Cyberbewustwording: hoe train je je collega's?

Gepubliceerd op: 8 februari 2022
Bijgewerkt op: 8 februari 2022
Geschreven door
Online Fraude 800 X 400

De meeste cyberincidenten ontstaan door menselijke fouten. Cybercriminelen maken slim gebruik van naïviteit en gemakzucht die de gemiddelde mens niet vreemd is. Bewustzijn van cyberrisico's is dus heel belangrijk voor het voorkomen van incidenten.

Verkeerd omgaan met inloggegevens en wachtwoorden, het gebruik maken van gratis online en mogelijk onveilige Cloud-diensten, het onbedoeld verspreiden van gevoelige informatie via privémail of het printen van gevoelige documenten op onbeheerde printers. Het klinkt onschuldig, maar deze voorbeelden kunnen leiden tot serieuze cyberincidenten. Het is daarom belangrijk dat informatiebeveiliging onderdeel wordt van de dagelijkse routine.

Hoe maak je je medewerkers bewust van de risico's van digitaal werken? In dit stappenplan legt het Digital Trust Center uit hoe je een bewustwordingscampagne opzet.

1. Mobiliseer stakeholders binnen je organisatie
2. Breng de informatiebeveiligingsrisico's van je organisatie in kaart
3. Kies de juiste doelgroep voor je bewustwordingscampagne
4. Kies het gewenste effect van je bewustwordingscampagne
5. Kies het juiste middel om je bewustwordingscampagne uit te voeren
6. Kies de juiste boodschap voor je bewustwordingscampagne

1. Mobiliseer stakeholders binnen je organisatie

Een kritische succesfactor voor een bewustwordingscampagne binnen je organisatie is het mobiliseren van stakeholders. Het management is hierin een van de belangrijkste stakeholders. Het management zorgt immers voor budget, tijd en middelen voor de campagne. Daarnaast vervult het management een voorbeeldfunctie voor de organisatie. Wanneer zij achter de campagne staan, zal de acceptatie binnen de organisatie voorspoediger verlopen.

2. Breng de informatiebeveiligingsrisico's van je organisatie in kaart

Een belangrijke eerste stap is het in kaart brengen van de informatiebeveiligingsrisico's binnen je organisatie. De keuze om risico's te negeren, onderschatten of te elimineren kan helpen bij het maken van keuzes binnen de bewustwordingscampagne. Uit de risico's vloeit logischerwijze een onderwerpenlijst waar de campagne op gebaseerd kan worden.

Tip: Organiseer een enquête

Risico's kunnen in kaart gebracht worden door ICT-specialisten. Maar je kunt ook de rest van de organisatie erbij betrekken, met bijvoorbeeld een enquête. Met behulp van een enquête kan je toetsen hoe je medewerkers omgaan met informatie. De uitkomsten hiervan kun je inzetten  voor de agendavorming van de campagne. Op deze manier blijft het geen 'ICT-feestje' en wordt je hele bedrijf bij de campagne betrokken. Een enquête kan ook als een vertrekpunt van je campagne fungeren, als nulmeting. Jaarlijks kan er zo getoetst worden of je campagne effectief is.

3. Kies de juiste doelgroep voor je bewustwordingscampagne

Om je medewerkers doeltreffend te bereiken, is het verstandig om onderscheid in verschillende doelgroepen te maken. Deze doelgroepen hebben ieder een eigen aanpak nodig om het gewenste effect te bewerkstelligen. Binnen je organisatie kan je bijvoorbeeld denken aan doelgroepen als:

  • Management (denk aan: CEO fraude)
  • Secretaresses (denk aan: social engineering)
  • HR (denk aan: instroom en uitstroom van medewerkers)
  • Ontwikkelaars (denk aan: security by design/default)

4. Kies het gewenste effect van je bewustwordingscampagne

Per doelgroep is het verstandig om een bepaald gewenst effect te definiëren. Wat is het doel dat je wilt bereiken? Wil je kennis bijbrengen? Wil je de houding van je medewerkers ten opzichte van bepaalde thema's veranderen of wil je hun gedrag veranderen?

Een van de klassieke communicatiemodellen om een doelgroep te mobiliseren is het zogenaamde model kennis-houding-gedrag. In dit model herkennen we een lineaire hiërarchie, bestaande uit 3 elkaar volgende fases: kennis, houding, gedrag. In de eerste fase probeert men via communicatie mensen eerst te informeren. Als ze voldoende kennis bezitten, is daarmee de basis gelegd voor de verandering van de houding in de gewenste richting. En als mensen een positieve attitude hebben, zullen ze geneigd zijn het gewenste gedrag aan te nemen.

Kennis: wat weet de doelgroep over het nieuwe gedrag?

  • Informatie verschaffen
  • Kennistekorten wegwerken
  • Weerleggen van onjuiste kennis

Houding: welke gevoelens heeft de doelgroep ten opzichte van dit gedrag?

  • Positieve gevoelens versterken
  • Negatieve gevoelens afzwakken
  • Gewenst gedrag sterker positioneren
  • Belang van voordelen gewichtiger maken

Gedrag: wat is de actiebereidheid van de doelgroep?

  • Ervaringen laten opdoen
  • Belemmeringen wegwerken
  • Ondersteuning door de omgeving

Het gewenste effect dat je met je campagne wilt bewerkstelligen, gaat hand in hand met welk middel je inzet. 

5. Kies het juiste middel om je bewustwordingscampagne uit te voeren

Mensen leren verschillend en onthouden dingen beter als ze een onderwerp op verschillende manieren krijgen aangeboden. Zo werkt het hoofd van de mens immers. Belangrijk dus om tijdens een bewustwordingscampagne goed na te denken welke middelen je voor welke doelgroep inzet. Er zijn namelijk diverse middelen die ingezet kunnen worden, denk aan: media (intranet, blogs), evenementen, workshops, activiteiten, fysieke middelen (posters, flyers), phishingtest, enquêtes, e-learning, serious gaming en trainingen.

Elke doelgroep spreekt een andere 'taal'. Het is heel belangrijk je middelen en boodschap hierop af te stemmen om deze groepen op een effectieve manier te bereiken.

6. Kies de juiste boodschap voor je bewustwordingscampagne

Om onze gewoontes te veranderen, moet het ons ook iets opleveren. We moeten de positieve impact van informatieveiligheid voelen en zien. Om dit te bewerkstelligen is het dus belangrijk dat je het dicht bij de doelgroep brengt en concreet en persoonlijk maakt. Anders blijft het voor velen een 'ver van mijn bed show' en blijft het makkelijk af te schuiven als een ICT-feestje.

Het is daarom belangrijk dat je weet welke 'taal' elke doelgroep spreekt, welke belangen er spelen, welke behoeften er zijn. Om hier achter te komen is het wellicht een idee om met ambassadeurs te gaan werken. Zo kan elke doelgroep een bewustwordingscampagne-ambassadeur hebben om inzicht in de doelgroep te geven en als koppelstuk tussen ICT en de business te fungeren.

Middelenmatrix

Om bovenstaande overzichtelijk weer te geven kan gebruik gemaakt worden van een middelenmatrix. Dit is een combinatie van alle media, evenementen, activiteiten, die ingezet kunnen worden om communicatiedoelen van een campagne te bereiken.

Doelgroep Gewenste effect Boodschap Middel
       

 

Lees meer over cyberbewustwording

Onderwerpen

Heb je vragen over
dit onderwerp?

Neem dan contact op met onze expert.

Roland van Kortenhof
Roland van Kortenhof 250x250

Deel dit kennisartikel

Recente artikelen over dit onderwerp