Vaak overheerst schaamte en angst bij medewerkers die van de ene op de andere dag moeten betalen om in te loggen op hun laptop (ransomware) of uit wiens naam mails zijn verstuurd naar de hele contactenlijst (identiteitsfraude). Een klein moment van onoplettendheid en een fout is zo gemaakt. Dit soort (cyber)security-incidenten kunnen zich ook voordoen in de thuissituatie en ook een directe invloed hebben op de digitale beveiliging op het werk. In deze blog vertellen we je waarom een meldcultuur belangrijk is en op welke manier je een veilige meldcultuur creëert.
Een veilige meldcultuur creëren
Op tijd signaleren van phishing, datalekken, social engineering aanvallen en andere (cyber)bedreigingen in de organisatie, is essentieel voor een goede afhandeling. Een (Chief) Information Security Officer of andere verantwoordelijke kan alleen op tijd in actie komen als er binnen de organisatie een melding wordt gemaakt. Daarom is het hebben van een veilige meldcultuur cruciaal. Dit is makkelijker gezegd dan gedaan. In de volgende vijf stappen werk je naar een veiligere meldcultuur.
- Stel een centraal ‘meldpunt’ in waar iedereen terecht kan
Medewerkers moeten laagdrempelig en makkelijk een melding kunnen doen. Stel daarom een aanspreekpunt binnen de organisatie aan. Dit kan een functie of team zijn. Een medewerker die een melding wil doen, maar niet weet waar die dat moet doen is natuurlijk een gemiste kans. Het meest belangrijk is daarom dat de contactgegevens breed gecommuniceerd worden. Hier geldt: hoe meer manieren, hoe beter. Stel daarom, naast een digitaal meldpunt, ook een fysiek meldpunt in: een balie of ruimte waar je binnen kan lopen om melding te maken.
- Train medewerkers in ‘wat te melden’
Een verdachte mail in je inbox, een sms met een onbekend betaalverzoek op je (werk)telefoon, een ongenodigde bezoeker die rondloopt in het gebouw, bestanden die je opeens met een wachtwoord moet openen… Dit zijn allemaal voorbeelden van situaties waarin je melding zou moeten maken van een (cyber)security-incident. Wat prioriteit heeft en welke soorten incidenten van belang zijn, verschilt per organisatie, maar over het algemeen geldt: beter te veel melden dan te weinig. Zorg ervoor dat er herkenbaar wordt gecommuniceerd over situaties die binnen jouw organisatie van belang zijn om te melden. Grote organisaties maken vaak gebruik van online security awareness trainingstool om medewerkers te trainen in het herkennen van data risico’s. Er zijn ook meer ludieke manieren zoals een pubquiz.
- Geef instructies over ‘hoe’ te melden
Wil je de melding mondeling ontvangen of per mail? Hoeveel details moet de betrokkene geven? Helpt het om screenshots te maken of foto’s? Zorg dat er een heldere en beknopte instructie beschikbaar is over ‘hoe te melden’ en dat deze instructies in relatie staan tot andere procedures en werkinstructies in een overkoepelend beveiligingsbeleid.
- Communiceer over wat er met de melding is gedaan
Om het melden van incidenten te stimuleren is het van groot belang dat de melder weet wat er met de melding gedaan is. Niet alleen de melder, maar ook alle andere werknemers kunnen gemotiveerd raken door communicatie over wat er met input van collega’s wordt gedaan. Ben je van plan breed te communiceren over de melding en resultaten? Zorg er dan wel voor dat de melding niet herleidbaar is naar de melder als diegene liever niet wil dat zijn of haar naam genoemd wordt.
- Beloon het melden, ook al is het ‘loos alarm’
Door een incident te melden stelt de medewerker zich kwetsbaar op. Neem alle meldingen daarom serieus. Een melder die zich niet serieus genomen voelt houdt in het vervolg liever zijn of haar mond. Zet de melder in het zonnetje, want dankzij de melder is de organisatie weerbaarder tegen (cyber)security-incidenten. Denk aan een presentje, een wisseltrofee, een ‘medewerker van de maand’, of laat de melder zelf iets vertellen in een afdelingsoverleg, lunchlezing of kennissessie. Ook hier geldt: overleg met de melder of hij of zij het prettig vindt als collega’s weten over incident.
Over ons
Deze blog is een coproductie van Maria van Leeuwen (CRANIUM Nederland) en Wouter Schuurkes (NextTech Security). Op het thema van information security awareness werkt CRANIUM Nederland samen met partnerorganisatie NextTech Security. Beide organisaties hanteren een praktische aanpak en zien de mens als sterkste schakel in informatiebeveiliging.