Beheer

Security
Marthe Uitterhoeve organiseert awarenesstrainingen voor Heineken

Heineken kweekt awareness met marketing

Marthe Uitterhoeve wist awarenesstraining een dicht-bij-mijn-bed-show te maken.

© De Beeldredaktie,  Floren van Olden
14 juli 2016

Marthe Uitterhoeve wist awarenesstraining een dicht-bij-mijn-bed-show te maken.

Heineken Nederland gebruikt zijn communicatie- en marketingexpertise om de awareness-trainingen bij de 3000 medewerkers beter te laten aanslaan. En om het management vierkant achter de traingingen te krijgen.

Bij haar aantreden bij Heineken Nederland medio 2014 lag er voor IT-riskmanager Marthe Uitterhoeve al een uitgewerkt plan voor awareness-trainingen klaar: alle 3000 medewerkers van Heineken Nederland moesten via e-learning awareness-trainingen van SANS Insititute gaan volgen. “De medewerkers moesten filmpjes van 45 minuten bekijken en daar vragen over beantwoorden. Mijn eerste reactie was: als je niets hebt met IT of informatiebeveiliging, vinden mensen dit de zoveelste e-learningmodule waarvoor ze elkaar de antwoorden toespelen. Daar leren ze weinig van. Security en informatiebeveiliging zijn voor hen ver van hun bed. Zij hebben daar totaal geen gevoel van urgentie voor. Ik wil met de awareness-trainingen bereiken dat het wél een ‘dicht-bij-mijn-bed-show’ wordt.”

Die boodschap moest Uitterhoeve aan twee doelgroepen overbrengen: het topmanagement, dat commitment moet tonen voor het onderwerp en de communicatiecampagne, en alle medewerkers. Voor de medewerkers liet ze een film van drie minuten maken, geheel in de stijl die Heineken gebruikt voor zijn reclamefilmpjes. “Een belangrijke kracht van Heineken is dat het goed is in marketing en commercials. Ik heb een net zo aansprekende film ­laten maken op basis van de resultaten van een social engineering-test naar ­IT-security-awareness die in september 2014 onder medewerkers was gehouden.” Er werden phishingmails gestuurd en USB-sticks met malware op afdelingen achtergelaten. De resultaten van dit onderzoek waren niet goed, zegt Uitterhoeve. “Ik had gehoopt dat de ­cijfers beter waren.”

Een belangrijke kracht van Heineken is dat het goed is in marketing en commercials.

Uitterhoeve riep de hulp in van de afdeling communicatie en nam een mediabureau in de arm dat al diverse communicatiecampagnes had gedaan voor Heineken. “In de film werden de testen nagespeeld met als take away waarom deze resultaten zo ernstig zijn. We lieten bijvoorbeeld zien wat het effect is als de USB-sticks in een pc worden gestoken. ­Daarop volgde de waarschuwing dat dit het hackers makkelijk maakt om in te breken.”

De directie van Heineken Nederland kreeg de film eerst te zien. “We hadden direct hun aandacht. Het was hier, bij Heineken gefilmd en liet duidelijk zien dat ook Heineken makkelijk het slachtoffer kan worden van hackers. En omdat het een film was in Heineken-stijl, spraken we de directie in haar eigen taal aan.”

Gevolg was dat de directie in zijn MT-nieuwsbrief het filmpje verspreidde met de nadrukkelijke aanbeveling dit te bekijken en serieus op te pakken. Daarnaast stond de video op het intranet en werd deze op schermen binnen de gebouwen gedraaid. Heineken International heeft een aangepaste versie van het filmpje wereldwijd verspreid. “Het doel was dat het management dit zou uitdragen; dus de directie en de top 100-managers. Een business­case hoefde ik niet te maken, want Heineken International had al besloten dat awareness-trainingen op de agenda stonden. Ik had daarom de trainingen hier gewoon kunnen verspreiden, maar op deze manier – met het filmpje en het duidelijke commitment van de directie – werd de urgentie veel duidelijker.”

Uitterhoeve is ervan overtuigd dat de ­e-learningmodules hierdoor veel beter is doordrongen tot de medewerkers. Bovendien gaat de awareness-campagne permanent door. Flyers en posters met daarop de belangrijkste punten van de trainingen plus een ‘quick reference card’ zijn door het bedrijf heen verspreid. Daarnaast komen er regelmatig berichten op het intranet en is er een clean desk-campagne die ook op informatiebeveiliging ingaat. “Ik doe dat het hele jaar door, want dit zorgt ervoor dat de boodschap blijft hangen.”

Positief effect

Dat is gebleken. Eind 2015 heeft Uitterhoeve weer een social engineering-test laten doen. “De verbeteringen zijn duidelijk zichtbaar. Dat merk ik ook aan het gedrag van medewerkers. Ze komen nu sneller naar me toe als ze ­denken dat er een lek is of als ze een verdachte e-mail zien. Zo kon iemand niet meer bij zijn bestanden; hij dacht aan ransomware en belde ons gelijk. Achteraf bleek het een andere oorzaak te hebben, maar het laat zien dat men zich beter bewust is van de dreigingen en er ook naar handelt.” Of de directiesecretaresses die adequaat acteerden op een verdachte spoofing e-mail vanuit een van hun e-mailadressen. “Bij een verkeerde reactie had dit de trigger kunnen zijn voor een gerichte spear-phishingactie.”

Phishing is de belangrijkste dreiging op dit moment.

De awareness-trainingen gaan door – met filmpjes. “Er komen specifieke trainingen bij op het gebied van phishing. Phishing is de belangrijkste dreiging op dit moment. ­Natuurlijk gaat dit weer gepaard met een uitgebreide communicatiecampagne, want bij awareness-trainingen is herhaling van groot belang.”

Dit artikel verscheen eerder in AutomatiseringGids nr. 9 - 2016

Lees meer over
Zie ook Beheer op AG Connect Intelligence

Reactie toevoegen