Denk aan paniek om Heartbleed, I love You en Conficker die zo breed werden gemeld dat mensen die niet in de IT werken het erover hadden. Je zou denken dat sindsdien we het belang van patchen en anti-malware beseften. Verder hadden we enorme datadiefstallen, bij LinkedIn, Yahoo en Adobe bijvoorbeeld. Die zouden op z'n minst moeten hebben geleid tot verbeterde security-programma's.
Lessen uit het verleden
WannaCrypt en NotPetya hebben ons een dienst bewezen in de zin dat nogmaals is benadrukt dat we niet genoeg hebben geleerd sinds 2000, 2009 en 2013. Een deel daarvan komt voor rekening van IT'ers en bestuur, maar er valt nog een wereld te winnen in het bewustmaken van eindgebruikers. Er is een grote kans die we kunnen pakken na breed uitgemeten aanvallen.
Lees ook: 10x virushysterie: van Michelangelo naar WannaCrypt
Als een grote aanval op het journaal wordt gemeld, moeten beveiligers natuurlijk in eerste instantie kijken of de eigen omgeving kwetsbaar is of anderszins hinder ondervindt. Maar tegelijkertijd, of op z'n minst heel snel daarna, moeten ze stilstaan bij wat de gebruikers allemaal horen. Wat willen we dat ze leren van de rapportages en artikelen in mainstream media?
Leermoment maken
Met dit in het achterhoofd, moet je naar de specifieke aanval kijken om te zien wat gebruikers ervan kunnen leren. We helpen je op weg met deze vier vragen die je aan jezelf kunt stellen om een les op te stellen die je aan gebruikers kunt meegeven en je een van de zwakkere schakels van de IT-omgeving sterker maakt.
1. Klopt het verhaal wel?
Als je kijkt naar de informatie die beschikbaar is in artikelen en nieuwsberichten, is het in de eerste plaats belangrijk om te zien of het een nauwkeurig beeld geeft van wat er daadwerkelijk aan de hand is. De verhalen kunnen mensen een gevoel van angst geven dat verlammend werkt, of juist een vals gevoel van veiligheid. Je moet dus weten hoe gebruikers de aanval zien als je hun begrip over beveiliging wilt verbeteren.
Lees verder: Wat is de impact en wat valt er eigenlijk te leren?
2. Wat is de impact op gebruikers?
Voor je actie onderneemt, moet je bepalen wat de impact is op gebruikers. Lopen ze risico en zo ja, waarom? Is er een actie die ze moeten ondernemen om de risico's te verkleinen? Is er een centrale les die hiervan kan worden geleerd? En hoe zit het thuis? Is dit een gevaar voor de werkomgeving, of is het ook belangrijk om op privéspullen te letten? Wat is de impact op familie?
3. Ervaren de gebruikers het wel als daadwerkelijke impact?
Of een aanval nou wel of geen impact heeft op eindgebruikers, je moet uitvogelen of ze geloven dat een issue hen daadwerkelijk treft. Als ze vinden van niet, dan zullen ze een potentieel belangrijk evenement negeren. Dat geldt vervolgens ook voor de boodschap die je ze wilt meegeven als je het koppelt aan het issue dat ze niet aangaat.
4. Wat wil je dat mensen leren?
Er valt altijd een belangrijke les te leren, of het incident nou zakelijke IT specifiek raakt of vooral een gebruikersincident is. Neem Heartbleed, wat vooral een IT-issue was. IT'ers moesten servers patchen en gebruikers konden niets veranderen aan de situatie, maar het bleek een goed moment om te benadrukken dat wachtwoorden regelmatig gewijzigd moeten worden.
Met hetzelfde idee is WannaCrypt een mooie aanleiding om de wereld voor te lichten over het draaien van updates en het toepassen van patches op apparaten zowel thuis als op het werk. Of een aanval nu een direct effect heeft of niet, je kunt hem altijd gebruiken om een actuele boodschap te communiceren.
Op de laatste pagina: Een effectieve les.
Als je eenmaal deze focuspunten hebt, is het zaak om te kijken hoe je ze het beste onder de aandacht kunt brengen. Er zijn drie stappen om gebruikersgedrag te veranderen:
- Maak ze bewust van het probleem.
- Maak ze bewust van de oplossing.
- Motiveer ze om de oplossing te gebruiken.
Als er zich een grootschalig beveiligingsincident voordoet die de kranten haalt, heb je het laatste punt goed te pakken: mensen zijn gemotiveerd om iets te doen. Helaas richt het nieuws zich niet vaak op de oplossingen, maar meer op het beangstigende probleem. Het voordeel daarvan is dat er motivatie mee wordt opgebouwd.
Hoe bereik je gebruikers?
Welke communicatiemiddelen heb je tot je beschikking en welke zal het effectiefst zijn? Omdat de nieuwscyclus van een IT-ramp kort is, moet je vlug handelen om mensen te bereiken. Als er bijvoorbeeld een intranet-startpagina is waar veel werknemers beginnen, is het een goed idee om daar te beginnen. Als interne nieuwsbrieven daadwerkelijk worden gelezen: zorg dan voor een verhaal daarin. En als e-mailberichten werken, stuur dan een groepsbericht.
Het doel is om gebruikers bewust te maken, zodat ze uiteindelijk hun gedrag veranderen. Een hype is daar een goed moment voor. Een bewustwordingsprogamma werkt het beste als het proactief inspeelt op de actualiteit en zich richt op het motiveren van gebruikers, vooral als er kansen ontstaan als iets wordt opgepikt door de media. Tijd om de wekker uit te schakelen en daadwerkelijk uit bed te stappen.
Cool article. Thanks for sharing. Take a look at free essays
I am an IT expert too but currently I am busy in my business
since 2000, 2009 and 2013. Some of them are at the expense of IT and management, but there is still a world to be gained in Awareness of end users. buy assignment There is a big chance that we can get after wide-ranging attacks.
Reageer
Preview