Cyberveilig gedrag: waarom awareness training niet genoeg is

Cyberveilig gedrag: waarom awareness training niet genoeg is

We kunnen er nu echt niet meer omheen. De dreigingen op het gebied van cybersecurity zijn levensgroot. Het lek in de VPN verbinding van Pulse Secure, de gijzelsoftware die de Universiteit Maastricht en – in mindere mate – het Medisch Centrum Leeuwarden in zijn greep hield en heel recent nog Citrix: deze voorbeelden maken duidelijk dat de weerbaarheid op veel plekken nog niet op orde is.

Dit vraagt om technische en organisatorische maatregelen, maar ook om gedragsverandering bij medewerkers. Veel organisaties organiseren daarom awareness trainingen. Maar deze trainingen alléén zijn niet voldoende om daadwerkelijke gedragsverandering te bewerkstelligen.

De vertaling van awareness is ‘bewustzijn’. Awareness trainingen zorgen dus voor een verhoogd bewustzijn bij medewerkers. Natuurlijk is bewustzijn nodig. Maar als we iets hebben geleerd van (bijvoorbeeld) de waarschuwingen op pakjes sigaretten, is dat het zich bewust zijn van bepaalde risico’s of gevaren niet betekent dat iemand daar ook naar handelt.

Organisaties zullen zich daarom moeten realiseren dat bewustzijn een goede eerste stap is, maar dat bewustzijn alleen niet genoeg is voor werkelijke gedragsverandering. Er zijn namelijk verschillende redenen waarom mensen zich zicht niet cyberveilig gedragen, terwijl zij zich wel bewust zijn van de gevaren.

Lees hier verder. © IT Excutive

Peter Hickendorff

Reacties zijn gesloten.