Beheer

Security
Gamification

Maak security een spelletje

Hoe krijg je werknemers alert op IT-beveiligingsgebied?

© CC BY2.0 - Flickr VFS Digital Design
28 juli 2017

Personeel is vaak de zwakste schakel in de beveiliging tegen cybercriminelen. Gezond verstand heeft soms zijn grenzen en u moet zorgen dat 'best practices' op beveiligingsgebied niet het ene oor in gaan en het andere oor uit. Fouten van medewerkers kunnen makkelijk de deur openzetten voor malware of informatiediefstal.

Bij succesvolle aanvallen is er vaak sprake van slechte processen en wordt er misbruik gemaakt van menselijke zwaktes. Om de dreigingsactoren binnen een organisatie te verkleinen, moet de focus van reguliere trainingen voor medewerkers verschuiven van reactie naar preventie. Beveiligingstrainingen die zich puur richten op compliance zijn ineffectief gebleken. Meestal komt dat doordat de training niet interessant of persoonlijk genoeg is om tot de verbeelding van medewerkers te spreken. Bedrijven moeten zich tijdens trainingen daarom richten op de bescherming van persoonlijke data. Daarnaast moeten medewerkers worden gestimuleerd om ook op de werkplek maatregelen te nemen die de beveiliging verbeteren.

Er zijn veel verschillende soorten trainingen, waaronder gamificatie dat steeds vaker toegepast. Bij gamificatie worden er spelmechanismen gebruikt in een niet-spelcontext. Hierbij wordt datgene wat spellen leuk maakt toegepast op andere soorten activiteiten die niet per se leuk zijn. Gamificatieprogramma's bestaan uit competitie- en beloningselementen en ze worden steeds populairder omdat ze kunnen worden toegepast in een groot aantal branches.

Veel bedrijven werken op dit moment al met gamificatie. Ze gebruiken dit bijvoorbeeld voor hun klantenbinding of om de prestaties en de motivatie van hun werknemers te verbeteren.

De twee belangrijkste redenen waarom bedrijven gamificatie moeten gebruiken om de cybersecurity in hun organisatie te verbeteren zijn:

1. Trainingen aantrekkelijker en interessanter maken voor medewerkers

Met gamificatie kunnen bedrijven hun cybersecurity op diverse manieren verbeteren. Zo kunnen ze hun medewerkers bijvoorbeeld laten zien hoe ze cyberaanvallen kunnen voorkomen en hen kennis laten opdoen over kwetsbaarheden in software.

De internationale consultants van PwC trainen hun medewerkers in cybersecurity via 'Game of Threats'. Hierbij strijden bestuurders tegen elkaar in echte cybersecurity-situaties en spelen ze de rol van aanvaller of verdediger. Aanvallers kiezen de tactieken, methoden en vaardigheden waarmee ze aanvallen, terwijl verdedigers (verdedigings-)strategieën ontwikkelen en investeren in de juiste technologie en het juiste talent om op die aanvallen te reageren. Dankzij het spel komen bestuurders te weten hoe ze zich kunnen voorbereiden op dreigingen en hoe ze hierop kunnen reageren. Bovendien weten ze op deze manier ook hoe goed het bedrijf is voorbereid tegen aanvallen en waar hun cybersecurityteams elke dag mee te maken krijgen.

Met gamificatie kan het trainingsproces voor medewerkers aantrekkelijker en interessanter worden gemaakt. Medewerkers worden zich bewuster van de werkwijze en leren ook hoe ze correct met aanvallen kunnen omgaan.

2. Bied incentives en beloningen aan om goed gedrag aan te moedigen

De meeste inbreuken zijn te wijten aan menselijke fouten. Medewerkers staan onder druk om hun werk zo snel mogelijk af te krijgen. Dit kan ertoe leiden dat ze belangrijke beveiligingsregels van het bedrijf over het hoofd zien.

Zogeheten PhishMe-campagnes zijn een goede manier om medewerkers te trainen. Bij deze campagnes worden er regelmatig phishingmails verzonden binnen de organisatie, waarbij wordt getest hoe personeel reageert en welke acties het onderneemt.

Met gamificatie kunnen bedrijven medewerkers belonen die de beveiligingsprocedures opvolgen. Goed gedrag kan worden gestimuleerd in de vorm van badges of punten voor medewerkers. Deze punten kunnen worden bijgehouden op een scorebord, zodat de rest van het kantoor ze ook kan zien. In sommige organisaties krijgen medewerkers die bepaalde mijlpalen hebben bereikt een materiële beloning, zoals een cadeaubon.

Met dit systeem kan ook worden bepaald wie ongewenst gedrag vertoont. Het gevolg hiervan kan zijn dat iemand een extra training moet volgen. Organisaties die medewerkers belonen en erkennen voor correct handelen zorgen ervoor dat het positieve gedrag wordt voortgezet en dat medewerkers worden gemotiveerd om volgens de protocollen te werken. Hierdoor wordt de werkomgeving veiliger op cybergebied.

Bij iedere training staat centraal dat medewerkers worden getraind op hun beveiligingsbewustzijn. Hierdoor komt er een gezamenlijk verantwoordelijkheidsgevoel voor de data waarmee ze werken en thuis gebruiken. Alle trainingen en programma´s moeten onderdeel zijn van een doorlopend proces en mogen dus geen éénmalig initiatief zijn. Leidinggevenden in elk bedrijf, groot of klein, kunnen soms het gevoel hebben dat ze niet de middelen hebben voor een effectief programma. Dit is echter wel degelijk mogelijk, zonder dat het kapitalen hoeft te kosten.

Enkele voorbeelden:

  • Visuele hulpmiddelen werken goed. Begin met een paar kleine video's, posters en/of wedstrijden, om alle medewerkers te herinneren aan de boodschap dat iedereen verantwoordelijk is voor een goede beveiliging;
  • Bangmakerij werkt niet. Het doel van het bedrijf moet zijn om een cultuur op te bouwen van cyberbewustzijn. Pak dit dus aan als een marketingcampagne met als doel om medewerkers te overtuigen en hun gedrag te veranderen;
  • Kort en bondig werkt het beste. Lange e-mails worden altijd genegeerd. Hou ze kort en leuk, en zorg altijd dat er een top-down-aanpak is. Als leidinggevenden de cybersecuritycultuur niet in de praktijk brengen, waarom zouden de medewerkers dat dan wel doen? Het doel is om medewerkers te trainen in best practices. Niet om ze te dwingen, maar om expert te worden in cybersecurity. Maak het leuk en werk met humor, zodat iedereen er tegelijkertijd ook wat van opsteekt.
  • Herhaling en follow-ups zijn essentieel. Leer van wat werkt en train opnieuw waar nodig. Blijf nieuwe en bestaande medewerkers trainen. Kijk of ze in een phishingmail trappen en ga na hoeveel medewerkers er nog steeds niet in slagen om een nep e-mail te herkennen. Stimuleer het melden van nep e-mails en geef aan welke groepen op afdelingen achterlopen. Het doel is niet om mensen eruit te pikken, maar wel om te zorgen voor enige gezonde rivaliteit binnen de organisatie.

Het uitschakelen van cyberrisico's binnen een bedrijf is een continu proces dat te beheersen is. We moeten een werkwijze stimuleren waarbij medewerkers van zich laten horen als ze vragen hebben en hen waar nodig opnieuw trainen. Als het resultaat van het securitybewustzijnsprogramma is dat medewerkers eerst vragen stellen voordat ze op iets kwaadaardigs klikken, is de koers naar een veiliger bedrijf ingeslagen.

Reactie toevoegen