Zo brengt DELA de impact van awareness training op gedrag in kaart

Dankzij de security awareness scan weet DELA wat het effect is van security awareness training en waar ze op moeten bijsturen

culture scan (2)

Hoe veilig werkt je organisatie? Wat is het effect van je security awareness programma? Heeft het invloed op het gedrag van medewerkers? En zijn je inspanningen de moeite waard? Deze vragen stelde Roland Anthonijsz, security & data protection officer bij coöperatie DELA, zichzelf. Om meer inzicht te krijgen in de security cultuur van de organisatie en het effect van awareness training, zette DELA de security awareness scan van Infosequre in.

Effect meten awareness programma

‘Bij DELA hechten we enorm veel belang aan informatiebeveiliging. Net als alle andere spelers in de financiële branche worden we steeds vaker geconfronteerd met phishing, malware- en ransomware-aanvallen. We mogen echter ook de ‘insider threat’ niet vergeten. Onjuist handelen van medewerkers kan resulteren in een ernstig datalek’, vertelt Roland.

‘Omdat een vergissing zo is gemaakt, wilden we weten wat het effect van ons bewustwordingsprogramma is. Zijn onze mensen goed voorbereid? Of moeten we bepaalde onderwerpen herhalen? En hoe staan we er überhaupt voor wat betreft cyber security? De security awareness scan heeft ons antwoord gegeven op deze vragen.’

Security awareness scan: 3 stappen

1. Audit

De security awareness scan begint met een audit. Daarmee brengen we de volwassenheidsfase van je organisatie in kaart als het gaat om bewustwording. We zoomen in op beleid en de security awareness processen die zijn ingericht.

Uit de audit bij DELA bleek dat de organisatie vrij volwassen is als het gaat om security awareness. Dat was voor Roland geen verrassing. Voordat de uitvaartverzekeraar met vestigingen in Nederland, België en Duitsland bij Infosequre aanklopte, deed ze al veel aan bewustwording.

‘We hebben al eerder awareness programma’s gelanceerd. Ook publiceren we intern regelmatig artikelen en we hebben zelfs een eigen training ontwikkeld’, verklaart Roland. ‘Maar die nodigde niet uit tot deelname. De stof was droog doordat deze vooral bestond uit tekst. Er werden eigenlijk geen video’s of afbeeldingen gebruikt en van interactie was nauwelijks sprake.'

'Wil je je doel bereiken dan moet een awareness training niet alleen inhoudelijk juist zijn, maar ook leuk om te volgen. Dit was dan ook de belangrijkste reden om verder te zoeken. Per slot van rekening komt awareness training er toch bij voor de meeste medewerkers.

2. Survey

Na de audit volgt een survey die 3 factoren in kaart brengt:

  • de houding van je medewerkers ten opzichte van veilig werken
  • de mate waarin medewerkers denken dat de organisatie informatieveilig werken belangrijk vindt
  • de mate waarin medewerkers het gevoel hebben dat ze goed zijn uitgerust om veilig te werken

Samen vormen deze 3 factoren het startpunt voor een groeiplan. Bij DELA werd de survey uitgezet onder alle 1.800 medewerkers. Uit de resultaten bleek dat de mensen in de organisatie enorm betrokken zijn en graag veilig willen werken.

‘Onze bedrijfscultuur ademt onze zogenaamde BIO-waarden: betrokkenheid, integriteit en ondernemerschap’, legt Roland uit. ‘Deze kernwaarden keren prominent terug in voortgangsgesprekken tussen medewerker en leidinggevende en vormen zelfs onderdeel van onze beoordelingscyclus. Daaronder valt ook goed huisvaderschap: verantwoordelijk omgaan met gegevens van onze klanten en leden.’

Uit de cultuurmeting bleek dat medewerkers zich bewust zijn van de risico’s, maar niet altijd de juiste tools hebben om veilig te werken.

Hoewel DELA medewerkers het belangrijk vinden om zorgvuldig om te gaan met vertrouwelijke informatie bleken zij concrete tips en tricks te missen. Roland licht toe: ‘Onze medewerkers zijn intrinsiek gemotiveerd om zorgvuldig met gegevens om te gaan, maar missen soms nog concrete instructies: Hoe verstuur je een bestand veilig? Hoe werkt een passwordmanager? Hoe werkt VPN bij DELA? Je ziet dat awareness training aanzet tot nadenken over dit soort onderwerpen. Dat is wat je nodig hebt om je doel te bereiken. Het laat betrokkenheid zien.’

3. Workshop

We sluiten de security awareness scan af met een workshop waarin we ingaan op uitschieters in het onderzoek. Tijdens de workshop kregen 15 personen de kans om hun visie op informatiebeveiliging bij DELA toe te lichten op basis van de onderwerpen in de survey.

Op het gebied van onboarding bleek dat de meeste medewerkers zich goed geïnformeerd voelen over de geldende beveiligingsrichtlijnen, behalve freelancers en uitzendkrachten. Zij volgen niet dezelfde route als eigen medewerkers, waardoor zij informatie misten.

"Zijn onze mensen goed voorbereid? Of moeten we bepaalde onderwerpen herhalen? En hoe staan we er überhaupt voor wat betreft cyber security? De security awareness scan heeft ons antwoord gegeven op deze vragen."

Een ander punt van aandacht is de vindbaarheid van de richtlijnen op het gebied van informatieveiligheid. Hoewel het merendeel van de medewerkers aangeeft te weten waar ze de richtlijnen kunnen vinden, kan niemand de precieze locatie noemen.

De 3 onderdelen van de cultuurscan vullen elkaar aan en brengen zo de belangrijkste uitdagingen in beeld.

dela figuur

Uitrol awareness training

DELA heeft de security awareness scan ingezet nadat medewerkers al enige tijd security awareness e-learning hadden gevolgd. ‘Achteraf gezien hadden we de scan graag voorafgaand aan de trainingen gedaan als nulmeting’, vertelt Roland. ‘Toen wij  begonnen, maakte de scan echter nog geen onderdeel uit van het dienstenpakket.'

'De trainingen bevallen erg goed. We hebben het tempo er flink in zitten. Elke maand publiceren we een nieuwe training. Omdat de trainingen kort zijn, is de tijdsinvestering voor onze medewerkers te overzien. Dat is belangrijk, omdat zij naast informatiebeveiliging nog veel andere trainingen moeten volgen.

“Het programma zet medewerkers aan tot nadenken. Dat is wat je nodig hebt om je doel te bereiken.”

‘Bij de uitrol van het programma kijken we wat er speelt binnen en buiten DELA. Waar hebben medewerkers moeite mee en welke onderwerpen sluiten hierop aan? Welke bedreigingen zien we in de media?

Voor wat betreft de inhoud van de trainingen hebben we gekozen voor generieke content. Achteraf gezien had ik dat liever anders gedaan. Dingen werken bij ons soms anders dan in de training. Dat leidt tot vragen. Sommige onderwerpen spits ik een volgende keer liever toe op onze specifieke situatie. Het is goed om te weten dat dat kan bij Infosequre. Overall zijn we heel tevreden.’

‘Tijdens het hele proces denkt Infosequre met je mee en vragen worden snel beantwoord. Naast de scan en e-learning overwegen we om ook de security awareness escaperoom in te zetten. Ook kijken we ernaar uit om aan de slag te gaan met de nieuwe interactieve modules die zijn ontwikkeld. Herhaling is nodig. We krijgen van medewerkers ook terug dat zij herhaling prettig vinden.’

cyberscan

Management commitment

‘Een belangrijke randvoorwaarde bij de uitrol van een awareness programma is de betrokkenheid van de directie en management’, zegt Roland. ‘We rapporteren de resultaten periodiek. Aanvankelijk scoorden een aantal afdelingen lager dan 65% qua deelname. Dat vonden we te laag. De directie heeft er vervolgens op aangestuurd dat managers het juiste voorbeeld laten zien. En dat heeft geholpen. Nu volgt 70 tot 80% van de medewerkers de trainingen binnen 2 maanden.'

roland anthonijsz cultuur scan
Roland Anthonijsz
Security & data protection officer

Hoe staat onze organisatie ervoor wat betreft cyber security? Zijn onze mensen goed voorbereid? Moeten we bijsturen? De security awareness scan heeft ons antwoord gegeven op deze vragen.

Een aantal complimenten

'De feedback die wij van medewerkers op het awareness programma ontvangen, is zeer positief. Dit is een greep uit de complimenten die wij van medewerkers ontvingen’:

  • De cursussen werken goed als reminder. Top dat we die krijgen.
  • De trainingen zijn goed en zinvol en maken duidelijk waarom informatieveilig werken belangrijk is
  • Ik vind de online trainingen een eyeopener.
  • We krijgen alle middelen en cursussen om veilig te kunnen werken. Dat vind ik super.
  • Onze organisatie faciliteert een hoop om informatiebewust te werken. Dit geeft een veilig gevoel voor mij als werknemer en het is ook prettig voor de leden.
  • Ondanks dat het soms open deuren zijn, zijn de trainingen zinvol. Met herhaling krijg je informatiebeveiliging weer top of mind.
  • Fijn dat we continu cursussen krijgen om veilig te kunnen werken. Echt een pluspunt! Dit houd je scherp.
  • Mijn cijfer is een 9. Dat is toch een mooi compliment :D

Als we Roland vragen of alle medewerkers zo enthousiast zijn, begint hij te lachen: ‘Natuurlijk zijn er ook medewerkers die mopperen dat ze weer een e-learning moeten volgen. Het komt wel allemaal bovenop de dagelijkse werkzaamheden. Maar de meeste medewerkers vinden het fijn om handvatten te krijgen om veilig te werken.’

dela figuur 2

Concrete handvatten

Van de 1.800 medewerkers hebben 839 meegedaan aan de online survey. Uit de resultaten blijkt dat houding, norm en beheersing allemaal hoger scoren dan de doelscore van 4.

Wanneer we op beheersing inzoomen, zien we dat een aantal afdelingen net iets minder goed scoren. Uit de toelichtingen in de scan blijkt waarom: de beheersing die medewerkers ervaren, hangt samen met kennis en/of hulpmiddelen die hen ontbreken. Hulpmiddelen als een wachtwoordmanager of papierversnipperaar worden als tips genoemd. Deze tips en alle andere resultaten staan in het eindrapport met concrete handvatten voor verbetering.

Overall is met een score van 4,5 uit 5 de gedragsintentie van medewerkers positief. Er zijn nagenoeg geen verschillen per functie, afdeling of leeftijd. DELA scoort goed!

Security awareness scan
De oplossing voor organisaties die hun security cultuur willen meten

Security awareness cultuurscan

De security awareness cultuurscan maakt duidelijk waar je winst hebt behaald en waar de belangrijkste uitdagingen nog liggen.

Plan adviesgesprek Demo aanvragen
Bekijk alle klantverhalen
Terug naar cases