Webbanner
26 augustus 2024 / Verdieping

Waarom gigantische bibliotheken met content geen impact hebben op de cyberweerbaarheid van je medewerkers

De meeste security awareness trainingen bieden bibliotheken met content die de Encyclopaedia Britannica kunnen evenaren: van tutorials en artikels tot games en zelfs Netflix-achtige videocontent. IT-managers kiezen iets uit en versturen het naar de medewerkers. Nochtans laten data zien dat deze aanpak het aantal cyberincidenten niet naar beneden haalt. In deze blog leg ik uit waarom dat zo is.


Bij prop-techbedrijf Bringme – later het zusterbedrijf van Phished – wilden we onze medewekers cyberbewust maken met een training op maat. Het management koos voor een bekend cyber awareness platform, maar ontdekte al snel een aantal belangrijke problemen bij het vertrouwen op hun enorme contentbibliotheek:

  1. De IT-manager selecteerde content op basis van eerdere cyberincidenten, maar die speelde niet in op wat er in de toekomst nog allemaal kon gebeuren.
  2. Een uitgestippeld curriculum met checkpoints ontbrak, waardoor er geen sluitende tests waren om te controleren of medewerkers alle informatie begrepen.
  3. De oefeningen sprongen van onderwerp naar onderwerp en boden geen voorbeelden uit een herkenbare workflow, laat staan best practices voor cyberveiligheid om gedrag te veranderen. Hoe kon de kennis dan geïmplementeerd worden?

Resultaat: het enige wat afnam, was het geld op de bank. Het aantal cyberincidenten bleef gelijk.

"Het feit dat een trainingsplatform een gigantische contentbibliotheek beschikbaar stelt, wil niet zeggen dat dit ook effectief is. Het enige wat écht het gedrag van medewerkers verandert, is een holistisch platform met trainingen op maat van de gebruiker." - Jo Vandebergh, CEO Phished


Toen ik CEO van Phished werd en potentiële klanten sprak, hoorde ik steeds hetzelfde: IT-managers trainden medewerkers door gebruik te maken van de gigantische contentbibliotheek van het gekozen cyber awareness platform, alleen om te ontdekken dat het leermateriaal veel te vaag was om het gedrag van mensen écht te veranderen. Cyberincidenten bleven dus steeds weer plaatsvinden.

Daarom sloeg ik met Phished een andere weg in. Ons team richtte de Phished Academy op, met een duidelijk afgelijnd curriculum en bite-sized trainingssessies, die echte werksituaties combineren met cyber hygiene practices en een eenvoudig te implementeren policy. Aan het einde van elk niveau wordt de kennis van medewerkers getest en worden ze beloond met een certificaat. Ik ben persoonlijk betrokken bij dit creatieproces. We passen onze trainingssessies voortdurend aan op basis van feedback van IT-managers en gebruikers. Zo verander je écht menselijk gedrag.

Zowel cyberveiligheidsexperts als ervaren operationele managers en teamleden uit verschillende vakgebieden hebben ons geholpen bij het ontwikkelen van deze trainingssessies. Zo krijg je het beste van beide werelden: een security awareness training die voldoet aan de nieuwste beveiligingsnormen en een holistisch platform dat alle onderwerpen binnen je organisatie dekt.

Jo Vandebergh

CEO Phished