Categorieën
Security Awareness

Je snapt toch wel wat ik bedoel?!

Veel awareness campagnes gaan er vanuit dat als je je medewerkers zoveel mogelijk kennis aanreikt dat ze dan wel weten wat ze met deze kennis moeten doen. Maar is dit eigenlijk wel zo?

Doelgedrag

Het verhogen van kennis en houding alleen zijn meestal geen doelstellingen op zich, ze moeten bijdragen aan gewenst gedrag. Probeer daarom doelen altijd in gedrag te omschrijven: wie moet wat precies doen? Als dit niet beschreven kan worden, werk dan nog even verder aan je doelstelling. Als je niet kunt beschrijven wat iemand nu eigenlijk moet doen, dan kan je niet verwachten dat medewerkers hun gedrag veranderen. 

Wees precies en maak het herkenbaar

Om deze reden besteden wij in onze Security Behaviour campagnes zoveel aandacht aan het doelgedrag. Voor medewerkers is het belangrijk dat ze weten wat er precies van ze verwacht wordt. Er mag geen twijfel bestaan over waar, wanneer, hoe en hoe vaak ze het gewenste gedrag moeten vertonen.

Categorieën
Phishing Security Awareness Social Engineering

Offline phishing

Op social media circuleert de laatste tijd deze afbeelding. Een brief waar een giftcard wordt aangeboden door je werkgever.

Om de giftcard te activeren dien je alleen maar in te loggen met je bedrijfsaccount en er wordt ook nog bij vermeld dat dit veilig is.

Online moet je altijd op je hoede zijn, maar vergeet ook niet om offline op je hoede te blijven!

Categorieën
Naming en shaming Phishing Security Awareness Social Engineering

Klik hier voor je Kerstbonus…

Tijdens de afgelopen feestdagen verzond het Amerikaanse bedrijf GoDaddy een phishing simulatie naar 7.000 medewerkers. De medewerkers werden gelokt met een zogenaamde Kerstbonus van 650 dollar waarvoor ze alleen hun persoonsgegevens moesten invullen. 500 medewerkers slaagde niet voor de test en moesten als straf de security awareness training opnieuw volgen.

Deze actie leidde tot grote verontwaardiging en eindigde als PR nachtmerrie voor GoDaddy. Uiteindelijk ging het bedrijf door het stof en bood haar excuses aan voor de manier waarop ze de test hebben uitgevoerd.

Grote en kleine bedrijven slagen er steeds beter in om hun systemen technische te beveiligen, waardoor aanvallers steeds vaker de menselijke kwetsbaarheid proberen te misbruiken. Hierbij worden juist de gebruikers aangevallen door bijvoorbeeld phishing mails te sturen. Het trainen van je medewerkers wordt dus steeds belangrijker.

‘Naming and shaming’

Het falen van deze phishing test betekent net zo goed het falen van het bedrijf om medewerkers te beschermen en op te leiden. Naming en shaming als motivator om gedrag te veranderen is niet effectief en kan zelfs leiden tot een angstcultuur in een organisatie. Het versturen van een phishing simulatie verhoogt niet direct de awareness en leidt ook niet tot gedragsverandering. Juist de manier waarop de simulatie wordt ingezet en de manier waarop er over wordt gecommuniceerd bepaalt het succes.