Forgetting Curve
28 oktober 2022 / Basisprincipes

Klassieke cybersecuritytraining laat de deur open voor hackers

Cybersecurity-opleidingen zijn alleen efficiënt als werknemers ze kunnen onthouden. Helaas is dat in de praktijk zelden tot nooit het geval. De 19e -eeuwse psycholoog Hermann Ebbinghaus weet 150 jaar later nog steeds uit te leggen waarom jouw werknemers hackers zullen binnenlaten als ze niet structureel worden getraind.


In vele organisaties krijgt cybersecurity-opleiding, of Security Awareness Training, af en toe eens aandacht. Ze organiseren een webinar, voorzien een onboardingstraject met enkele nuttige tips & tricks, of ze organiseren per kwartaal een algemene phishingsimulatie. Dat is een begin, maar verre van voldoende.

De vergeetcurve

De psycholoog Hermann Ebbinghaus bestudeerde aan het einde van de 19de eeuw hoe mensen vergeten – en dus ook hoe we onthouden – en kwam tot de bevinding dat ons brein volgens een voorspelbaar patroon informatie lekt. Dat zou enerzijds te wijten zijn aan het feit dat we meer belang hechten aan informatie waar we herhaaldelijk aan worden blootgesteld. Anderzijds schuiven we informatie sneller opzij als we deze niet zo interessant vinden. Helaas valt security awareness voor veel werknemers in die oninteressante categorie – terwijl het ook anders kan!

Een belangrijke les die we als security awareness-experts uit Ebbinghaus’ werk kunnen trekken is dat herhaling cruciaal is voor een impactvolle opleidingsstrategie. Traditionele security awareness-methoden volstaan niet omdat ze trainen op een inconsistente manier, waardoor alle opgedane kennis vlug wordt vergeten. Dit kan bedrijven handenvol geld kosten omdat ze een vals gevoel van veiligheid geven en zo de organisatie kwetsbaar laten. Denk eraan: alleen al in 2021 werd er wereldwijd 6,9 miljard dollar gestolen via cybermisdaad. (Bron: FBI, Internet Crime Report, 2021).

Wat werkt er dan wel? 3 eenvoudige stappen

1. Periodiciteit en afwisseling

In security awarenesstraining is ‘spaced learning’ je beste vriend. Dat is het concept dat je pas vaardig wordt in iets door het frequent te repeteren, liefst op verschillende manieren. Je gebruikers bijvoorbeeld uitsluitend bombarderen met artikels die wijzen op de gevaren van hun digitale leven zet weinig zoden aan de dijk.

Langs de andere kant heeft het evenmin zin om je medewerkers te bedelven onder generische phishingsimulaties zonder meer. Hopen dat ze daaruit op eigen houtje het belang van hun bijdrage aan de cybersecuritystrategie van hun organisatie kunnen distilleren, is wishful thinking. Om hen een sense of urgency bij te brengen die het gewenste praktische effect heeft, heb je nood aan een geïntegreerde aanpak.

De strategie van iedere organisatie moet bestaan uit zowel een theoretisch luik waarin concepten worden verklaard en een praktisch luik dat die opgedane kennis omzet in praktijkervaring. Het is pas door de theorie actief en rechtstreeks aan levensechte voorbeelden te koppelen dat mensen ten gronde leren omgaan met digitale gevaren. Om het helemaal doeltreffend te maken, heb je ten slotte nood aan regelmatige opfrissing: een periodiciteit waar in geen geval meer dan enkele weken mag overgaan. Bijvoorbeeld: Phished stelt tweewekelijks een trainingssessie beschikbaar voor medewerkers, met automatische, gepersonaliseerde phishingsimulaties die de kennis toepasselijk maken.

Adobe Stock 387699262

2. Relevante inhoud

Het lijkt voor de hand liggend, maar in de praktijk is het een van de meest gehoorde verzuchtingen van medewerkers die een cybersecurity-opleiding moeten volgen: ze vinden het niet relevant voor hun situatie. Hoe abstracter de inhoud, hoe meer het een ver-van-mijn-bed-show wordt. Trainingen met voorbeelden uit de leefwereld van je werknemers helpen hen begrijpen dat iedereen een potentieel doelwit is van hackers.

Het is belangrijk om hen bij de hand te nemen en hen uit te leggen – indien mogelijk te tónen – wat er voor hen op het spel staat. Alles begint bij het individu; pas als dat begrijpt waar het om gaat, zal voor hen duidelijk worden welke impact de fout van één persoon kan hebben op een hele organisatie. Dat bij de hand nemen hoef je helemaal niet letterlijk te nemen, dat kan perfect geautomatiseerd. Bijvoorbeeld: Phished past de inhoud van trainings en simulaties aan per individuele ontvanger. Zo krijgt deze relevante en realistische opleiding die rekening houdt met zijn niveau, ervaring en functie.

3. Interactie activeert

Zorg voor voldoende interactie. Geef medewerkers de besturing in handen en zorg ervoor dat ze een wezenlijke impact kunnen maken in de organisatie. In vele bedrijven werken mensen bijvoorbeeld al met knoppen die phishingsimulaties kunnen flaggen, maar wat schieten ze daar mee op – buiten een extra sterretje op hun palmares?

Echte interactie betekent dat je hen de macht geeft om échte phishing te stoppen voor deze brokken maakt. Dat kan met een simpele knop in hun inbox, maar dan eentje die meer doet dan sterretjes uitdelen. Zo plaatst de Phished-button échte verdachte e-mails meteen in quarantaine zodat andere medewerkers deze niet zien verschijnen in hun mailbox. Bovendien speelt dit element perfect in op het in de realiteit brengen van de theorie en de oefening die ze halen uit de andere onderdelen van hun security awareness training.

Geïntegreerd geheel

Bovenal is het belangrijk om te beseffen dat ieder aspect van een cybersecurity-opleiding even belangrijk is als het volgende. Het heeft geen zin om aan cherrypicking te doen en alleen uit te voeren wat de IT-verantwoordelijke aanspreekt, of waarvan je denkt dat werknemers het nodig hebben.

Ze moeten opgeleid worden op een complete manier, met oog voor ieder aspect. Daarin spelen phishingsimulaties, trainingen, activatie en data-analyse gelijkwaardige rollen. Investeren in slechts één aspect, is verliezen op de andere.

Een holistische kijk op cyber awarenesstrainingen

Meer weten? Vraag een demo aan en ontdek hoe Phished jouw medewerkers opleidt op een holistische manier. Door AI-driven, gepersonaliseerde phishing en smishingsimulaties te combineren met snackable microlearnings, active reporting en threat intelligence tot een geautomatiseerd geheel, garandeert Phished permanente gedragsverandering. Zo bouw je snel en efficiënt een werkende Human Firewall, waardoor de organisatie veel veiliger is.