ZBC Kennisbank

Een online awareness training informatiebeveiliging en privacy kan zinvol zijn

 

We weten het allemaal, als het gaat om informatiebeveiliging, is de mens de zwakste schakel. En de mens is niet te programmeren zoals een compute. Dat is trouwens maar goed ook. We hebben immers zijn creativiteit en flexibiliteit hard nodig om verder te komen.

Dat betekent dus, dat we met dit gegeven moeten zullen leven. En dat is voor beveiligers, politici en compliance officers die nog steeds geloven in een maakbare wereld, een grote ergernis. Maar het betekent ook weer niet, dat we niets kunnen doen om onze schade te beperken. Als we er voor zorgen, dat achterdeuren en ramen zo goed mogelijk worden afgesloten, zullen al onze investeringen in technische, organisatorische en fysieke maatregelen niet zinloos zijn.

Meerdere niveaus van awareness 

Zeker in grotere organisaties is het goed om het awareness probleem uiteen te rafelen. Daartoe onderscheiden we meerdere niveaus van awareness:

  • gedragsverandering gericht op verbetering;
  • het voorkomen van stommiteiten door medewerkers.

Hoe gedragsverandering gerealiseerd kan worden, kunt u lezen in het artikel ‘Awareness privacy en informatiebeveiliging niet trainen maar kweken’. Hier staat een aanpak beschreven voor het verbeteren van de informatiebeveiliging op basis van inzicht, voornamelijk gericht op het lagere en middelmanagement. Het doel is de beveiliging op middellange termijn structureel te verbeteren. Op korte termijn hebt u hier echter niet zoveel aan. Zeker niet als u een bedrijf bent met honderden of meer werkplekken, die stuk voor stuk een potentieel lek vormen. Ook al timmert u al die werkplekken technisch gezien helemaal dicht, de medewerkers zullen op hun werkplek toch hun werk moeten kunnen doen en dus ruimte krijgen, waardoor zij ook, onbedoeld, de beveiliging kunnen doorbreken.

Het voorkomen van stommiteiten 

Gezien de huidige bedreigingen kunt u niet wachten op een gedragsverandering, want die zal zeker in grotere organisaties jaren vergen. Elke organisatie heeft hier en nu te maken met bedreigingen als phishing, ransomware, social engineering en noem maar op. Ik wil u hier niet vermoeien met alle mogelijke risico’s. De media hebben daar al vol mee gestaan. Waar het kort gezegd om gaat, is dat medewerkers geen stommiteiten moeten begaan, waardoor uw bedrijf kan worden getroffen door een aanval of een hack. Daar zit u niet op te wachten. En hierbij doet het er dan eigenlijk niet eens toe of uw organisatie veel vertrouwelijke informatie verwerkt of niet. Meestal kunt u de schade van een aanval wel herstellen, maar dit kost vaak geld en het betekent veelal ook, dat het werk waarmee u de kost verdient, een aantal uren of dagen stil ligt. Wanneer u dit met een beperkte investering kunt voorkomen, dan is dat natuurlijk aantrekkelijk.
Nu is het vormen van klasjes een heel dure oplossing. Een beter en goedkoper alternatief is een online training. De kosten zijn niet alleen lager, maar het kost ook minder tijd van medewerkers (productiviteitsverlies). Bovendien kan zo’n training worden afgesloten met een toets waarvoor medewerkers moeten slagen. Halen ze de toets niet, dan zijn ze verplicht om binnen een maand de cursus te herhalen en vervolgens wel te slagen voor de toets. Met behulp van een dergelijke online training kunt u meestal 80-90% van de stommiteiten voorkomen, die medewerkers soms ongewild begaan.

Voorkomen van reputatieschade

Ook zo’n systeem is uiteraard niet waterdicht.  Dat kan niet en dat hoeft ook niet. 100% beveiliging bestaat tenslotte niet. Komt er echter er binnen uw organisatie toch een datalek of een andere inbreuk voor, dan kunt u keihard aantonen, dat u beveiliging zeer serieus hebt genomen en dat u voldoende gedaan heeft om het te voorkomen. Hiermee voorkomt u reputatieschade. Dat een organisatie geld uitgeeft aan een dergelijke training is ook een heel duidelijk signaal naar de medewerkers. Het bevestigt, dat u informatiebeveiliging en privacy als organisatie serieus neemt en dat u dit ook van medewerkers verwacht. U voorkomt met zo’n online awareness training dus niet alleen directe schade,  de training heeft indirect ook een aanzienlijke toegevoegde waarde voor de interne en externe reputatie van de organisatie.

Een voorbeeld van een dergelijke training

Als ZBC zijn we enthousiast over de ‘Online training informatiebeveiliging: de human firewall’. Deze training is er niet alleen op gericht om vandaag stommiteiten te voorkomen, maar bevat ook een programma, dat er voor zorgt dat het thema een jaar lang ‘top of mind’ blijft, zodat informatiebeveiliging en privacy thema’s ook onderdeel worden van het dagelijkse overleg en de informele gesprekken  op de afdeling. Het simpele feit, dat organisaties zoals onder andere AkzoNobel, Essent, Gemeente Noordwijk en Alliander gebruik maken van deze online training geeft aan dat het gaat om een solide product. Voor ZBC voldoende reden om de Human Firewall op te nemen in zijn dienstenportfolio als welkome aanvulling.
Als u meer wilt weten van de Human firewall of als u een demo wilt, vul dan het contactformulier in of bel ons. Dan helpen we u graag verder. 

DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 20 oktober 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *