Waarom je cybersecuritytraining afstemmen op deze 4 type medewerkers

Tips

Medewerkers zijn vaak de zwakste schakel in de cyberbeveiliging. Nieuw onderzoek toont aan dat je je trainingen best afstelt op vier type werknemers. Zo boek je een beter resultaat dan met een algemene CS-opleiding.

Man met mondmasker surft op een plein op zijn laptop
Ken je medewerkers en pas je cyberbeveiligingstraining aan © © Foto Paul Hanaoka, Unsplash

Het digitaal gedrag van medewerkers vormt een belangrijke cyberdreiging voor ondernemingen. Dat wordt bevestigd door een onderzoek van Trend Micro.

Uit de Head in the Clouds-studie uitgevoerd bij 13.200 telewerkers in 27 landen blijkt dat medewerkers zich bewust zijn van de gevaren, maar dat hun gedrag hier niet altijd mee overeenstemt. 

Bedrijfsgegevens gaan vreemd

Bedrijfsgegevens worden vaak geüpload naar applicaties die niet door je onderneming goedgekeurd werden. Dat zeggen deze opvallende cijfers:

  • 56% gebruikt een niet-werkapplicatie op een bedrijfsapparaat.
  • 66% uploadt bedrijfsgegevens naar niet-werkapplicaties.
  • 39% heeft "vaak" of "altijd" toegang tot bedrijfsgegevens vanaf een persoonlijk apparaat.
  • 29% vindt dat ze niet-werkapplicaties mogen gebruiken omdat door IT ondersteunde oplossingen "onzin" zijn.

Trend Micro stelt vast dat de huidige bewustmakingstrainingen voor medewerkers tekortschieten.

👉 Het trainen van medewerkers is een belangrijk onderdeel van een effectieve oplossing tegen cybercriminelen, zoals de Cybersecurity-Verbetertrajecten. VLAIO subsidieert hiervan 45 procent 

Vier beveiligingspersona's

“Het kan beter”, stelt Dr. Linda Kaye, Cyberpsychology Academic aan de Edge Hill University. “En wel door medewerkers op te delen in vier groepen op basis van hun cybersecuritygedrag: angstig, gewetensvol, onwetend en roekeloos.

Haar vier type medewerkers én manier om ze te trainen in cyberveiligheid ?

4 types medewerkers. Elk hebben ze een andere benadering nodig rond Cybersecurity
Cloud Security Personas © Trend Micro, 2020

Type 1: Angstige medewerkers vragen een specifieke aanpak. Ze kunnen profiteren van simulatietools met real-time feedback van beveiligingscontroles en mentorschap.

Type 2: Gewetensvolle medewerkers hebben zeer weinig training nodig. Wel kunnen ze als voorbeeld dienen van goed gedrag. Laat hen bijvoorbeeld samenwerken met ‘buddies’ uit de andere groepen.

Type 3: Onwetende gebruikers hebben baat bij gamificatietechnieken en simulatie-oefeningen. Interessant zijn extra interventies om de gevolgen van hun risicovol gedrag te leren begrijpen.

Type 4: Roekeloze medewerkers zijn het meest uitdagend. Hun wangedrag is niet het resultaat van onwetendheid maar van een vermeende superioriteit ten opzichte van anderen. Organisaties moeten wellicht beloningen inzetten om naleving te bevorderen. In extreme omstandigheden moeten ze de veiligheidscontroles opvoeren om het risicovol gedrag van dit roekeloze type te beperken.

Dit onderzoek adviseert om one-size-fits-all trainingssessies die de meeste organisaties vandaag de dag geven, te verlaten.

Nu beveiligingsverantwoordelijken begrijpen dat geen twee medewerkers hetzelfde zijn, kunnen ze hun aanpak meer op maat maken van de doelgroep.

HR verzoorzaakt soms cyberrisico

Howest wil met het ESF-project 'Cybersecurity4SME' inzetten op het verhogen van de cybersecuritymaturiteit van alle medewerkers van een organisatie. Ook dat doen ze op maat van hun specifieke profiel.

"We delen het bedrijf op in verschillende profielen: HR, financiën, productie, management, sales…", legt Kurt Callewaert uit aan ESF Vlaanderen. "Zo identificeren we er een twaalftal. Voor elk van die profielen bieden we aangepast trainingsmateriaal dat rekening houdt met de specifieke bedrijfsprocessen, data en manier van werken. Want de cybersecurityrisico’s bij HR zijn anders dan bij productie."

Kurt geeft hiervan een voorbeeld: IT-vacatures die online worden gezet.

"De HR-afdeling geeft in zo'n vacature vaak heel wat details mee over de IT-omgeving, de technologie en tools die worden gebruikt in het bedrijf. Maar HR beseft niet dat hackers meelezen en aan de hand van die vacature weten met welke software en systemen het bedrijf werkt. Dat is dus een cyberrisico dat eigen is aan HR."

TwitterLinkedIn