Kennisbank | Behaav

Waarom security awareness programma's soms falen

Geschreven door Inge Ammerlaan | Jul 4, 2024 7:43:55 AM

De cruciale rol van mensen

"Awareness is the most valuable tool in your cybersecurity arsenal.” –Kevin Mitnick

Onderzoek en ervaring tonen nog steeds aan dat in de meeste gevallen van cyberaanvallen mensen een essentiële rol spelen. Denk hierbij aan het verleiden van medewerkers om acties te ondernemen die de organisatie in gevaar brengen, zoals het openen van geïnfecteerde bijlagen, het klikken op kwaadaardige links of het delen van vertrouwelijke informatie. Ook het gebruik van zwakke wachtwoorden en onjuist beheer van vertrouwelijke informatie behoren tot menselijke fouten waardoor cyberaanvallen succesvol zijn.

 

Het menselijk element is dan ook niet te vervangen. Investeren in de nieuwste beveiligingssoftware heeft geen meerwaarde wanneer medewerkers niet bewust en alert zijn. Daarom zijn er security awareness programma’s die medewerkers helpen risico’s te herkennen, begrijpen en te verminderen. Maar het verschil tussen succes en falen van een security awareness programma is klein.

Waarom falen security awareness programma's?

Er zijn vier verschillende redenen waarom security awareness programma’s falen of niet het gewenste effect bereiken.

  1. Gebrek aan betrokkenheid en ondersteuning
    Wanneer het bewustzijn van het management omtrent awareness niet als een topprioriteit wordt beschouwd zal een security awareness programma niet van de grond komen. De reden waarom awareness niet overal als prioriteit wordt beschouwd is omdat het een investering is waarvan de positieve effecten lastig te meten zijn. Er zijn bijvoorbeeld geen harde cijfers zoals een return on investment of winst. Wanneer het management niet volledig betrokken en toegewijd is aan awareness zal dit leiden tot een gebrek aan middelen, tijd en prioriteit waardoor het programma zal falen.

  2. Slechte communicatie
    Communicatie is van cruciaal belang binnen een security awareness programma om verschillende redenen. Allereerst draagt effectieve communicatie bij aan het bewustzijn en begrip van awareness bij medewerkers. Door gericht te communiceren over bijvoorbeeld potentiële bedreigingen, kunnen medewerkers beter worden voorbereid en creëer je draagvlak. Gerichte communicatie kan bijvoorbeeld bestaan uit gepersonaliseerde teksten, doelgroepgerichte campagnes en posters of het voeren van persoonlijke gesprekken.

    Het stelt mensen in staat om verbonden te blijven, problemen aan te pakken en samen te werken om gemeenschappelijke doelen te bereiken. Het bevordert openheid, vertrouwen en begrip, wat essentieel is voor succes in verschillende contexten.

    Naast gericht communiceren is het ook belangrijk om met regelmaat te communiceren. Regelmaat zorgt ervoor om verbonden te blijven. Goede communicatie helpt ook bij het meten van de effectiviteit van het security awareness programma. Het stelt je in staat om feedback te verzamelen en het programma aan te passen waar nodig. Daarnaast bevordert communicatie betrokkenheid en betrouwbaarheid: Wanneer medewerkers het gevoel hebben dat ze niet op de hoogte worden gehouden of niet gehoord worden, zijn ze eerder geneigd om niet deel te nemen en zal het programma falen.

  3. Geen follow-up en onderhoud
    Awareness programma’s moeten voortdurende follow-up en onderhoud hebben om ervoor te zorgen dat de boodschap levend blijft, het programma up-to-date is en blijvende gedragsveranderingen worden gestimuleerd. Het is belangrijk om de voortgang en impact van het programma regelmatig te evalueren en aan te passen waar nodig. Gebeurt dit niet dan zal het programma niet meer aansluiten, mist er effectiviteit en zal het awareness doel uiteindelijk falen.

  4. Weerstand tegen verandering & gebrek aan verantwoordelijkheid
    Mensen hebben vaak de neiging om zich tegen verandering te verzetten. Als het awareness programma een grote verandering in de organisatie of de cultuur vereist, kan dit leiden tot weerstand en falen. Daarbij, als er geen verantwoordelijkheid wordt genomen voor het handhaven en evalueren van het programma en de awareness boodschap, kan het programma ineffectief worden. 

 


Wat maakt security awareness programma's succesvol?

Deze blog benadrukt de cruciale rol van security awareness programma’s binnen organisaties. Een succesvol programma is de basis van een veilige digitale omgeving en begint met een sterke betrokkenheid en toewijding van zowel het management als de organisatie. We benadrukken dat security awareness geen eenmalige inspanning is, maar een doorlopend proces. In een tijd waarin bedreigingen en aanvalstechnieken voortdurend veranderen, moet een programma regelmatig geëvalueerd en aangepast worden om relevant te blijven.

Ook is het belangrijk om te begrijpen dat gedragsverandering tijd vergt en dat effectieve communicatie de sleutel is tot bewustwording en een succesvol programma. Om deze communicatie te versterken, moet de taal van de medewerker worden gesproken in combinatie met een persoonlijke en/of creatieve benadering. Jij kent de bedrijfscultuur het best en weet welke onderwerpen er spelen.

Het onderhoud en de follow-up spelen ook een rol bij het succes van het programma. Wanneer de boodschap blijft leven, zorgt dat voor de bevordering van blijvende gedragsverandering. Zoals eerder benoemd kunnen al deze veranderingen weerstand oproepen. Zorg daarom dat je voldoende draagvlak creëert en een goede planning maakt die rekening houdt met de cultuur en het tempo van de organisatie. Het creëren van draagvlak en een doordachte planning zorgen voor een succesvol programma.

Zoals je hebt gelezen bestaat een succesvol security awareness programma uit een combinatie van o.a. communicatie, verantwoordelijkheid, bewustwording en input. Het is de versterking tussen medewerkers, middelen en de manier waarop het gecommuniceerd wordt die het succes bepalen. Ons advies is om security awareness te zien als een doorlopend en vooral leuk proces. Houd rekening met elkaar, maak het interactief en wees vooral creatief!