Alle blogs

Waarom een awarenesscampagne voor cybersecurity niet genoeg is

23 september 2022 Informatieveiligheid

Je weet dat de medewerkers in de organisatie het belangrijkste risico vormen voor cybersecurity. Medewerkers worden gehackt, phishingmails vliegen dagelijks om de oren en de voorbeelden van ransomware zijn overal te vinden. Om bang van te worden. Wanneer is jouw organisatie aan de beurt?

Het antwoord is dan meestal dat er een awarenesscampagne moet worden gestart. Allerlei activiteiten worden opgetuigd: van een escaperoom tot phishingtesten, van berichten in het gemeentehuis bij de koffieautomaten tot blogs op het intranet. Na een tijdje slaat de vermoeidheid toe bij jezelf (en bij je collega’s). Maar is het dan voldoende? Zijn de medewerkers zich bewust van de dreigingen van cybersecurity? En heb jij als verantwoordelijke enig idee of de kennis er inderdaad is en of er veilig en bewust gewerkt wordt?

 

Je weet niet wat je niet weet

De belangrijkste boodschap die we je kunnen geven is de volgende: bewustwording is slechts de eerste stap. Je weet niet wat je niet weet, je collega’s zijn onbewust onbekwaam op het gebied van cybersecurity. Met een campagne zetten ze een eerste stap, ze worden zich ervan bewust dat er iets belangrijks te leren valt. Ze zetten daarmee de stap van ‘onbewust onbekwaam’ naar ‘bewust onbekwaam’. Dat is mooi, maar het is zeker niet genoeg. Want als je eenmaal bewust onbekwaam bent en begrijpt dat het anders moet, dan wil je leren hoe je het dan wel moet doen. De leerbehoefte is opgewekt, nu is het zaak door te pakken en een leertraject te starten.

Na de fase van het opwekken van (informatie)bewust zijn komt de fase van (informatie)bewust handelen – ook wel iBewustzijn genoemd. Leerinterventies zoals workshops, coaching en/of e-learning zijn daar goede middelen voor. Maar bij workshops of coaching weet je nog steeds niet of de medewerkers het daadwerkelijk hebben begrepen. En je hebt het ook nog niet aantoonbaar gemaakt. Op het gebied van cybersecurity is dat iets wat je wel moet doen. Daar is de BIO (baseline informatiebeveiliging overheid) duidelijk over: medewerkers in de organisatie moeten regelmatig en aantoonbaar worden opgeleid.

 

Naar onbewust bekwame medewerkers

Het slimst is dan ook een leerinterventie te kiezen waarmee medewerkers aantoonbaar worden opgeleid. Daar zijn de toetsen van de e-learning dan weer erg handig voor. Met de toetsen maak je het kennisniveau aantoonbaar. Met de e-learning inclusief toetsen breng je kennis over iBewust handelen. En je kunt laten zien wat het kennisniveau op individueel en organisatieniveau is. 

Door de boodschap en de kennis regelmatig te herhalen krijg je uiteindelijk nieuw gedrag: ‘onbewust bekwaam’ handelen. Dat is een nieuw patroon van handelen, een nieuwe automatisme. Veiliger werken, iBewust werken, alert zijn op cybersecurity: het zit dan ‘in je systeem’. Net als autorijden. Want wie denkt nog na over schakelen, gas geven en remmen?
Zo breng je kennis, je maakt de kennis aantoonbaar én zorgt ervoor dat cybersecurity permanent in het DNA terecht komt.