"Een vliegende start voor cyberbewuste medewerkers"
Hoe verhoogt Schiphol de cybersecurity awareness bij medewerkers? Evelien van Zuidam, manager van het Schiphol Cybersecurity Centre vertelt.
Hoe meer organisaties gaan digitaliseren en innoveren, des te meer er ook rekening gehouden moet worden met de kwetsbaarheden die deze digitale wereld met zich meebrengt. Zoals ook de hoofdboodschap in het Cybersecurity Beeld Nederland (CSBN) 2019 luidt: de digitalisering neemt toe, maar de cyberdreiging ook. Reden voor Royal Schiphol Group om te blijven investeren in cybersecurity en specifiek de bewustwording van medewerkers.
Evelien van Zuidam, manager van het Schiphol Cybersecurity Centre, is samen met haar team verantwoordelijk om cybersecurity risico’s in de organisatie te controleren en verminderen. Al enige tijd werkt Schiphol aan het verhogen van cybersecurity awareness voor medewerkers. Evelien vertelt hoe Schiphol dit aanpakt.
Waarom gedragsverandering lastig is
Bewustwording is een noodzakelijk onderdeel bij het inrichten van cybersecurity in een organisatie. Een medewerker die onbewust een systeem verkeerd gebruikt of de regels niet opvolgt kan risico’s veroorzaken. Maar hoe kun je daadwerkelijk het gedrag van deze medewerkers veranderen? "Je kunt gedrag veranderen door te investeren in kennis, houding en middelen. Je moet kennis hebben om te weten wat je moet doen, je moet snappen waarom, en je moet welwillend en gemotiveerd zijn om het ook daadwerkelijk te gaan doen. Maar je moet ook nog eens middelen en tools tot je beschikking hebben om het gewenste gedrag te kunnen vertonen. Er is helaas geen uniforme formule die voor gegarandeerde verandering zorgt. Dat is veel proberen en leren. Ik ben ervan overtuigd dat medewerkers met de juiste bagage een sterke schakel in cybersecurity zijn."
Bewustwording als continu proces
Binnen Schiphol is cybersecurity awareness ingericht als een continu proces. Dit betekent dat er elk jaar een plan wordt opgesteld en geregeld geëvalueerd wordt of het doel bereikt wordt. Gedragsverandering vraagt om continue aandacht bij medewerkers. Boodschappen herhalen zorgt ervoor dat medewerkers alert blijven. Daarnaast volgen ontwikkelingen en dreigingen elkaar in rap tempo op. De context is dus aan verandering onderhevig. "Daarom zullen onze regels en middelen ook moeten mee ontwikkelen. Structurele aandacht en continue scholing onder medewerkers is dan ook essentieel om de medewerkers mee te nemen in deze veranderingen."
Maatwerk voor de doelgroepen
In het cybersecurity team worden generieke en specifieke awareness campagnes uitgerold. "Voor de generieke zetten we algemene communicatie en activiteiten in die voor de hele organisatie te volgen zijn, zoals een live hack demo. Deze activiteiten zijn heel tastbaar, worden druk bezocht en zetten mensen op een positieve manier aan het denken. Dit is nodig om de stap naar gedragsverandering te kunnen maken." Voor de specifieke doelgroepen, zoals managers, secretaresses, beheerders of ontwikkelaars organiseert Schiphol andere activiteiten. Voor elke specifieke doelgroep worden de risico's in kaart gebracht en bekeken welke kaders en gedragingen voor hen van belang zijn. "Onze secretaresses hebben bijvoorbeeld afgelopen jaar een thema sessie ' social engineering ' gevolgd, omdat zij onze ogen en oren in de teams zijn. Je merkt dat zij onze trouwe melders van (spear) phishing e-mail zijn. Het is geweldig om hun alertheid en betrokkenheid te zien. Dit belonen we dan geregeld ook met wat leuks. Dit klinkt wellicht arbeidsintensief, maar het is voor ons de juiste aanpak om de doelgroep ook daadwerkelijk te kunnen helpen in het uitvoeren van hun werk."
