Heeft te maken met de manier waarop je mensen trained, niet voor alle mensen is het voldoende om te luisteren naar iemand die 100 slides opleest. Het gaat tenslotte om een gewenste gedragsverandering die je tot stand wil brengen. Er zijn ook mensen die graag oefeningen doen, of die quizz vragen prettig vinden of die de technische achtergrond van de man-in-the-middle techniek willen weten voordat ze hun gedrag willen veranderen.
Houdt rekening met de aard van de mensen en hoe ze leren.
Het effect van een goede training hangt ook zwaar af van de ambitie en visie van het management. Wil men één keer per jaar dat de auditor het gewenste checkboxje aanvinkt, dan gaat het personeel niet duurzaam hun gedrag veranderen. Medewerkers zullen dan 1 keer per jaar de test even snel invullen en gauw weer verder gaan met “belangrijkere taken”.
Werk aan een security bewustzijns cultuur in je organisatie
Security awareness kweken is een continue proces, tijdens de rijlessen leer je handelingen te verrichten, het goed autorijden leer je pas in de praktijk. Met andere woorden je moet je medewerkers regelmatig testen of bevragen op hun kennis en vaardigheden, dus ze niet 1 keer trainen maar vaker een update geven. Doe eens een phishing test voor de hele organisatie en laat mensen de resultaten zien, of maak er een competitie van. Kortom maak een security awareness plan, bespreek het, onderhoud het, en maak een bestuurder aansprakelijk voor de implementatie.
Implementeer duurzame weerbaarheid
