91% van de IT-managers in de publieke sector is het ermee eens dat training in gegevensbeveiliging voor werknemers altijd op zijn plaats is. Dat is wat zij ons vertelden in ons wereldwijde onderzoek naar veilige communicatie onder meer dan 6000 werknemers.
En daar zijn we het mee eens. Training van werknemers is inderdaad altijd op zijn plaats. IT en gegevensbeveiliging zijn belangrijke onderwerpen en veel werknemers zijn zich nog steeds niet bewust van de risico's en hoe ze met gevoelige informatie moeten omgaan. Het roept echter wel de vraag op: is beveiligingstraining voldoende? Kun je je werknemers trainen om zich 100% van de tijd aan de regels te houden en veilig te werken? En, los van de vraag of het mogelijk is: is dit de beste aanpak?
Het gedrag van werknemers is een belangrijke risicofactor
Laten we eens kijken waar het misgaat. Waar ontstaan de risico's? Uit rapporten aan gegevensbeschermingsautoriteiten weten we dat het gedrag van werknemers een belangrijke factor is bij het veroorzaken van onbevoegde toegang tot systemen door derden, of het veroorzaken van datalekken. Communicatieprocessen spelen hierbij een zeer belangrijke rol. Van het reageren op (spear)phishingmails en het klikken op schadelijke links en het openen van bestanden met malware-aanvallen, tot het verkeerd adresseren van e-mails met gevoelige inhoud. En IT-managers zijn het hiermee eens: in de publieke sector acht 45% datalekken door fouten van werknemers bij e-mailcommunicatie als een zeer groot risico.
Werknemers hebben belangrijke taken waar ze zich met alle macht op proberen te concentreren
Zie je werknemers vooral als risico's die beheerd moeten worden? Dan zou je kunnen aanvoeren dat goed en continu getrainde werknemers topsporters kunnen worden op het gebied van beveiliging en preventie. De realiteit is dat 99% van de werknemers in de publieke sector worden aangenomen om topsporters te zijn binnen hun eigen operationele verantwoordelijkheid. Ze moeten vergunningen beoordelen, moeilijke thuissituaties herkennen en oplossen, beleid opstellen, medewerkers aansturen en in het algemeen het maatschappelijk belang dienen. IT-beveiliging is niet hun verantwoordelijkheid.
Simpel gezegd hebben werknemers belangrijk werk te doen. Dit is het werk waarvoor ze zijn aangenomen en het verdient hun volledige aandacht. In veel organisaties hebben werknemers echter grote moeite om zich volledig te richten op hun daadwerkelijke werk. De toegenomen mogelijkheden voor online communicatie via allerlei platforms en werkmethoden werken afleidend. De risico's op fouten bij online communicatie verhogen de druk op werknemers. Het moeten volgen van een veelvoud aan beveiligings- en compliancetrainingen leidt nog meer af. Goedbedoelde 'phishingsimulaties' geven werknemers zelfs het gevoel dat ze voortdurend een doelwit zijn van hun eigen organisatie. Daardoor hebben ze minder aandacht voor hun eigenlijke werk en staan ze onder veel meer druk. Werknemers roepen bijna letterlijk om de vrijheid om zich op hun eigen werk te concentreren.
Training legt de basis voor kennis
IT-managers in de publieke sector hebben de verantwoordelijkheid om beveiligings- en bewustzijnstrainingen gericht in te zetten. Training legt een belangrijke basis. Het moet werknemers informeren over risico's, impact en gemeenschappelijke oorzaken. Kennis is essentieel voor de beste beoordeling van elke situatie en de beste manier om te reageren.
Dankzij slimme technologie kunnen werknemers veilig en moeiteloos werken
Vooruitstrevende IT-managers die hun werknemers de vrijheid willen geven om zich op hun werk te concentreren, zorgen voor slimme technologie die het effect van training op een effectieve en efficiënte manier aanvult. Deze slimme technologie ondersteunt werknemers bij het uitvoeren van hun werk door potentieel risicovolle situaties te herkennen en werknemers in staat te stellen veilig en moeiteloos te werken.
Vergelijk het met navigatie in de auto die jou, rekening houdend met wegafsluitingen en files, voortdurend helpt om de juiste keuzes te maken, zodat je kunt doen wat je als bestuurder wilt: zo snel mogelijk van A naar B komen.
Slimme technologie herkent de belangrijkste gerapporteerde oorzaken van datalekken, waaronder gevoelige inhoud in de hoofdtekst of bijlage van een e-mail, en zorgt automatisch voor de juiste classificatie, versleuteling en authenticatie van ontvangers. Slimme technologie zorgt ervoor dat werknemers gewoon hun adresboek en 'autocomplete'-functionaliteit kunnen gebruiken door te controleren of gevoelige informatie al dan niet naar de juiste ontvanger lijkt te worden gestuurd. Vóór verzending controleert slimme technologie bij de werknemer of het inderdaad de bedoeling is om zeer gevoelige gegevens te versturen (zoals een burgerservicenummer of nationale verzekeringsnummers). De werknemer blijft in controle en gebruikt zijn of haar kennis en vaardigheden om de juiste beslissingen te nemen. Technologie ondersteunt bewustwording, risicoherkenning en automatiseert handelingen die niet tot de kerntaak van een werknemer behoren.
De ontwikkeling en toepassing van slimmere beveiligingssoftware moet sneller worden
Hoewel autorijden gevaarlijk kan zijn, zijn we niet verplicht om elke paar maanden een opfriscursus te volgen. We gebruiken de kennis die we tijdens de theorietraining en in de praktijk hebben geleerd. Maar zelfs in onze auto's is slimme technologie aanwezig (navigatie, cruise control, verkeersbordherkenning en parkeersensoren). Terwijl de training de basis heeft gelegd, geeft slimme technologie ons focus en comfort.
Meer dan de helft (53%) van de IT-managers in de publieke sector zegt dat het inzetten van slimme beveiligingstechnologie de essentie is van progressief risicobeheer. Dat percentage moet de komende jaren naar 100% door de ontwikkeling en invoering van steeds slimmere software. Dit versterkt de beveiligings- en bewustzijnstraining, zodat werknemers krijgen wat ze verdienen: de vrijheid om zich op hun eigen werk te concentreren.