Ambassadeurs voor betrokkenheid
Een van de uitdagingen is hoe de awareness boodschap aansluit bij medewerkers en hoe je ze geboeid houdt voor het onderwerp. Binnen Schiphol zit de kracht volgens Evelien vooral in de opzet en inzet van een netwerk van cybersecurity ambassadeurs. Dit zijn medewerkers die vanuit eigen businessperspectief nadenken over wat zij nodig hebben om hun werk veilig te kunnen doen. "De ambassadeurs zijn bovengemiddeld geïnteresseerd in het cybersecurity vakgebied en willen graag nieuwe dingen ondernemen en meenemen naar hun eigen afdeling." Elke maand wordt er een sessie georganiseerd voor deze ambassadeurs. Zij ontvangen daarin meer kennis over cybersecurity en een toolbox met tips en communicatiemiddelen. "Iedereen ontvangt een toolbox met middelen om zelf in te zetten in zijn of haar eigen team. Onze ambassadeurs kunnen veel beter inschatten welke manier het beste werkt om collega's te activeren, motiveren en inspireren. Zij helpen ons door feedback te geven op de campagnes en om deze boodschap in hun afdelingen te verspreiden. Het is een krachtig middel om impact te maken."
Inzicht door onderzoek
Een veel gehoorde vraag is: Hoe meet je of het gewenste gedrag ook daadwerkelijk is bereikt? Belangrijk is om te bepalen wat je gewenste resultaat is en hoe je dat wilt meten. "Maar meten van gedrag doet gedrag niet veranderen. Wees dus kritisch op wat je doet en of het werkt, maar besteed niet al je tijd aan het meten." Jaarlijks zet Schiphol een survey uit om te bekijken hoe de organisatie, inclusief de cybersecurity afdeling, ervoor staat. "Ken je het cybersecurity beleid? Weet je wat en waar je een incident moet melden? Welke tools gebruik je om veilig te werken? Wat mis je nog? Enzovoorts. Dit doen we om beter te begrijpen waarom mensen bepaald gedrag vertonen en waar nog werk aan de winkel is." De uitkomsten worden altijd gecommuniceerd, gepresenteerd in verschillende sessies en verwerkt in het awareness programma. "Als er bijvoorbeeld uitkomt dat mensen niet meer goed weten hoe ze moeten melden, dan besteden we daar extra aandacht aan in onze campagnes."
De juiste middelen voor gebruikersgemak
Gedragsverandering wordt lastiger wanneer er geen (gebruiksvriendelijke) alternatieven voor handen zijn. "De relatie tussen gebruikersgemak en veiligheid speelt altijd een rol in de gesprekken die we met medewerkers voeren. De simpelste weg is helaas niet altijd de veiligste." Als voorbeeld van een gebruiksvriendelijk alternatief noemt Evelien de tool die ze hebben om veilig (grote) bestanden te delen. "De tool is net zo gebruiksvriendelijk als bijvoorbeeld WeTransfer, maar interne en vertrouwelijke bestanden kunnen op deze manier veilig worden gedeeld met externe partijen. We zien dat na de awareness campagne rondom deze tool het gebruik flink is gestegen. Dat is een mooi resultaat." Echter is niet overal een gebruiksvriendelijk alternatief voor handen. Volgens Evelien is het dan vooral belangrijk om de risico's en het belang van Schiphol goed te duiden bij medewerkers. "De kracht zit dan in de dialoog en het samen zoeken naar het beste alternatief."
Succesfactoren voor een vliegende start
Om een succesvol awareness programma op te zetten is allereerst bijdrage en support vanuit het management uiteraard een belangrijke succesfactor. Je hebt tenslotte middelen en tijd van iedere medewerker nodig om zich te ontwikkelen op dit vlak. Ten tweede heb je voor de communicatie campagnes creatieve geesten uit de organisatie nodig die inspirerende en pakkende content ontwikkelen. "We betrekken zowel werk als privé situaties in de campagnes omdat we weten dat dit tot de verbeelding spreekt. En wanneer je privé voor elk account een ander wachtwoord hebt, zal je dat op het werk ook doen".
Ten derde is het belangrijk om de medewerker niet te overspoelen met te veel informatie, start met een simpele overzichtelijke boodschap. "Bedenk bijvoorbeeld elk jaar een top 10 aan gedragingen waar medewerkers echt op moeten letten." Zorg als laatste ervoor dat je bij de eerste activiteiten direct feedback vraagt aan medewerkers, zodat je snel kunt bijsturen.
Meten van gedrag doet gedrag niet veranderen. Wees dus kritisch op wat je doet en of het werkt, maar besteed niet al je tijd aan het meten.
Lessen van Schiphol:
- Blijf investeren in de bewustwording van medewerkers via kennis, houding en middelen.
- Beloon medewerkers om het juiste gedrag te stimuleren.
- Maak van je bovengemiddeld geïnteresseerde medewerkers ambassadeurs.
- Betrek je medewerkers. Voer een dialoog.