Onnozele medewerkers valt niets te verwijten
Veel bedrijven en organisaties blijken kwetsbaar voor cybercrime omdat ze de medewerkers onvoldoende trainen. Je hoeft maar op een verkeerd linkje te klikken en een heel ziekenhuis, rechtbank of aluminiumfabriek ligt plat. De schade loopt vaak in de honderdduizenden euro’s, soms zelfs in de miljoenen en dat door slechts één verkeerd klikje.
Niet alles is te voorkomen, maar goede interactieve sessies over privacy en cybercrime maken wel indruk op medewerkers die vaak geen idee hebben dat de digitale wereld zo snel verandert. Ze schrikken zich rot door wat er allemaal mogelijk is. Het probleem is dat hun plotselinge alertheid na een tijdje weer wegzakt. Je kunt natuurlijk lezingen blijven organiseren, maar bij veel bedrijven en organisaties is dat omslachtig. Het is ook niet nodig, want er zijn perfecte manieren om kennis up to date te houden, bijvoorbeeld door middel van e-learnings voor security awareness. Ik heb de afgelopen tijd een stuk of dertig demo’s van e-learnings bekeken om ze te vergelijken.
8 e-learnings voor security awareness
Ik was verbaasd over de grote verschillen, zowel in prijs als in kwaliteit. Je hebt heel praktische security e-learnings van een paar euro per jaar en superslechte voor 55 euro per medewerker per jaar. Wat ik vooral met superslecht bedoel, is vragen naar definities. Daar leren de medewerkers niets van. Wat heb je eraan om te weten wat een botnet is of wat spear phishing is? Je moet zorgen dat je weet wat je moet doen om geen onderdeel te worden van een botnet of dat je een heel gerichte phishingmail (spear phishing) ook kunt herkennen. Maar dat staat dan net niet in de slechte e-learnings. Ik ga ze hier niet opsommen. Het is ook niet mogelijk om alle goede e-learnings op te noemen. Vraag diverse demo’s aan, dan merk je vanzelf welke goed zijn. Een paar goede wil ik wel even uitlichten om vooral de verschillen te laten zien.
1. : praktijkgerichte e-learning
BeOne Development is één van de grote aanbieders van e-learnings en levert in meer dan honderd landen. Ik heb enkele demo’s gedaan en dat waren trainingen met praktische vragen en een goede mix tussen privé en zakelijk. Wat ik in de demo’s miste, waren concrete voorbeelden. Als de medewerkers zien dat bedrijven of overheidsorganisaties op een bepaalde manier echt gehackt zijn, dan maakt dat meer indruk dan als je klikt op een antwoord dat zo’n situatie in theorie mogelijk is. Op andere gebieden loopt Be One Development duidelijk voorop. Zo onderga je een module over phishing niet als mogelijk slachtoffer, maar word je zelf de leerling van een meester-phisher.
2. : up-to-date
Bij e-learnings op het gebied van cybersecurity is het heel belangrijk dat die constant bijgewerkt worden met nieuwe dreigingen, want de hackers staan niet stil. Een goed voorbeeld van een up-to-date training is die van BeveiligMij. Ze hebben ook elke week een gratis nieuwsbrief waarin de meest recente hacks en datalekken zijn opgenomen. Als je die lange lijst doorneemt, verbaas je je geregeld over de creativiteit van hackers en online fraudeurs, maar ook over de knulligheid waarmee veel medewerkers met vertrouwelijke gegevens van klanten omgaan.
3. Privacy Company en Arda Online: visuele elementen
De training van Privacy Company is heel visueel, met filmpjes die onderbroken worden door vragen. De video’s van Arda Online zijn nog indrukwekkender. Het bedrijf regelt ook phishingsimulaties, zodat je kunt testen hoeveel procent van de medewerkers in een foute mail trapt. Dat is wat mij betreft een goede manier om de medewerkers wakker te schudden dat ze bij elke mail moeten blijven opletten.
4. : didactische kwaliteiten e-learning
Niet alle e-learnings voldoen als je ze op didactische kwaliteiten toetst. Die van SEP daarentegen is daar heel sterk in, opgebouwd uit ‘casus’, ‘interactieve lesstof’ en ‘kennistoetsen’. Alle vragen zijn voorzien van feedback, ook als je de vraag goed hebt, krijg je feedback. Dat is slim, want veel medewerkers gokken goed, terwijl ze hun antwoord niet goed kunnen uitleggen. Wat ook goed werkt: elke deelnemer kan zijn eigen leervorm kiezen, want de een wil liever lezen, de ander wil liever video’s bekijken en een derde wil vooral van de feedback op de toetsen leren.
