkers verschillende talenten en zwakke punten hebben, en dus verschillend reageren op de leerstof. Werknemers hebben bovendien verschillende behoeften op het gebied van security awareness, afhankelijk van hun functie en toegang tot gevoelige informatie. Kortom, een one-size-fits-all-benadering werkt gewoon niet.
Daarom leidt het gebruik van bovengenoemde methodes bij it-afdeling en directie vaak tot teleurstelling: het online-gedrag van medewerkers verandert nauwelijks. Daarmee is de kans aanwezig dat leidinggevenden het hele idee van security awareness-training overboord gooien in plaats van kritisch te kijken naar de trainingsmethode.
Hapklare brokken
Toch is een positieve gedragsverandering echt te bereiken. Het geheim is security awareness-training regelmatig en in hapklare brokken aan te bieden. Niet alleen met online-trainingsmodules (die een medewerker kan volgen wanneer hij of zij er tijd voor heeft), maar ook met grappige video’s, games en valse phishing-e-mails. De inhoud komt dan frequenter langs en is gevarieerder, waardoor het een grotere impact heeft.
Bij deze aanpak is de training interactief en gebaseerd op de functies van personeelsleden, waardoor zij het eerder relevant en waardevol zullen vinden. Omdat het uitdagender is, worden de gedachten en het geheugen van medewerkers effectiever aangesproken dan wanneer ze passief zitten te kijken naar een (half)jaarlijkse presentatie. Je kunt als it’er het enthousiasme verder vergroten door een systeem met beloningen in te zetten: de medewerker die in een bepaalde periode het best scoort kan leuke prijzen winnen. En niet onbelangrijk: draag ook zelf de waarde van training uit en weet collega’s te enthousiasmeren. Daarmee is effectieve security awareness-training bepaald geen straf.
Er is wel degelijk een ‘One size Fits All’.
Meer dan 85% van IT, ICT, IoT, Ai etc professionals en 99% van alle andere professionals in en met IT, ICT, IoT, Ai etc, hebben geen enkele kennis en notie van de essentials en principes van (digitaal/machinaal) Automatiseren. Natuurlijk, zij kunnen ‘cracks’ zijn binnen discipline of vakgebied, maar het ‘explosieve’ bevind zich hier.
Zij beoefenen allemaal het vak ‘automatiseren’ uit. Zij vertellen, roepen, hypen, verkopen en onderhouden Automatisering. Dat doen zij met de kennis van eigen verkozen vakgebied en/of discipline. Prima, niets mis mee. Maar met automatiseren is iets. Het is namelijk exact, lineair, en bovendien, 100% Voorspelbaar.
Elke voorstelbaar element, discipline, software, hardware, geimplementeerde methodiek is … 100% Voorspelbaar.
Maar als je niet van die essentie en principes op de hoogte bent? Dan krijg je heel veel hele hoge rekeningen. Want als je de essenties en doelstellingen van automatiseren niet kent, kun je ook niet exact werken, en niet exact in auomatiseren betekend, 100% voorspelbaar, aantoonbaar, heel veel hele hoge rekeningen.
Commercie, het verworden virus
Weinigen begrijpen dat de doorgeslagen commercie, de opponent van automatisering, paradoxaal genoeg, aan de basis staat van vrijwel alle denkbare gevaren, problemen, ontsporingen, naam en reputatieschades, in en met automatisering is. Zo zijn er nog wel een paar gevaren die aan de basis liggen van elke denkbare accident, omissie, incident, ontsporing denkbaar. Het antwoord op dat gevaar ligt dan ook voor ieders ogen maar ….
Begrijp je niets vand e essenties en principes van automatiseren, dan heb je al gauw het idee dat er op ‘gevaar’ telkens weer, een vooral commercieel geschoeit’ antwoord moet komen. En dat is nou juist een hele grote gemiste kans. Want de essentie van gevaar is risico, is de inschatting van gevaar en risico, en de oorzaak, bodem, fundament wegnemen. Niet wederom een ‘zoveelste commerciele oplossing’ bedenken en implementeren.
Een hele eenvoudige tip, de gemene deler voor elke organisatie die veel meer met zich mee draagt, een E2E procedure.
====
Een ieder van de organisatie is (mede) verantwoordelijk voor de organisatie en ieder individueel. Zo heeft elk lid van de organisatie de vanzelfsprekende verantwoordelijkheid, elke omissie die zij/hij tegen komt, op te nemen, te beleggen bij de daarvoor toegeeigende ‘oplossende’ entiteit, en de verantwoordelijkheid eigenaar van de omissie te blijven tot deze is opgelost. Ook wanneer zij/hij niet aktief deel uit maakt van de oplossing, heeft zij/hij het gevoel van en voor verantwoordelijkheid zich op de hoogte te laten houden.
Alleen samen dragen we bij tot elkaars persoonlijke en zakelijke veiligheid en een gezonde omgeving.
=====
Dat is een eenvoudige, internationaal gebezigd, principe waarbij collega’s van hoog tot laag, begaan zijn met het welzijn en veiligheid van elkaar, persoonlijk en zakelijk, en zich daar in de dagelijkse praktijk dan ook hard voor willen maken.
Hier heeft u in één klap de awareness, veiligheid en, zeer duur betaalde commerciele ‘Lean’ in één vervat en daar hoort ook natuurlijk de individuele kijk op beveiligen en veiligheid bij. Hoe groter de organisatie, hoe langzamer in de regel dit bewustzijn maar, als hele grote internationale bedrijven dit kunnen, dan kunnen kleinere organisties het nog vele malen sneller.
Alle grote veranderingen, beginnen altijd bij één simpele gedachte, die zelden commerceel is.
Succes.
RC