5 tips om te slagen met awareness-training

Ismail Özkan
By: Ismail Özkan Awareness-training | 7 december

Awareness-training is een belangrijk onderdeel van de algemene IT-beveiligingsstrategie van een organisatie. Het merendeel van de beveiligingsinbreuken wordt niet veroorzaakt door technische problemen, maar door menselijke fouten. Cybercriminelen zijn zich bewust van het gebrek aan bewustzijn bij medewerkers in organisaties en zij richten zich dus bewust op medewerkers om toegang te krijgen tot de IT-systemen en/of gevoelige informatie. Aan de andere kant van de medaille kunnen je medewerkers ook je sterkste verdediging zijn tegen cyberaanvallen. Dat is waar awareness-training bij komt kijken – een van de krachtigste middelen om de IT-beveiliging van je organisatie te versterken, is het zorgen voor een hoog niveau van bewustzijn bij je medewerkers.

Maar hoe ben je succesvol met awareness-training?

Er bestaan vele vormen van awareness-training. Sommigen kiezen ervoor om elk jaar urenlange seminaries te houden voor alle medewerkers, sommigen bereiden een lange reeks documenten voor en anderen kunnen een kleine groep medewerkers naar een cursus sturen en dan verwachten dat ze de rest lesgeven. Het kan echter zijn dat medewerkers zich vervelen, dat ze vergeten wat ze hebben geleerd en dat het management twijfelt of de training wel of niet succesvol is geweest. In dit artikel hebben we onze ervaring met het geven van awareness-trainingen samengevat in 5 concrete tips, die je kunt gebruiken om je inspanningen naar een hoger niveau te tillen.

  1. Zorg voor relevante inhoud

  2. Verwerk het in kleine stukken

  3. Communiceer en sponsor de inspanning

  4. Gebruik verschillende leermethoden

  5. Volg de voortgang van je medewerkers op

 

Smart CTA_e-book NL

#1: Zorg voor relevante inhoud

De training moet geschikt zijn voor alle medewerkers van alle afdelingen in je organisatie. Je hoeft geen technische details uit te leggen over hoe computers werken, en je hoeft je niet te verdiepen in de regelgeving over informatiebeveiliging. Je hoeft alleen maar inhoud te creëren die begrijpelijk is voor iedereen. Leren over cybersecurity moet geen lastige bedoeling zijn voor je medeerkers, maar eerder iets waar ze vertrouwen in kunnen hebben.

Probeer cursussen te creëren die tegelijkertijd educatief en amusant zijn. Gebruik voorbeelden om concepten te verduidelijken en gebruik een eenvoudige taal bij het uitleggen van die concepten. Zorg voor cursussen die relevant zijn voor je medewerkers, niet voor je IT-afdeling. Je medewerkers moeten zich niet vervelen tijdens het volgen van de cursussen, maar er juist in geïnteresseerd zijn. Een manier om dit te bereiken is om inhoud te creëren die ze gemakkelijk kunnen begrijpen.

Een voorbeeld zou kunnen zijn hoe je uitlegt wat een ransomware-aanval is, zoals op de onderstaande afbeelding te zien is:

 

ransomware-explained-nl-mobile-GRON ransomware-explained-nl-mobile-ROD

 

Welke van die twee teksten lees jij liever?

 

#2: Verwerk het in kleine stukken

Van wachtwoorden, tot phishing-aanvallen, en van AVG tot social engineering – cybersecurity is een groot domein.

Bijgevolg kan het nodig zijn dat de awareness-training betrekking heeft op een breed scala van onderwerpen. Het is echter onmogelijk voor je medewerkers om al die informatie in één keer te verwerken.

Je kunt je medewerkers niet de hele bijbel geven en dan verwachten dat ze alles meteen onthouden.

Daarom moet de training in kleinere stukken en over een langere periode worden verwerkt – dit wordt ook wel micro-learning genoemd.

Zo geef je je medewerkers niet alleen wat tijd om na te denken, te oefenen en te ademen, maar zorg je er ook voor dat cybersecurity langer op de agenda blijft staan. Of je ervoor kiest om elke maand of elke tweede maand een cursus te doen, is aan jou. Je dient de intensiteit van de cursussen te bepalen aan de hand van je behoeften en het belang van het onderwerp dat je behandelt.

