Bedrijven maken wel eens de misvatting te denken dat een cybersecuritytechnologie een bedrijf voldoende beschermt, zolang de werknemers maar de vaardigheden hebben om de technologie te gebruiken. Fickinger weet als user adoptie consulant bij Cegeka echter dat adoptie veel meer is dan een training geven over een nieuwe technologie.
Het introduceren van een nieuwe beveiligings-oplossing in het bedrijf is zeker een goede stap, maar zal geen totale bescherming van je bedrijf bieden. In het ADKAR-model is het zelfs pas de vierde stap, Ability, om medewerkers een beveiligingsoplossing te leren gebruiken. Dit model dient om werknemers bij te staan tijdens veranderingen, zoals bij de introductie van een nieuwe technologie. Het model verlegt dus de focus van de technologie naar de mens. Binnen de cybersecurity is dat een relevante denkwijze, want werknemers vormen een digitale ingang naar je bedrijf. Een ingang die hackers bovendien gretig misbruiken.
De werknemer als vertrekpunt
De denkwijze om vanuit de werknemers te vertrekken, valt naar veel aspecten door te trekken. “Als we een security-aspect integreren dan starten we vanuit user adoptie. Dat is voor de technologische kant best wel gek omdat het zo vroeg is in het proces, maar wij onderzoeken welke doelgroep we hebben in de organisatie, wat ze al weten over security,…. Dat is voor ons de stap om te kunnen bepalen wat de mate van security awareness in de organisatie is”, duidt Fickinger. Deze gesprekken verlopen met verschillende personaprofielen, zodat niet alleen de manager zijn zegje kan doen. Verschillende afdelingen zijn betrokken bij de gesprekken, wat ook goed is voor de beeldvorming van de doelgroep.
Niet iedere werknemer kan leren vanuit een presentatie en ook het tempo waarop leerstof wordt opgenomen, verschilt per werknemer. Fickinger moet dus achterhalen wat werkt voor een bedrijf en in hoeverre security awareness al aanwezig is om dat verder uit te breiden: “Het zou gek zijn om bij alle bedrijven standaard vanuit nul te vertrekken. Dat maakt werknemers niet gelukkig en levert ook niet de beste resultaten op.”
Bovendien is niet heel de organisatie in één niveau onder te brengen. De oorzaak hiervan kan liggen bij de een gefaseerde introductieperiode van een nieuwe beveiligingstechnologie. Stel bijvoorbeeld bij een nieuwe phishingtraining die IT al in januari volgt , terwijl HR pas in maart aan de beurt is. Al blijft het zo dat leren ook gewoon een individueel proces is: “Bij het leren hebben we geen continu proces van links naar rechts, we maken meer een rollercoaster door met emoties en met de manier waarop wij leren.”
Security in de ochtendmeeting
We weten nu dat wie werkt via het ADKAR-model de werknemer centraal zet en dat training pas een latere stap is om cybersecurity awareness een competentie te maken van werknemers. Het startpunt van dit model is de bewustwording van dit aspect in de organisatie. Werknemers kunnen er al dagelijks mee bezig zijn door maar een kleine aanpassing te maken aan gewoontes. “Neem bijvoorbeeld in de bespreking ’s ochtends vijf of tien minuten de tijd om werknemers te laten vertellen welke cybersecurity-aspecten ze gisteren tegenkwamen. Zo creëer je ook tijd om een incident te melden en verwijder je de schaamte die hier nog vaak rond zit.”
Het bewustzijn kan dus door enkele eenvoudige aanpassingen aan het dagelijkse ritueel al worden gecreëerd. Lastiger is misschien het enthousiasmeren van werknemers om beveiligingstrainingen te volgen en nieuwe oplossingen te gebruiken. Een training wordt al snel geassocieerd met ‘saai’ en een nieuwe technologie is al snel ‘een hoop gedoe’.
Volgens Fickinger kan je dit weghalen door een beloning te koppelen aan goed gedrag of een training. Natuurlijk haalt de werknemer er op de lange termijn wel belangrijke lessen uit om digitaal bewust om te gaan met risico’s. Dit neemt een werknemer hoe dan ook mee naar huis en zo verbetert ook de beveiliging van privégegevens en -toestellen. Maar op de korte termijn ontbreekt de beloning vaak nog. Een stuk taart na de training is een mogelijke manier of het kan security-gerelateerd blijven door een muismat met regels voor een goede cyberhygiëne cadeau te doen.
Subtiel herinneren
Dat laatste cadeau is ook een hulpmiddel om werknemers er onbewust mee bezig te laten zijn. Een subtiele herinnering aan de training is belangrijk om security awareness top-of-mind te houden. Cegeka stimuleert dit onderbewustzijn verder door met de communicatie-afdeling van de klant een interne campagne op te zetten. Je kunt dan bijvoorbeeld denken aan posters met regels voor een goede cyberhygiëne, wekelijkse securitytip voor medewerkers via narrow casting of het sociaal intranet..
Security awareness een competentie maken van je werknemers, is een kwestie van een samenkomst van verschillende factoren, maar wel via een vaste volgorde. Het onderwerp moet bespreekbaar zijn in de organisatie, een training moet worden opgevolgd door een beloning en herhaling van het onderwerp is belangrijk door werknemers er ook onbewust aan te herinneren. Maar het allerbelangrijkste volgens Fickinger is dat bedrijven er voortdurend mee bezig zijn. Zo ben je klaar voor de realiteit waarin cyberincidenten niet meer weg te denken zijn en ook de beveiligingskant enorm snel evolueert.