Zo voorkom je weerstand tegen (security-)trainingsprogramma’s
Door Jelle Wieringa, Security Awareness Advocate bij KnowBe4
Met het inzetten van een security awareness-trainingsprogramma leer je medewerkers kennis te maken met de belangrijkste online dreigingen en train je hen in het herkennen van de tactieken die cybercriminelen gebruiken om je organisatie binnen te dringen of
belangrijke informatie te verkrijgen. En dat is hard nodig omdat maar liefst negen op de tien cybercriminelen zich met hun cyberaanvallen richten op de mens. Alleen staat of valt het succes van een security awareness-programma met de participatiegraad. Door rekening te houden met de volgende factoren zorg je ervoor dat het aantal medewerkers dat deelneemt zo hoog mogelijk is én blijft.
1. Urgentie
Een training, over welk onderwerp dan ook, kan worden gezien als een moetje. Zeker als het voor de deelnemers van de training niet duidelijk is waarom ze die training moeten volgen. De kans op uitstel is groot. En we weten allemaal: van uitstel komt afstel. Daarom is het belangrijk om medewerkers, voordat ze met een trainingsprogramma van start gaan, duidelijk uit te leggen wat het doel van de training is en welk belang de organisatie hieraan hecht. Maak duidelijk waarom het volgen van training essentieel is om de organisatie te beschermen tegen cyberdreigingen. Begin bij de board en de afdelingsmanagers en zorg ervoor dat zij tijdens team-meetings aandacht besteden aan de urgentie van het onderwerp. Security is een gedeelde verantwoordelijkheid. Wanneer die boodschap aankomt is de kans groter dat medewerkers de trainingen niet overslaan.
2. Relevantie
‘De medewerker’ bestaat niet. Iedereen in een organisatie heeft andere verantwoordelijkheden, taken en interesses. Hoe beter een training hierop is afgestemd, hoe groter de kans dat iemand deelneemt. Zorg dat je training de taal spreekt van de ontvanger, zowel letterlijk als figuurlijk. Door bijvoorbeeld in de trainingen voorbeelden van onderwerpen te gebruiken die voor dat specifieke functieprofiel relevant zijn. Zo zal een financieel manager meer getriggerd worden door een onderwerp als compliance dan een facilitair medewerker. Niet alles hoeft maatwerk te zijn, maar door bij het kiezen van content rekening te houden met segmenten, neemt de relevantie toe.
3. Diversiteit
Net als dat ‘de medewerker’ niet bestaat, bestaat ook ‘de training’ niet. Training kan op allerlei verschillende manieren worden aangeboden. En dat is maar goed ook, omdat iedereen op een andere manier informatie tot zich neemt. Waar de een de voorkeur geeft aan het doorlezen van een kennisdocument of een presentatie, vindt de ander het fijn om de informatie te beluisteren in de vorm van een podcast of te bekijken in de vorm van een video. Bij KnowBe4 gaan we zelfs zover dat we met ‘The Inside Man’ een Netflix-achtige serie hebben ontwikkeld waarin je als kijker steeds meer leert over de tactieken die cybercriminelen gebruiken. Niet alleen leerzaam, maar ook spannend!
4. Tijd
Ook al is de urgentie duidelijk bij medewerkers, dan nog blijft tijd (of nog beter: het gebrek daaraan) een belangrijke factor. Iedereen is al druk genoeg met zijn eigen werkzaamheden. Daarom is het belangrijk om trainingen niet te lang te maken. Een video van vijf tot maximaal tien minuten klik je sneller aan dan een uitgebreid webinar van drie kwartier tot een uur. Train liever vaker en korter (bv. één keer per week een korte video) dan weinig en lang (bv. één dagdeel met presentaties per kwartaal). Wanneer je trainingen aanbiedt in de vorm van een toegankelijke app, kunnen medewerkers zelfs onderweg naar werk of naar huis de trainingen volgen.