Iedereen in een organisatie moet doordrenkt zijn van de noodzaak om veilig om te gaan met computers; en vervolgens ook leren hoe je dat doet. Dit vereist verankering in het bedrijf. “De IT-afdeling heeft een voortrekkersrol, maar kan het niet alleen. Ook de HR-afdeling bijvoorbeeld moet dit oppakken”, zegt Jelle Wieringa, evangelist bij KnowBe4.
Wieringa is een van de sprekers tijdens KB4-CON EMEA, het online seminar op 23 september (registreer en bekijk de agenda hier). In de aanloop vertelt hij alvast over de aanpak van KnowBe4. Dat gaat onder meer terug naar de overname van het Noorse bedrijf CLTRe in 2019 (inmiddels volledig geïntegreerd als KnowBe4 Research). “Je moet iets inzichtelijk maken om te weten waar de schoen wringt.”
Stroop
Met stroop vang je vliegen, weet Wieringa. “Om een gedragswijziging te bewerkstelligen moet je belonen, niet straffen. Als je het mensen tegen maakt, ben je verder van huis. Overigens gaat het niet alleen over individuen, maar over de gehele organisatie. Stel dat Els zich uitstekend gedraagt, en Piet klikt toch op een malafide link in een mailbericht, dan nog loopt de organisatie als geheel gevaar. Het is belangrijk dat IT-beveiliging een positief gevoel oproept bij medewerkers; dat zij snappen waarom het nodig is. Iemand aan de lopende band in een voedselverwerkend bedrijf snapt waarom hij een haarnetje op moet. Hij moet ook snappen dat hij niet zomaar een usb-stick in een computer kan stoppen, omdat hij naar muziek wil luisteren”, geeft hij een voorbeeld.
Daarom, zo benadrukt Wieringa, moet ook de HR-afdeling zich nadrukkelijk met dit onderwerp bemoeien. “Zij heeft de taak dat het personeel afdoende is getraind. Daar hoort tegenwoordig ook een security-training bij. Zij moet ervoor zorgen dat het heel normaal is om tijdens werkbesprekingen ook IT-beveiliging naar voren te brengen. Ook zou het onderdeel moeten zijn van beoordelingsgesprekken. Maar in het geheel gebruik van de groepsdynamiek.”
Overigens gaat het hier om een proces, geen project. Het heeft voortdurende aandacht nodig, vanwege personeelsverloop, veranderende bedrijfscultuur, en dergelijke.
Hou het pragmatisch
Velen zijn inmiddels wel overtuigd van de noodzaak tot bewustzijnstrainingen op het vlak van security. “Maar ze worstelen nog wel met hoe je dat dan doet”, zegt Wieringa. “Hou het pragmatisch. Schrijf wel op wat de verwachtingen zijn voor het personeel, maar maak daar geen roman van. Gewoon een lijstje met steekwoorden, eventueel afgestemd op een specifieke functie. Dat werkt het beste.”
