Security awareness in het onboarding proces
Verschillende onboarding programma's
Je krijgt de baan waar je op hoopte en plant enthousiast je eerste werkdag. Eenmaal zover, wordt de term ‘onboarding’ geïntroduceerd – een begrip dat voor velen bekend klinkt. Waar de één een volledige dag besteedt aan presentaties, trainingen en een uitgebreid draaiboek mee naar huis krijgt, heeft de ander slechts een werklaptop opgehaald en wordt het principe ‘leren door te doen’ gehanteerd.
We merken dat het niveau en de aanpak van onboarding aanzienlijk varieert tussen organisaties. Sommige bedrijven bieden een uitgebreid en gestructureerd programma, terwijl anderen een meer informele, zoals de hierboven genoemde ‘leren-door-te-doen’ benadering hanteren. Hoe dan ook, een effectief onboardingproces is cruciaal – ongeacht de specifieke invulling. Een goed onboardingprogramma zorgt ervoor dat nieuwe werknemers zich welkom voelen, snel thuis raken in de organisatie en gemotiveerd zijn om bij te dragen aan het succes. Het onboarding proces biedt dus de nodige ondersteuning, informatie en begeleiding om de nieuwe rol optimaal te vervullen. Toch is er een belangrijk aspect dat vaak over het hoofd wordt gezien tijdens dit proces: security awareness.
Waarom veilig aan boord?
Zodra een nieuwe werknemer toegang krijgt tot het bedrijfsnetwerk, wordt (cyber)veilig werken een essentieel onderdeel van zijn of haar verantwoordelijkheden. Het is daarom cruciaal dat werknemers zich bewust worden van cyberdreigingen, de reden achter bepaalde beveiligingsregels en de gevolgen als deze niet worden nageleefd. Toch zien we nog veel organisaties worstelen om nieuwe medewerkers effectief bewust te maken van dit onderwerp. Security awareness wordt vaak gezien als iets dat snel afgevinkt moet worden tijdens het onboardingproces. In werkelijkheid is het echter een kritieke factor voor de veiligheid van de organisatie.
Onderwerpen onboarding
Nieuwe medewerkers hebben waarschijnlijk een gevarieerde achtergrond en kennis. De onboarding van nieuwe medewerkers moet daarom een training over security awareness omvatten die relevant is voor hun toegangsniveau en ervaring. De training moet zich bijvoorbeeld richten op de verschillende soorten aanvallen die zich kunnen voordoen bij gebruikers met verschillende rollen en toegangsrechten. Aanvallen gericht op bijvoorbeeld de CEO kunnen er anders uitzien dan aanvallen gericht op gebruikers met beperkte systeemtoegang.
In het begin is het belangrijk dat de content relevant is voor elke medewerker. Zorg ervoor dat iedereen de basis kent en dat de inhoud zich richt op de veiligheid rondom veelvoorkomende taken in de beginperiode. Focus daarbij op hoofdonderwerpen zoals:
Herkennen van cyberdreigingen
-
Phishing en social engineering technieken leren herkennen
-
Bewust worden van de risico’s van onveilig onlinegedrag
-
Leren omgaan met verdachte e-mails, links en bijlagen
-
Rapporteren van verdachte e-mails
Veilig omgaan met wachtwoorden en data
-
Gebruik van wachtwoordzinnen
-
Vertrouwelijke informatie beschermen, wachtwoorden veilig opslaan
-
Gebruik van twee-factor authenticatie
-
Veilig omgaan met gevoelige data
Rol van verantwoordelijkheid
-
Inzien dat cybersecurity een gedeelde verantwoordelijkheid is
-
Veilig omgaan met bedrijfspassen en toegang
-
Begrijpen van de eigen rol in het beschermen tegen dreigingen
-
Veilig achterlaten van apparatuur
Persona-based onboarding
De basistraining hoeft niet voor iedereen gelijk te zijn. Zeker als je als organisatie al wat verder gevorderd bent in een security awareness programma. In die gevallen stellen we dat je de onboardingstraining al zoveel mogelijk 'persona-based' maakt, dit wil zeggen dat je de inhoud van de training aanpast aan de persoon die het moet doorlopen. Hierbij hou je rekening met risico’s, type werkzaamheden, de type informatie en systemen.
Trends 2024
Naast de ‘algemeen bekende’ onderwerpen is het ook belangrijk om te kijken naar nieuwe aanvalstechnieken. Kwetsbaarheden en dreigingen blijven toenemen, daarom is het belangrijk om op de hoogte te blijven van de veranderingen.
Een nieuwe aanvalstechniek waar al veel over gezegd en geschreven is is Artificial Intelligence (AI). Omdat AI in een snel tempo steeds geavanceerder wordt, zullen we ook meer en slimmere AI-aangedreven aanvallen gaan zien. Dit varieert van deepfake social engineering-pogingen tot geautomatiseerde malware die zich op intelligente wijze aanpast om detectie te omzeilen. Ook stellen de AI-tools aanvallers in staat slimmere en nog gepersonaliseerde benaderingen te hanteren. Deepfake aanvallen, waarbij nepbeelden en -audio worden gebruikt om geloofwaardig over te komen, zijn hier ook onderdeel van. Maar ook AI-gestuurde malware die zich aanpast aan beveiligingsmaatregelen is een groeiende dreiging.
Gezien de opkomst van nieuwe aanvalstechnieken is het daarom belangrijk om naast de hierboven genoemde ‘hoofdonderwerpen’, de nieuwe trends mee te nemen in het onboarding proces. Door medewerkers vanaf dag één bewust te maken van (nieuwe) cyberdreigingen en ze goed op te leiden, zal de kans op succesvolle (AI-)aanvallen aanzienlijk verkleinen en de gevolgen van incidenten beperkt blijven.
Een effectief onboardingproces is dan ook meer dan alleen een laptop uitgeven en een ‘leren-door-te-doen’ aanpak. Het omvat een zorgvuldig, up-to-date programma dat nieuwe medewerkers introduceert in de organisatiecultuur, processen, verwachtingen én in security awareness.