9 manieren om een robuuste cyberbeveiligingscultuur op te bouwen

Hoewel geavanceerde technologieën zoals AI en machinaal leren inmiddels onmisbaar zijn geworden voor cyberbeveiliging, zijn ze nog steeds ontoereikend. Zoals de meeste CISO's en cyberbeveiligingsprofessionals beseffen, zal technologie alleen nooit een adequate bescherming bieden. Als het op beveiliging aankomt, zullen afgeleide mensen altijd de zwakste schakel zijn, en het cultiveren van een cultuur van cyberbeveiliging is van cruciaal belang voor de verdediging van uw organisatie.

Eén manier om over de cyberbeveiligingscultuur van uw bedrijf na te denken, is dat het gaat om "wat er met de beveiliging gebeurt als mensen aan hun lot worden overgelaten". [1] Zijn werknemers geneigd om na te denken over beveiliging en het juiste te doen als het erop aankomt? Zo ja, dan heeft de beveiligingscultuur van de organisatie hun reactie en gedrag bepaald - en het versterken van die cultuur betekent actief ingrijpen om te zorgen voor meer van de reacties en het gedrag die u nodig hebt. Dat is waar cyberbewustzijnstraining voor bedoeld is - en hier zijn negen manieren om die zo effectief mogelijk te maken:

1. Leg uit wat er op het spel staat

Het is verrassend, maar in veel bedrijven weten werknemers nog steeds niet wat de waarde is van wat ze moeten beschermen. Vertel het hen dus. Gevoelige klantgegevens waarvan zij zouden willen dat ze privé blijven als zij uw klant zouden zijn; concurrentiegeheimen, zoals marketinginitiatieven en productonderzoek; informatie die de organisatie wettelijk verplicht is te beschermen, zoals HIPAA-beschermde medische dossiers. En leg uit hoe dit alles van invloed is op de reputatie van het bedrijf en zelfs op zijn voortbestaan - aangezien het publiekelijk verantwoordelijk kan worden gehouden voor schendingen of inbreuken.

Werknemers moeten ook beseffen dat in dit nieuwe tijdperk van thuiswerken iedereen die het op zijn werkgever gemunt heeft, het ook op zijn gezin gemunt heeft; door het bedrijf te beschermen, beschermt men ook zichzelf.

2. Zorg ervoor dat mensen weten dat je hun hulp echt nodig hebt

Beveiligingsprofessionals beseffen misschien dat technische beveiligingen niet waterdicht zijn, maar veel gewone werknemers weten dat niet. Sommigen denken nog steeds dat ze kunnen klikken op wat ze maar willen omdat de beveiligingssystemen van het bedrijf hen altijd veilig zullen houden. Zij moeten begrijpen dat geen enkele beveiligingsmaatregel perfect is en dat het aan hen is om eventuele bedreigingen tot een minimum te beperken en onnodige risico's te vermijden.

3. Leg uit waarom je doet wat je doet

Het is niet genoeg om medewerkers bewust te maken van beveiliging als u ze niet op de hoogte houdt. Dus als u extra stappen neemt, zoals het toevoegen van een VPN of het verplicht stellen van twee-factor authenticatie, moet u de reden voor deze veranderingen uitleggen en uitleggen waarom eventuele ongemakken het waard zijn in termen van een betere bescherming tegen bedreigingen.[2]

4. Maak het gemakkelijk voor werknemers om te doen wat juist is

Vraag uzelf af: Weten werknemers waar ze een verdachte e-mail kunnen melden of hoe ze de echtheid van een zakelijk telefoongesprek kunnen controleren? Is er een eenvoudige manier waarop zij contact kunnen opnemen met de bedrijfsbeveiliging om een vraag te stellen of advies te vragen? [3]

5. Leg de welkomstmat buiten

Betekent de "radiostilte" van een werknemer dat alles goed gaat, of dat de persoon bang is om contact op te nemen uit angst te worden gestraft of betutteld? In te veel bedrijven denken mensen dat contact met het cyberbeveiligingsteam betekent dat ze iets vreselijk verkeerd hebben gedaan. Organisaties met een sterke cyberbeveiligingscultuur kunnen deze angst wegnemen door routinematige communicatie en ongedwongen contact.[4]

