7 augustus 2014 -
Mensen maken fouten. Helaas kan technologie dit niet voorkomen. Die fouten kunnen grote problemen veroorzaken als het gaat om cybercrime.
Daarom is het volgens Etienne van der Woude, Regional Sales Manager Benelux bij Watchguard Technologies, nodig medewerkers bewust te maken van de risico’s. "Die bewustwording is een belangrijk onderdeel van een internetbeveiligingsstrategie. Een computer kan immers niet alles controleren. Daar komt bij dat hackers steeds geraffineerder worden. Ze vinden steeds meer methodes om informatie van anderen te verkrijgen. Zo groeide het aantal phishing-pogingen van 2012 naar 2013 met 91 procent." Kortom, werknemers moeten getraind worden.
Interesse in IT
Er zijn echter IT-beveiligingsexperts die beweren dat het bijscholen en informeren van personeel nutteloos is. Hun collega’s zouden geen interesse hebben of niet slim genoeg zijn om de stof te begrijpen. En ze zullen inderdaad niet stoppen met het maken van vergissingen. Maar het foutenpercentage zal door training wel verlagen. Bovendien hóeven ze ook geen experts te worden. En interesse in IT-security zal zeker groeien door training. Dat blijkt immers al uit een onderzoek uit 1987 (!) over het trainen van personeel in IT. Educatie is dus zinvol. Maar hoe verzorg je een goede training? Van der Woude deelt zes tips:
1: Benadruk de voordelen voor de medewerkers
Corporate beveiligingstraining komt op medewerkers vaak over als iets dat ze opgelegd wordt. Ze hebben dan het idee dat ze het bedrijf moeten beschermen aan de hand van allerlei ingewikkelde regels. "Wanneer de training benadrukt welke voordelen het oplevert voor de gebruikers zelf, zijn ze veel meer geneigd om eraan mee te werken," zegt van der Woude.
2: Houd doelen en boodschappen simpel
"Het doel van de training is niet om werknemers te veranderen in IT-experts. Het gaat om het delen van de juiste hoeveelheid informatie, zodat er een duidelijk kader van goed gedrag ontstaat. Met andere woorden: houd ingewikkelde, technische termen achterwege," licht Van der Woude toe. Geef bijvoorbeeld een praktische training in het herkennen van phishing-e-mails.
3: Gebruik geen jargon zonder verklaring
Vaktaal is voor buitenstaanders vaak moeilijk te begrijpen. Gebruik daarom gangbare dagelijkse termen. "Zelfs bij het sterke vermoeden dat iedereen de term kent, is het verstandig om het toch even kort uit te leggen."
4: Voorbeelden, anekdotes en metaforen
Voorbeelden zorgen ervoor dat de stof beter te begrijpen is. Van der Woude: "Doe bijvoorbeeld live een hacking-demo. En als er geen tijd is, geef dan voorbeelden van phishing-e-mails of vertel verhalen over daadwerkelijke aanvallen."
5: Maak de training interactief
Er zijn veel manieren om een training interactief te maken. "Deel de groep op in kleine teams of verspreid e-mails en beloon degene die de meeste onbetrouwbare eruit vist," geeft Van der Woude als voorbeeld. "Het is een serieus onderwerp, maar dat hoeft niet te betekenen dat je het op een saaie manier brengt. Een interactieve groep deelnemers staat meer open voor advies."
6: Het creëren van een beveiligingscultuur kost tijd
Een presentatie voorkomt niet alle problemen. Door de komst van nieuwe medewerkers en veranderingen in het IT-landschap moeten IT’ers regelmatig opnieuw trainingen geven. "Bovendien," benadrukt Van der Woude, "hebben mensen tijd nodig om gedrag eigen te maken." Het duurt dus even voordat er binnen een organisatie een cultuur heerst waarbij iedereen gedrag vertoont dat bijdraagt aan goede IT-beveiliging.
Trainen is waardevol
Van der Woude besluit: "Naar mijn mening is het trainen van eindgebruikers beslist waardevol. Er zijn zelfs data die dit ondersteunen. Gelukkig willen veel IT-professionals hun kennis en inzicht delen. Maar helaas vergeten IT’ers vaak hoe het is om niks van de materie af te weten. Dat maakt ze vaak slechte docenten. Zolang de docent op een duidelijke manier een interessant verhaal vertelt, nemen werknemers de stof beter in zich op. In dit geval heeft dat tot resultaat dat ze beter beschermd zijn tegen cybercrime. En dat maakt het werk voor IT’ers weer iets gemakkelijker."