Sector specifieke e-learnings
5. voor e-learning security awareness in het onderwijs
Sommige organisaties kiezen voor kleinschaligheid en expertise in een bepaalde sector. Zo richt Edutrainers zich alleen op het onderwijs met e-learnings op het gebied van AVG, digitale geletterdheid en effectief gebruik van bekende software. De vragen zijn heel praktisch. Mag je bijvoorbeeld een WhatsApp groep met alle leerlingen aanmaken of mag je een foto van een schooluitje naar alle leerlingen sturen? Het mooie aan deze e-learning is dat er niet alleen op kennis, maar ook op gedrag getoetst wordt: hoe gebruik je als leraar persoonsgegevens van leerlingen? Er zijn hierbij geen goede en foute antwoorden, je moet gewoon aangeven wat je echt doet. Daarna krijg je uitleg waarom dat wel of niet handig is.
6. Recourse voor e-learning security awareness voor gemeenten
Een andere aanbieder die heel bewust voor een bepaalde sector kiest, is Recourse. Ze hebben de wettelijke richtlijnen voor gemeenten omgezet naar kennis, houding en gedrag. Als je heel goed scoort op alle kennis-vragen, wil dat niet zeggen dat je het in de praktijk toepast. Er zijn veel concrete vragen over houding, bijvoorbeeld over integriteit, wat doe je als een collega iets doet wat niet mag? Hun tool levert een goede analyse op wat er in een gemeente verbeterd moet worden: kennis, houding of gedrag, ook per afdeling.
7. Redgrasp voor e-learning security awareness voor de zorgsector
Redgrasp is een aanbieder die zich op de zorgsector richt. De deelnemers krijgen elke dag een vraag via de e-mail binnen. Voor veel mensen is dat leuker dan 30 minuten achter elkaar vragen beantwoorden. Als je geen tijd hebt, gooi je de mail weg, een andere keer beantwoord je de vraag en dan ga je verder met werken. Als je de vragen interessant maakt, dan willen de medewerkers het antwoord weten en het kost nauwelijks tijd.
8. Janna: e-learning app
Ook de app Janna is een heel andere manier van e-learning. Je chat met Janna over privacy en cybersecurity via de app. Veel antwoorden zijn voorgeprogrammeerd, waardoor je simpel op ja of nee kunt klikken als je verder wilt gaan. Je kunt ook op ‘Ik wil meer weten’ klikken en dan krijg je bijvoorbeeld een filmpje of een artikel met meer uitleg over het onderwerp. Ik denk dat vooral jongere medewerkers deze manier van e-learning heel prettig vinden, maar ook voor ouderen is het een gebruiksvriendelijke app.
Niet interessant?
Het probleem van veel e-learnings is de desinteresse van veel medewerkers in de onderwerpen privacy en informatiebeveiliging. Hoe leg je deze medewerkers op een simpele manier uit wat voor enorme schade hacks en datalekken kunnen aanrichten?
Interesse stimuleren
Onder meer SEP en Recourse stimuleren deze interesse door live presentaties voorafgaand aan de e-learning. Na een ‘inspiratiesessie’ zijn de medewerkers eerder bereid om tijd te besteden aan e-learning.
Belangrijkste kenmerken van een goede e-learning
Succesvolle security e-learnings zijn:
- praktisch
- aangepast aan de doelgroep
De meeste e-learnings missen voorbeelden uit de praktijk. Praktijkvoorbeelden maken meer indruk dan theorie. Voor goede resultaten dient het leerprogramma aangepast te zijn aan de specifieke branche. Zo bestaat er bijvoorbeeld speciale e-learning software waarmee bedrijven zelf aangepaste interactieve educatieve inhoud kunnen creëren.
Heb jij een e-learning nodig?
Om het digitale kennisniveau van je medewerkers te testen bestaat er bijvoorbeeld een cyberquiz per sector. Deze quiz is heel praktisch, met situaties die iedereen herkent en met voorbeelden van hacks en datalekken uit verschillende branches. Dan kan geen enkele medewerker zeggen dat het meevalt.
Er is ook een kinderversie van de cyberquiz beschikbaar die verassend genoeg door veel volwassenen al te moeilijk wordt gevonden.
Dan weet je dus dat je een e-learning nodig hebt, om het digitale kennisniveau van de medewerkers stukje bij beetje op te krikken. De cyberquiz is een aardig startpunt voor organisaties die geen of te weinig budget hebben voor e-learning, maar mijn advies is om niet alleen naar het geld te kijken. Als je een e-learning kiest die goed bij je organisatie past, kun je zo veel digitale ellende besparen dat het uiteindelijk veel meer oplevert dan het kost.
E-learning software aanbieders die ook op de site van Capterra willen staan kunnen hier een gratis listing aanvragen.
Maria Genova (1973) is onderzoekjournaliste en schrijfster van het boek ‘Komt een vrouw bij de h@cker’ en het kinderboek ‘What the h@ck!’. Ze ontving de Looijer Debutantenprijs voor haar debuut in 2007 voor haar boek Het idee voor Communisme, Sex en Leugens. In 2014 werd ze uitgeroepen tot Schrijfster van het Jaar. Maria werkt voor verschillende kranten en tijdschriften. Ze ontwikkelt e-learnings en cyberquizzen en is een van de meest gevraagde sprekers in Nederland op het gebied van privacy en informatiebeveiliging. Meer over Maria Genova op haar website of op Twitter: @genova2