6. Wees constructief, niet bestraffend

Het is keer op keer bewezen: Goed gedrag belonen werkt veel beter dan fouten bestraffen. Angst voor represailles leidt alleen maar tot een gebrek aan instemming, niet tot de diepere betrokkenheid die je wilt. En als mensen bang zijn om een misstap toe te geven, zoeken ze naar manieren om te verbergen wat ze hebben gedaan, wat de risico's voor het bedrijf alleen maar kan vergroten.

7. Maak cyberveiligheidstraining leuk, boeiend, begrijpelijk en continu

Het ergste wat u kunt doen, is cyberveiligheidstraining presenteren als een eenmalige oefening in naleving. Als u uw publiek wilt afschrikken en het onderwerp wilt bagatelliseren, is er eerlijk gezegd geen betere manier.[5]

Als u wilt dat werknemers cyberbeveiliging omarmen en serieus nemen, moet u de tegenovergestelde weg nemen. Bied een training die leuk is en gebaseerd op echte ervaringen, en geef deze in hapklare, gemakkelijk te volgen presentaties in gewoon Engels. Korte en frequente lessen maken het onderwerp niet alleen verteerbaar; ze dragen ook de boodschap uit dat cyberbeveiliging nu een vast en belangrijk onderdeel van het bedrijfsleven is.

8. Doordrenk uw training met een flinke dosis realiteitszin

Relevantie is goud waard. Grijp elke kans aan om uw cyberbewustzijnstrainingen te baseren op echte incidenten - in uw bedrijf of in het nieuws. Statistieken - hoe krachtig ook - zijn gemakkelijk te vergeten. Maar mensen zullen altijd de lessen onthouden van een incident waarbij mensen betrokken zijn met wie ze werken en omstandigheden waarmee ze zich kunnen identificeren.

9. Moedig leidinggevenden aan om de daad bij het woord te voegen

De hoogste leidinggevenden van uw bedrijf zijn de grootste doelwitten van cybercriminelen; daarom worden ze ook wel "walvissen" genoemd. Deze kantoorbewoners hebben de meeste toegang tot bedrijfskritische systemen en de meeste bevoegdheid om geld over te maken en uit te geven. Helaas behoren zij bij veel organisaties ook tot de meest resistente personen als het gaat om het handhaven van een goede cyberhygiëne.[6] Met andere woorden, uw directieteam heeft minstens zo veel behoefte aan regelmatige cyberbeveiligingstraining als ieder ander - hoewel in hun training ook moet worden benadrukt waarom zij de belangrijkste doelwitten zijn voor criminele hackers en hoe het voorbeeld dat zij stellen de cultuur van de hele organisatie rond cyberbeveiliging kan denigreren of verheffen.

De kern van de zaak

Zelfs de meest geavanceerde beveiligingstechnologieën zullen slechts zo effectief zijn als de mensen die er gebruik van maken, en om werknemers ertoe te bewegen hun beste beentje voor te zetten, is een sterke cultuur van cyberbeveiliging nodig. Een bewustwordingsprogramma voor cyberbeveiliging waarin rekening wordt gehouden met alle negen beste trainingspraktijken is het beste hulpmiddel voor de cyberprofessional om die cultuur op te bouwen - een cultuur die kan dienen als het anker voor de cyberverdediging van uw bedrijf.

[1] "6 manieren om een veiligheidscultuur van hoog tot laag te ontwikkelen," TechBeacon

[2] "Het belang van opleiding: Cybersecuritybewustzijn als firewall," Forbes

[3] "Medewerkersrapportage," US Cybersecurity Magazine

[4] "Cyberbeveiligingscultuur: Waarom het belangrijk is voor uw bedrijf," CyberTrails

[5] "Maak van veiligheidstraining geen 'one-and-done'." Dark Reading

[6] "Hoe belangrijk is beveiligingsbewustzijnstraining voor leidinggevenden?" TechTarget