Redactie - 17 maart 2021

Zes veelgemaakte fouten bij de uitvoering van security awareness-trainingen

Zes veelgemaakte fouten bij de uitvoering van security awareness-trainingen image

Verreweg de meeste van alle geslaagde hacks en scams begint met een phishingmail. Met behulp van security awareness-trainingen leren medewerkers dergelijke mails op tijd te herkennen en hoe hiermee om te gaan. Waardoor je organisatie zich beter wapent tegen een van de belangrijkste middelen die cybercriminelen inzetten om je organisatie binnen te dringen. Alleen staat of valt het succes van security awareness-trainingen met de juiste uitvoering. Helaas gaat dit niet bij elke organisatie goed: security awareness wordt vaak op de verkeerde manier benaderd. Dit zijn veelgemaakte fouten.

1. Het verkeerde doel nastreven

Veel organisaties beschouwen security-awareness training nog altijd als een ‘compliance-vinkje’ en streven daarmee het verkeerde doel na. Want niet het voldoen aan een security-policy, maar het willen bewerkstelligen van gedragsverandering is waar het echt om moet gaan bij security awareness-trainingen.

2. Het doel van de training niet uitleggen

Iedere medewerker wil werken in een organisatie die veilig is. En hoe veiliger hun eigen gedrag, hoe veiliger de organisatie. Leg medewerkers voordat je überhaupt met trainen begint uit waar de training toe dient en wat hun aandeel is in het veilig houden van de organisatie. Als je medewerkers hiervan weet te overtuigen, verklein je de kans dat een training als een verplichting wordt gezien.

3. Verkeerde frequentie en duur van trainingen

Veel organisaties bieden maar eens in de zoveel tijd, bijvoorbeeld eens per kwartaal, security awareness-trainingen aan. En wanneer ze het doen, zijn die trainingen vaak te lang: er wordt té veel informatie in een sessie van een paar uur gedeeld. Het is veel effectiever op regelmatige basis korte sessies aan te bieden. Bied liever in plaats van iedere twee maanden een training van twee uur, iedere twee weken een sessie van tien minuten aan. Omdat de aandachtsspanne van mensen laag is, zeker als het gaat om niet zo populaire onderwerpen als security awareness, is de drempel een stuk lager om (a) de training te volgen en (b) er ook nog iets van op te steken. Geef medewerkers daarbij de vrijheid om de training op een zelfgekozen moment te volgen, maar stel wel een einddatum.

4. Geen consequenties verbinden aan het volgen van trainingen

Het frequent aanbieden van korte trainingen verlaagt de drempel om de training te volgen. Maar dat geldt natuurlijk niet voor iedereen. Daarom is het verstandig om wel consequenties te verbinden aan het volgen van trainingen. Je hebt twee keuzes: straffen of belonen. In mijn ervaring werkt dat laatste een stuk beter. Dat kan al heel eenvoudig door een medewerker die een trainingsprogramma succesvol afrondt te belonen met een cadeaubon of een chocoladereep. Overdrijf niet door er een competitie van te maken en de best presterende medewerker op een podium te zetten. Het volgen van een training wordt dan al gauw als een lachertje gezien, waarmee het zijn doel voorbij schiet.

5. Kiezen voor one-size-fits-all

Een security awareness-training moet passen bij de belevingswereld van degene die de training volgt. Zo heeft de CFO van je bedrijf met andere werkprocessen te maken dan een receptioniste. Beide spreken ook een andere ‘taal’. Toch zie je nog vaak dat organisaties kiezen voor one-size-fits-all en één en dezelfde training geven aan medewerkers met een totaal verschillende achtergrond. Je maakt een training een stuk relevanter als deze ook toepasbaar is in de praktijk. Dat betekent echt niet dat je voor elke medewerker maatwerk moet bieden. Het classificeren van medewerkers per afdeling of functieprofiel is voldoende om de relevantie van de training een stuk groter te maken.

6. Resultaat wordt niet gemeten

Veel organisaties beschouwen een training als voltooid wanneer medewerkers hem hebben afgerond. Ze vergeten daarbij het resultaat van de training te meten of in kaart te brengen. Want leidt de training ook daadwerkelijk tot gedragsverandering? Concreet: klikken medewerkers minder vaak op (gesimuleerde) phishing-mails dan voorheen? Belangrijk is om dit resultaat over een langere periode te meten. Want net als het trainen van medewerkers is ook het meten van resultaat geen eenmalige activiteit. Zie je te weinig positief resultaat over een langere periode, dan kun je je trainingen hierop aanpassen. Zo werkt het ook in de sportschool!

Benieuwd of uw medewerkers phishing-e-mails op tijd herkennen? Probeer het uit met de gratis phishing-security-test van KnowBe4.

Door: Jelle Wieringa (foto), Security Awareness Advocate bij KnowBe4

Axians 12/11/2024 t/m 26/11/2024 BN+BW