Blog

Security awareness in het onboarding proces

Een teamlid schudt handen met een nieuwe medewerker tijdens een meeting, waarbij het onboarding-proces van security awareness wordt besproken.

Verschillende onboarding programma's

Je krijgt de baan waar je op hoopte en plant enthousiast je eerste werkdag. Eenmaal zover, wordt de term ‘onboarding’ geïntroduceerd – een begrip dat voor velen bekend klinkt. Waar de één een volledige dag besteedt aan presentaties, trainingen en een uitgebreid draaiboek mee naar huis krijgt, heeft de ander slechts een werklaptop opgehaald en wordt het principe ‘leren door te doen’ gehanteerd.

We merken dat het niveau en de aanpak van onboarding aanzienlijk varieert tussen organisaties. Sommige bedrijven bieden een uitgebreid en gestructureerd programma, terwijl anderen een meer informele, zoals de hierboven genoemde ‘leren-door-te-doen’ benadering hanteren. Hoe dan ook, een effectief onboardingproces is cruciaal – ongeacht de specifieke invulling. Een goed onboardingprogramma zorgt ervoor dat nieuwe werknemers zich welkom voelen, snel thuis raken in de organisatie en gemotiveerd zijn om bij te dragen aan het succes. Het onboarding proces biedt dus de nodige ondersteuning, informatie en begeleiding om de nieuwe rol optimaal te vervullen. Toch is er een belangrijk aspect dat vaak over het hoofd wordt gezien tijdens dit proces: security awareness.

Collega's bespreken een handleiding voor het security awareness onboarding programma in een kantoorsetting.

Waarom veilig aan boord?

Zodra een nieuwe werknemer toegang krijgt tot het bedrijfsnetwerk, wordt (cyber)veilig werken een essentieel onderdeel van zijn of haar verantwoordelijkheden. Het is daarom cruciaal dat werknemers zich bewust worden van cyberdreigingen, de reden achter bepaalde beveiligingsregels en de gevolgen als deze niet worden nageleefd. Toch zien we nog veel organisaties worstelen om nieuwe medewerkers effectief bewust te maken van dit onderwerp. Security awareness wordt vaak gezien als iets dat snel afgevinkt moet worden tijdens het onboardingproces. In werkelijkheid is het echter een kritieke factor voor de veiligheid van de organisatie.

Onderwerpen onboarding

Nieuwe medewerkers hebben waarschijnlijk een gevarieerde achtergrond en kennis. De onboarding van nieuwe medewerkers moet daarom een training over security awareness omvatten die relevant is voor hun toegangsniveau en ervaring. De training moet zich bijvoorbeeld richten op de verschillende soorten aanvallen die zich kunnen voordoen bij gebruikers met verschillende rollen en toegangsrechten. Aanvallen gericht op bijvoorbeeld de CEO kunnen er anders uitzien dan aanvallen gericht op gebruikers met beperkte systeemtoegang.

Een team van nieuwe medewerkers neemt deel aan een security awareness onboarding sessie in een moderne kantooromgeving.

In het begin is het belangrijk dat de content relevant is voor elke medewerker. Zorg ervoor dat iedereen de basis kent en dat de inhoud zich richt op de veiligheid rondom veelvoorkomende taken in de beginperiode. Focus daarbij op hoofdonderwerpen zoals:

Herkennen van cyberdreigingen

Phishing en social engineering technieken leren herkennen
Bewust worden van de risico’s van onveilig onlinegedrag
Leren omgaan met verdachte e-mails, links en bijlagen
Rapporteren van verdachte e-mails

Veilig omgaan met wachtwoorden en data

Gebruik van wachtwoordzinnen
Vertrouwelijke informatie beschermen, wachtwoorden veilig opslaan
Gebruik van twee-factor authenticatie
Veilig omgaan met gevoelige data

Rol van verantwoordelijkheid

Inzien dat cybersecurity een gedeelde verantwoordelijkheid is
Veilig omgaan met bedrijfspassen en toegang
Begrijpen van de eigen rol in het beschermen tegen dreigingen
Veilig achterlaten van apparatuur

Persona-based onboarding

De basistraining hoeft niet voor iedereen gelijk te zijn. Zeker als je als organisatie al wat verder gevorderd bent in een security awareness programma. In die gevallen stellen we dat je de onboardingstraining al zoveel mogelijk 'persona-based' maakt, dit wil zeggen dat je de inhoud van de training aanpast aan de persoon die het moet doorlopen. Hierbij hou je rekening met risico’s, type werkzaamheden, de type informatie en systemen.

Trends 2024

Naast de ‘algemeen bekende’ onderwerpen is het ook belangrijk om te kijken naar nieuwe aanvalstechnieken. Kwetsbaarheden en dreigingen blijven toenemen, daarom is het belangrijk om op de hoogte te blijven van de veranderingen.

Een nieuwe aanvalstechniek waar al veel over gezegd en geschreven is is Artificial Intelligence (AI). Omdat AI in een snel tempo steeds geavanceerder wordt, zullen we ook meer en slimmere AI-aangedreven aanvallen gaan zien. Dit varieert van deepfake social engineering-pogingen tot geautomatiseerde malware die zich op intelligente wijze aanpast om detectie te omzeilen. Ook stellen de AI-tools aanvallers in staat slimmere en nog gepersonaliseerde benaderingen te hanteren. Deepfake aanvallen, waarbij nepbeelden en -audio worden gebruikt om geloofwaardig over te komen, zijn hier ook onderdeel van. Maar ook AI-gestuurde malware die zich aanpast aan beveiligingsmaatregelen is een groeiende dreiging.

Gezien de opkomst van nieuwe aanvalstechnieken is het daarom belangrijk om naast de hierboven genoemde ‘hoofdonderwerpen’, de nieuwe trends mee te nemen in het onboarding proces. Door medewerkers vanaf dag één bewust te maken van (nieuwe) cyberdreigingen en ze goed op te leiden, zal de kans op succesvolle (AI-)aanvallen aanzienlijk verkleinen en de gevolgen van incidenten beperkt blijven.

Een effectief onboardingproces is dan ook meer dan alleen een laptop uitgeven en een ‘leren-door-te-doen’ aanpak. Het omvat een zorgvuldig, up-to-date programma dat nieuwe medewerkers introduceert in de organisatiecultuur, processen, verwachtingen én in security awareness.

Afspraak maken

Hulp nodig bij een goede onboadring?

Maak een afspraak

Foto van Inge Ammerlaan, Program Manager bij Behaav.