Redactie - 03 november 2022

Diversiteit in het digitale klaslokaal

Diversiteit in het digitale klaslokaal image

Iedere medewerker moet security awareness training krijgen, maar iedere werknemer is anders. Hoe zorg je dat de training voor iedereen toegankelijk is en beklijft?

Security awareness training (SAT) betekent voor veel organisaties dat ze hun medewerkers in een zaaltje zetten met een afgevaardigde van IT en een schaal roze koeken. Dat er training gegeven wordt is te prijzen, net als die koeken. Maar de opzet doet geen recht aan hoe medewerkers van elkaar verschillen in het leren van nieuwe dingen.

Organisaties worden steeds diverser, zeker in tijden van personeelskrapte. De komst van internationale medewerkers, zij-instromers en mensen met een afstand tot de arbeidsmarkt vergroot de behoefte aan gepersonaliseerde training. Iedereen gebruikt het internet, maar tussen mensen zijn er nu eenmaal verschillen in taal, cultuur en niveau. Als met die factoren geen rekening wordt gehouden, steken mensen weinig van security awareness training op. Want zeg nou zelf: hoeveel onthoud je van een klassikale les als je de stof niet goed snapt of niet weet hoe je de kennis in de praktijk moet brengen?

PostNL of Rabobank

In een effectief trainingsprogramma zijn elementen als taal, cultuur en moeilijkheidsgraad aan te passen. Een programmamanager zorgt dat de modules aansluiten bij de lokale cultuur en ervaringen van mensen: gesimuleerde phishingmails moeten bijvoorbeeld komen van PostNL of Rabobank, niet van een voor Nederlanders onbekende Franse of Amerikaanse keten. Als het dreigingsbeeld verandert en er ineens veel meer social engineering via bijvoorbeeld sociale media plaatsvindt, moet het programma makkelijk te wijzigen zijn. De programmanager kiest ook het juiste niveau voor de gehele organisatie, voor een groep medewerkers of zelfs voor individuen. Medewerkers kunnen zelf kiezen in welke taal ze de training volgen (zo is KnowBe4’s Kevin Mitnick Security Awareness Training beschikbaar in 34 talen).

Het kunnen aanpassen van taal, niveau en lokale culturele elementen vormt de basis van een gepersonaliseerd trainingsprogramma voor alle medewerkers. Maar het is belangrijk om nog een stap verder te gaan. Iedereen leert anders, dus is het cruciaal om mensen de vrijheid te geven om zelf te bepalen hoe en wanneer ze trainen.

Binnen de kaders die de organisatie voor een trainingsprogramma opstelt kunnen gebruikers kiezen of ze willen trainen met video’s, teksten, games of presentaties. Ze hoeven dat niet op een vast moment te doen en zelfs niet verplicht onder werktijd: als ze in de trein naar huis een video willen kijken, is dat prima. Het gebruikersprofiel dat wordt opgesteld helpt programmamanagers om de training nog verder toe te spitsen op het individu, met de best passende media, moeilijkheidscriteria en eventueel remedial teaching als iemand moeite heeft met bepaalde onderwerpen.

Overwinningen

Cruciaal bij ieder trainingsprogramma blijft de motivatie onder medewerkers om de training daadwerkelijk te volgen. Over het motiveren van zowel beginners als gevorderden weten we uit onderzoek en uit de praktijk een paar dingen:

  • Het moet duidelijk zijn wat de waarde en noodzaak is van security awareness training. Waarom moet de organisatie zich beschermen tegen bepaalde cyberaanvallen? En wat heeft iemand zelf aan de training? Zonder achtergrondinformatie zien medewerkers het belang van trainen minder in.
  • De medewerker moet autonomie hebben. Mensen blijken vaker modules te volgen als ze zelf mogen kiezen wat ze kijken of lezen en op welk moment.
  • Er moeten overwinningen te behalen zijn. De motivatie om te trainen neemt toe als medewerkers certificaten en kleine presentjes (een bioscoopbon, een eigen avatar) kunnen winnen. Veel kleine beloningen werken beter dan af en toe een grote beloning (en ze zijn natuurlijk eindeloos in te bouwen).

Hoe beter een trainingsprogramma aansluit bij de behoeften en wensen van Carmen, Daan of Rachid en hoe meer stimulans er is ingebouwd, hoe effectiever het programma zal zijn. In het geval van KnowBe4 leidt het slimme platform een programmamanager eenvoudig naar de beste opties voor iedere medewerker, maar sparren met een SAT-specialist is ook altijd een optie.

Medewerkers zijn de laatste verdedigingslinie tegen cyberaanvallen. Daarom speelt iedere medewerker een rol in het beschermen van de organisatie. Hoe divers het medewerkersbestand ook is, security awareness training moet en kan voor iedereen werken.

Door: Jelle Wieringa (foto), security awareness advocate bij KnowBe4

Axians 12/11/2024 t/m 26/11/2024 BN+BW