Zoek
Sluit dit zoekvak.

Negen manieren om gedragsverandering in cybersecurity te beïnvloeden

Deel nu

Technologie evolueert met de snelheid van het licht en we vertrouwen vaak op geavanceerde tools en software om onze bedrijfsomgeving te beschermen. Firewalls, antivirusprogramma’s en encryptie zijn nog maar een paar van de wapens die we inzetten in de strijd tegen cyberdreigingen. Maar technologische oplossingen alleen zijn niet genoeg om je te beschermen tegen de toenemende complexiteit van cyberaanvallen. In deze blog vertelt Rob van Scheijndel, Solution Architect bij Proact, waarom blijvende gedragsverandering een onmisbare schakel is in de weg naar een veilige(r) IT-infrastructuur.

Veiligheid verhogen

Medewerkers spelen een cruciale rol in cybersecurity, en als zij niet bewust en proactief handelen, blijft je organisatie kwetsbaar voor dreigingen. Alleen als je medewerkers beveiligingspraktijken daadwerkelijk omarmen en integreren in hun dagelijkse werk, zal dat de algehele veiligheid aanzienlijk verhoogt. Maar hoe zorg je voor blijvende gedragsverandering? CybSafe, een Engelse cybersecurityorganisatie die zich richt op het beheren van menselijke risico’s in de digitale wereld, benoemt in deze blog een aantal manieren om blijvende gedragsverandering in cyberbeveiliging te beïnvloeden.

1. Neem afscheid van de ’trick, train & entertain’-mentaliteit

Traditionele cybersecurity-bewustwordingstrainingen hanteren de ’trick, train & entertain’-mentaliteit. Hierbij worden medewerkers eerst misleid met valse phishing-e-mails (trick), vervolgens getraind in het herkennen van deze e-mails (train), en op een luchtige of vermakelijke manier (entertain) bij de les gehouden. Helaas levert dit niet meer op dan een oppervlakkige bewustwording en het zal niet zorgen voor een blijvende gedragsverandering als het gaat om cybersecurity.

2. Zie de beperkingen van security-awarenesstrainingen

Natuurlijk moet je je medewerkers trainen. Maar besef dat het slechts beperkt bijdraagt aan bewustwording en vaak niet meer is dan een maatregel om compliant te zijn. Maak je geen illusies. Het zal geen grote invloed hebben op het veiligheidsgedrag van je medewerkers. Helaas…

3. Staar je niet blind op betrokkenheid

Het is niet genoeg om je medewerkers te boeien. Het uiteindelijke doel moet zijn om hun securitygedrag daadwerkelijk te verbeteren. Betrokkenheid zonder verandering in beveiligingsgedrag, daar heb je niets aan.

4. Wees specifiek

Zorg dat je duidelijk en concreet bent over welke beveiligingsgedragingen je precies wilt beïnvloeden en waarom. In plaats van een algemene benadering, moet je je richten op specifieke gedragingen die relevant zijn voor jouw organisatie en de risico’s waarmee je te maken hebt. Hoe specifieker je bent, hoe beter je kunt beoordelen of je daadwerkelijk invloed uitoefent op het gewenste gedrag en of je inspanningen vruchten afwerpen. Je wilt tenslotte dat de verbeteringen meetbaar zijn.

5. Formuleer specifieke doelen en meet wat ertoe doet

Formuleer ook meetbare doelstellingen die je kunt koppelen aan risicogerelateerde uitkomsten. In plaats van een weinig zinvolle doelstellingen zoals ‘Ik wil dat X aantal mensen de training heeft voltooid’, kun je beter doelstellingen formuleren die rechtstreeks verband houden met het verminderen van risico’s. Met een doelstelling als ‘Ik wil het aantal gevallen van klikken op  phishinglinks verminderen’ kom je een stuk verder. Gebruik dan ook relevante, gedragsgerichte KPI’s (Key Performance Indicators) in plaats van kwantitatieve metingen. Het draait tenslotte allemaal om het meten van de impact van je inspanningen op de beveiliging van de organisatie.

