Blogs

Belevenissen vergroten het bewustzijn over digitale veiligheid

Jelle Wieringa van KnowBe4 pleit ervoor belevenissen in te zetten om het bewustzijn van medewerkers over veilig én onveilig gedrag te vergroten.

Mijn collega Perry Carpenter, voorheen werkzaam bij Gartner, bracht onlangs een boek uit over ‘transformational security awareness’. Daarin vertelt hij wat neuropsychologen, storytellers en marketeers ons kunnen leren over veilig online gedrag. Een belangrijke conclusie: je kunt belevenissen inzetten om het bewustzijn van medewerkers over veilig én onveilig gedrag te vergroten.

Carpenter definieert belevenissen als ‘momenten waarop een deelnemer actiever dan gewoonlijk participeert in een onderdeel van het programma’. Belevenissen moeten, jawel, een beleving zijn, die actieve deelname vereist in plaats van het passief kijken naar een training op de computer. Maar dat is niet het enige wat onder de noemer ‘belevenis’ valt. Een vergadering, een webinar, een lunchsessie, een teamuitje of zelfs een kort dagelijks overleg kan een belevenis zijn. Zolang het maar situaties zijn waar mensen instappen en dan weer uitstappen. Al deze situaties kunnen worden gebruikt als een leermoment om het veiligheidsbewustzijn binnen de organisatie te vergroten.

Hoe je dat doet? Een paar voorbeelden:

Vergaderingen, presentaties en lunchsessies
Het fijne van deze belevenissen is dat ze allemaal persoonlijk zijn: je bent met een aantal mensen samen om inhoud over te brengen, maar je staat ook direct in contact met elkaar. Het zijn open en interactieve sessies waarbinnen ruimte is voor emotie en empathie. Zo ontstaat er een vertrouwensband tussen medewerkers enerzijds en de IT-afdeling of de leidinggevende anderzijds.

Denk niet dat je speciale meetings met bekende sprekers moet houden om medewerkers te interesseren. Zeker, het werkt, maar iemand binnen de organisatie kan net zo goed een presentatie houden over hoe belangrijk het is voor het bedrijf om geen foute links in e-mails aan te klikken of verdachte bijlages te openen. Laat zo iemand een ‘vraag mij alles wat je wil weten’-sessie houden of vertellen hoe hij of zij gehandeld heeft toen er iets behoorlijk verkeerd ging.

Het belangrijkste is dat je mensen meeneemt in een belevenis. Praat niet tegen ze, maar met ze.

Tabletop exercises
Net als Carpenter ben ik een groot voorstander van ‘tabletop exercises’. Deze belevenissen zijn korte oefeningen die je op vrijwel ieder moment kunt doen met medewerkers (bijvoorbeeld aan het eind van de ochtendvergadering) om iedereen even te laten bedenken wat ze zouden doen als er nu een bepaald scenario zou plaatsvinden. Met andere woorden: je laat iedereen de ‘wat als’-vraag beantwoorden. Wat als je nu een e-mail van de baas zou krijgen met de vraag of je een groot bedrag naar een buitenlandse aandeelhouder wil overmaken? Wat als je computer geïnfecteerd raakt met ransomware?

Tafelbladoefeningen komen oorspronkelijk uit de wereld van de rampenbestrijding. Ze worden vaak gedaan door mensen die moeten handelen op het moment dat er een dijkdoorbraak, een gijzeling of een grootschalige stroomstoring plaatsvindt. Een paar minuten op Google leert je hoe je een tafelbladoefening maakt. Bestudeer tijdens deze belevenissen de reactie van medewerkers en stem daarop de verdere security awareness training af (indien er binnen het bedrijf al een trainingsprogramma bestaat).

Rituelen
Iedere organisatie heeft rituelen die de bedrijfscultuur benadrukken en in stand houden. Het kan de maandelijkse tombola zijn, of de Indonesische lunch op vrijdagmiddag. Het werkt in mijn ervaring heel goed om boodschappen en activiteiten rondom security awareness in deze belevenissen te verwerken. Deel de recente veiligheidsupdates, nu iedereen toch bij elkaar is. Als je daar geen mogelijkheid toe ziet is het geen gek idee om nieuwe rituelen te verzinnen, die lijken op bestaande rituelen, waarbinnen het thema digitale veiligheid wel goed past.

Gamification
Door het toevoegen van spelelementen aan het leerproces kunnen medewerkers op een andere manier tegen dit thema aankijken. Elementen als plezier, uitdaging en beloning maken van spelletjes een effectief middel om boodschappen over te brengen en goede gewoontes te creëren. Ga niet blindelings voor (online) games, want hoe leuk zijn belevenissen zoals met z’n allen Hints of Pictionary spelen? Zorg voor toepasselijke vragen of opdrachten en een mooie beloning (bioscoopkaartjes, bijvoorbeeld!).

Dit zijn maar een paar voorbeelden van hoe je met belevenissen de veiligheidscultuur binnen de organisatie kunt verbeteren. Er zijn nog veel meer activiteiten te verzinnen. Houd daarbij de bestaande bedrijfscultuur voor ogen en bedenk hoe je leuke en interactieve belevenissen aanbiedt waar medewerkers warm voor zullen lopen.

Naar boven