Met de juiste HR-instrumenten maakt u cyberverdedigers van uw medewerkers

Als hackers het bedrijfsnetwerk overnemen, ligt het bedrijf plat. HR kan een rol van betekenis spelen om internetveiligheid binnen de organisatie te bevorderen. Zo is het heel belangrijk om gedrag voor IT-beveiliging mee te nemen in HR-instrumenten zoals evaluatiegesprekken, maar ook al bij de werving van personeel. HR kan cyberveilig werken bevorderen door 5 adviezen te volgen.

Helaas zijn veel cyberincidenten het gevolg van menselijke fouten, zoals een werknemer die in een phishingmail trapt. Dat gebeurt bijvoorbeeld als een hacker zich voordoet als IT-expert van het bedrijf. Als die het vertrouwen van de medewerker weet te winnen, kan de medewerker zomaar inloggegevens afstaan. Dit is zo onlangs nog bij de taxi-app Uber gebeurd.

De meeste bedrijven zijn nu zo afhankelijk van internet en IT, dat zij volledig lam komen te liggen als zij worden gehackt. Daarom is het belangrijk om het personeel geregeld te trainen met security-awarenesstrainingen, adviseert IT-beveiligingsbedrijf Mimecast.

Cybertrainingen opnemen in personeelsbeleid
Om het maximale uit veiligheidstrainingen te halen, moeten ze verankerd zijn in de organisatie. Maar volgens Duane Nicol van Mimecast is het werknemers niet altijd duidelijk waarom cyberveiligheid zo belangrijk is.

“Goede communicatie speelt dan ook een sleutelrol,” aldus Nicol. “Daarmee creëer je een cultuur waarin mensen niet alleen weten dát ze niet zomaar op links moeten klikken, maar ook waarom niet. En waarin ze zich veilig en zelfverzekerd genoeg voelen om verdachte e-mails en gemaakte fouten te melden.”
Volgens Nicol is het cruciaal dat organisaties daarom security-awarenesstrainingen integreren in hun personeelsbeleid. Hij geeft een aantal concrete adviezen:

ZO MAAK JE PERSONEELSBELEID CYBERVEILIG

1. Beloon en evalueer cyberveilig gedrag

Wees voorzichtig met straffen, maar beloon werknemers vooral als zij goed presteren op het gebied van security-awareness. Deel incentives uit voor het regelmatig melden van verdachte e-mails bij de IT-afdeling of voor enthousiaste deelname aan het trainingsprogramma. Maak cyberveilig gedrag bovendien een vast onderdeel van evaluatie- en beoordelingsgesprekken.

Moedig aan om fouten te melden in open cultuur

Zelfs een goed getrainde werknemer kan fouten maken en per ongeluk op een malafide link klikken. Hoe eerder de IT-afdeling hiervan op de hoogte is, hoe groter de kans dat de schade kan worden beperkt. Bouw daarom aan een open organisatiecultuur waarin mensen niet bang zijn om fouten te melden, maar daarvoor zelfs bedankt worden. Een fout melden moet net zo normaal zijn als koffie halen.

2. Benoem security-awareness als eis in vacatures

Benadruk in vacatures dat veiligheidsbewustzijn bij de functie hoort en dat de organisatie dit heel serieus neemt. Dit betekent dat de werknemer security-awarenesstrainingen moet volgen om bedrijfssystemen te gebruiken. Dit is niet alleen een vereiste op het werk, maar ook nuttig voor de privésituatie van de potentiële nieuwe  werknemer. Benadruk dat de trainingen gratis worden aangeboden door de werkgever. Dit kan de werkgever ook aantrekkelijker maken in de ogen van kandidaten.

3. Communiceer over het doel en testscores

Veiligheid is teamwerk. Nieuwe werknemers kun je vanaf het begin laten deelnemen aan het trainingsprogramma, maar het is ook zaak om je huidige personeel mee te krijgen. Leg uit dat de organisatie kwetsbaar is en dat je iedereen nodig hebt om cyberincidenten te voorkomen. Deel vaak én op een positieve manier de behaalde resultaten met de medewerkers. Bijvoorbeeld over een daling in het aantal gevaarlijke kliks of een stijging in het aantal gemelde phisingmails. Hierdoor voelen mensen zich betrokken en verantwoordelijk, zonder dat er druk of dwang wordt uitgeoefend.

4. Let op je taalgebruik in continu leerproces

Hoewel gebruikers de zwakste schakel in security zijn, is dat niet altijd leuk om aan te moeten horen. Met subtiele aanpassingen in het taalgebruik kun je ervoor zorgen dat security-awareness beter landt in de organisatie.
Noem de medewerkers die de trainingen volgen bijvoorbeeld geen ‘eindgebruikers’, maar cyberverdedigers. Zo benadruk je dat cyberveilig gedrag een continu leerproces is en dat het onderdeel van je DNA moet zijn. Er kan best een keer iets fout gaan, zolang je de fout maar meldt en ervan leert, zodat je jezelf en je bedrijf beter kunt beschermen.

5. Samen verantwoordelijk voor security

Trainingen zijn belangrijk, maar de beste resultaten behaal je als iedere werknemer het belang van security-awareness inziet. Met het juiste personeelsbeleid en trainingsprogramma zorg je ervoor dat iedereen zich hier verantwoordelijk voor voelt. Zo vergroot je de cyberweerbaarheid van je organisatie.


MIS NIKS: Abonneer je op de gratis Personeelsnet-nieuwsbrief

Doorsturen:

Neem een abonnement en download meer dan 300 actuele HR-instrumenten

Wilt u als HR-professional ook niks meer missen op uw vakgebied?