6. Wees wetenschappelijker

Wees je bewust van de gedragswetenschappelijke principes en theorieën die ten grondslag liggen aan het gedrag dat je wilt veranderen. Veel organisaties maken gebruik van enquêtes of vragenlijsten om het gedrag en de attitudes van hun medewerkers te meten. Hiermee proberen ze inzicht te krijgen in hoe goed hun beveiligingsbewustzijnstrainingen werken. Maar als deze enquêtes niet wetenschappelijk zijn opgesteld, kunnen de resultaten nooit een nauwkeurig beeld geven van de werkelijke gedragsverandering. In plaats van lukraak vragen te stellen, kun je beter wetenschappelijke principes toepassen bij het ontwikkelen van je meetinstrumenten. Beschik je niet over de nodige wetenschappelijke inzichten? Werk dan samen met experts die dat wel hebben. Alleen dan kun je erop vertrouwen dat je meetgegevens betrouwbaar en bruikbaar zijn.

7. Bied echte ondersteuning

Je medewerkers zitten echt niet op nóg een training te wachten. Ze hebben hulp nodig bij hun dagelijkse beveiligingsuitdagingen. Maak die ondersteuning zo persoonlijk mogelijk en hou rekening met de individuele behoeften en uitdagingen. Daarbij kun je gebruikmaken van apps en mobiele technologie zoals CybSafe. Daarmee krijgen je medewerkers duwtjes in de rug om hen te sturen en aan te moedigen om de meest veilige werkwijzen te volgen. Kortom, het gaat erom medewerkers te helpen in plaats van hen in het wilde weg te trainen. Zo maak je meer kans om daadwerkelijke gedragsverandering te bewerkstelligen.

8. Wees voorzichtig met phishing-simulaties

Wees voorzichtig bij het uitvoeren van phishing-simulaties als onderdeel van je cybersecurity-training. In plaats van je medewerkers actief te testen door hen in valstrikken te lokken, bereik je meer met een bredere benadering. Besef dat je cijfers over klik- en rapportagegedrag tot weinig waardevolle inzichten leiden. Een effectieve cybersecurityaanpak gaat om het aanmoedigen en meten van een veel breder scala aan gewenste beveiligingsgedragingen.

9. Wees realistisch als het gaat om bewustzijn

Er zijn maar weinig mensen die echt warm worden van cybersecuritymaatregelen. Niet veel medewerkers gaan echt zo zorgvuldig te werk als je zou willen. Geen reden tot paniek, maar het is goed om er even bij stil te staan. Je kunt niet volledig vertrouwen op betrokkenheid, kennis en deelname aan trainingen.

Meer weten?

Klaar om in jouw organisatie gedragsverandering te faciliteren en de veiligheid van je data te waarborgen? CybSafe is onderdeel van Proact’s Managed Security Service, een unieke set aan cybersecurityoplossingen. Voor het effectief aansturen van de CybSafe toepassing op uw organisatie, bieden we eveneens functioneel beheer aan. Hierbij focussen we op daadwerkelijke gedragsverandering bij je medewerkers en het creëren van duurzame cyberbescherming. Dit doen we met activiteiten zoals een diepgaande behoefteanalyse, evaluatie en integratie van de juiste tools, monitoring, slimme training en voortdurende aanpassing aan evoluerende dreigingen.

Ontdek meer artikelen

#ThePowerOfData

Neem contact op

We horen graag van je. Bel ons, word lid van onze social media community of stuur ons een e-mail via onderstaande contactformulieren.

Door op Verzenden te klikken, ga ik akkoord met de voorwaarden die zijn vermeld in het privacybeleid van Proact.

Proact nieuwsbrief

Blijf op de hoogte en geïnspireerd met onze nieuwsbrief! Ontvang regelmatig updates over IT en digitalisering en exclusieve uitnodigingen voor evenementen rechtstreeks in uw inbox. Meld je nu aan!

Door op Verzenden te klikken, ga ik akkoord met de voorwaarden die zijn vermeld in het privacybeleid van Proact.