Een trainingsschema kan er als volgt uitzien (dit zijn modules uit onze eigen catalogus). Het is een mix van cursussen over IT-beveiliging en GDPR en het zou er zo uit kunnen zien:

calendar-nl

#3: Communiceer en sponsor de inspanning

De awareness-training mag geen project zijn dat alleen door de IT-afdeling naar de medewerkers wordt geduwd. Om te slagen met de awareness-training is er behoefte aan sponsoring door het topmanagement doorheen het gehele proces.

Zonder die steun zal je team hoogstwaarschijnlijk niet gemotiveerd zijn om veel tijd te besteden aan awareness-trainingen, en ze zullen waarschijnlijk bedenkingen hebben bij het volgen van de cursussen.

Zorg ervoor dat je ondersteuning krijgt van het management en communiceer ‘waarom’ je medewerkers best de training direct vanaf het begin mee volgen.

Zorg ervoor dat je medewerkers begrijpen waarom je organisatie awareness-training nodig heeft en probeer er iets cools van te maken – iets wat je medewerkers waarderen en waar ze graag meer over willen leren, in plaats van iets wat ze ‘moeten’ doen.

#4: Gebruik verschillende leermethoden

Je hebt dus managementondersteuning gekregen voor je awareness-training, je hebt deze gecommuniceerd naar je medewerkers, de onderwerpen in kleinere stukken verdeeld en voor iedereen relevant gemaakt.

Wat komt hierna?

Nou, je bent nog niet klaar. Je bent net begonnen!

Awareness-training is een continu proces. Net zo belangrijk als het creëren van bewustzijn met betrekking tot IT-beveiliging bij je medewerkers, is het behouden van dat bewustzijn. Om dit te doen, moet je rekening houden met een diversiteit aan leermethoden. Kleine e-learning-cursussen zijn een goed idee, maar je moet ze aanvullen met andere vormen van leren om het bewustzijn te behouden.

Verander je leervorm van alleen tekst. Gebruik video’s om voorbeelden te laten zien, gebruik interactieve dia’s om concepten uit te leggen en daag je medewerkers uit door het maken van quizzen, zodat ze hun kennis kunnen testen.

Creëer zoveel mogelijk touchpoints als mogelijk om je medewerkers voortdurend te herinneren aan wat ze hebben geleerd – dit kan zijn door middel van echte phishing simulaties of door het ophangen van posters op kantoor. Je kunt hier wat gratis posters vinden.

Deze touchpoints maken het voor je medewerkers leuker om met IT-beveiliging te werken en hun bewustzijn op peil te houden. Er zijn vele manieren om bewustzijn te creëren en te behouden – your imagination is the limit.

#5: Volg de voortgang van je medewerkers op

Zodra je je awareness-training hebt uitgerold, moet je de voortgang van je medewerkers continu bewaken.

Probeer feedback te krijgen van je medewerkers over de verschillende cursussen en de awareness-training in het algemeen. Wat vinden je medewerkers leuk aan de cursussen en wat niet? Het is belangrijk om op te merken dat awareness-trainingen waardevol en nuttig moeten zijn voor je medewerkers. Je kunt erop rekenen dat als je medewerkers de training niet leuk vinden, de resultaten eronder zullen lijden.

Awareness-training is een dynamisch proces: je moet proberen te leren van je medewerkers en de training daarop afstemmen. Als je medewerkers de trainingen niet volgen, waarom is dat dan het geval? Hebben ze meer tijd nodig om de cursussen af te ronden? Moet de inhoud nog meer op maat worden gemaakt? Probeer te achterhalen wat de redenen zijn en handel daarnaar om de problemen op te lossen. Zorg ervoor dat de awareness-training leuk is en iets is wat je medewerkers willen doen.

Kortom, continuïteit is koning!

Het belangrijkste uitgangspunt van dit artikel is dat je moet erkennen dat awareness-training geen eenmalig project is, maar een doorlopende inspanning. Een plug-and-play-aanpak werkt niet in de awareness-training. Het moet op maat gemaakt, gecontroleerd en op basis van de behoeften van je organisatie en je medewerkers gedaan worden.

De vijf concrete tips die we je in dit artikel hebben gegeven, zullen je helpen om je doelen te bereiken met je awareness-training. We hopen dat dit artikel je inspireert, en moedigen je ook aan om contact op te nemen met ons deskundige team als je interesse hebt in de awareness-training die wij aanbieden!