Hoe weet u zeker dat uw inspanningen om beveiligingsbewustzijn bij uw werknemers aan te kweken wel iets opleveren? Test hen regelmatig, en zo onvoorspelbaar mogelijk.

Advertentie

De mens is de zwakste schakelen in beveiliging. Daardoor is het heel belangrijk dat u uw werknemers traint. Ze zijn geen experts in IT of beveiliging, maar ze moeten wel een basiskennis hebben, zodat ze weten welk gedrag onveilig is en wat ze in mogelijk gevaarlijke situaties moeten doen. Zelfs de beste training is echter weggesmeten geld als de werknemers de opgedane kennis niet onthouden. Hoe test u dat?

1. Quiz

Post regelmatig een webgebaseerde quiz op het intranet waarin u vragen stelt over beveiligingskwesties. Varieer de vragen voldoende, zodat uw werknemers geen patronen ontdekken of de antwoorden met elkaar delen om ervan af te zijn.

2. Controleer de werkomgeving

Controleer op onaangekondigde en onvoorspelbare momenten de werkomgeving van uw werknemers. Liggen er documenten met vertrouwelijke informatie op de bureau? Hangt er een post-it met een wachtwoord aan het computerscherm? Zijn archiefkasten wel gesloten en is de werknemer niet meer ingelogd op de computer zonder wachtwoordvergrendeling wanneer hij afwezig is?

3. Social engineering

Benoem een medewerker die niet zo gekend is of een externe consultant om naar de werknemers te bellen om vertrouwelijke informatie te vragen. De social engineer moet proberen met een pertinent verhaal de informatie los te peuteren.

4. Simuleer phishing-aanvallen

De beste manier om te controleren of uw werknemers zich bewust zijn van de gevaren van phishing, is zelf een phishingmail sturen. Uiteraard moet die een aantal aanwijzingen bevatten dat het om phishing gaat. Het doel waarnaar de werknemers die erop doorklikken doorverwezen worden, is dan een pagina die iets zegt als “Training beveiligingsbewijstzijn – phishing”.

In samenwerking met CIO.com.