Digitale gedragsverandering kent een aantal uitdagingen. Ieder mens leert anders, onthoudt anders en is in meer of mindere mate bewust van zijn of haar rol in informatiebeveiliging. Bij Holmes wordt juist daarom onderscheid tussen kennis, vaardigheden en de houding van mensen gemaakt om zo de Security Awareness te verbeteren.
De houding bepaalt hoe ontvankelijk iemand is voor het aanleren van nieuwe kennis of vaardigheden, en om die houding te veranderen is er vaak een mix van interventies nodig. Die mix is dan ook weer belangrijk om de juiste balans tussen leerstijl en affiniteit met het onderwerp te vinden. Je voelt het al aan komen, communicatie en timing zijn cruciaal.
De toepassing van digitale gedragsverandering (Plan)
HVC is met Surelock onderweg om klikgedrag aan te scherpen, meldingen te stimuleren en meer digitale kennis en vaardigheden te ontwikkelen. De toepassing van diverse interventies zorgt ervoor dat iedere deelnemer de boodschap van het programma onder ogen krijgt. Dat kan via een van de georganiseerde Webinars zijn, via het uitgebreide pakket modules in in een leermanagementsysteem of een intranetpagina rondom het programma Veilig Digitaal Werken.
In de huidige projectfase staat het aanscherpen van de houding van de deelnemers centraal. Daarbij is gepercipieerd slachtofferschap vaak een ideaal middel. Met een pittige phishing simulatie worden de deelnemers geconfronteerd met slachtofferschap, en voornamelijk hoe ‘klein het hoekje’ van het ongeluk eigenlijk is.
Real time phishing (Do)
Voor de phishing simulatie is er een phishing mail gebruikt die eind december daadwerkelijk op de digitale deurmat viel eind december. Deze is door Surelock nagebouwd en beschikbaar gemaakt in het Holmes portaal. Vervolgens is de simulatie rondgegaan bij de deelnemers van het programma.
Leerdoelen (Check)
In deze simulatie stonden 2 leerdoelen centraal. De eerste is het herkennen van de loginprocedures en dat bij afwijkende schermen extra goed opgelet moet worden. Het tweede leerdoel is dat een cybercrimineel heel goed de inhoud van een email kan manipuleren. De techniek erachter echter niet.
In andere woorden, ga nooit uit van de inhoud, maar probeer verder te kijken.
De opvolging (Act)
De communicatie die volgt na zo’n simulatie is in de regel net zo belangrijk als het versturen van de simulatie zelf. Dit om bezwaren bij de doelgroep weg te nemen maar ook de aangescherpte houding ten volle te benutten. In samenwerking met HVC ontwikkelden we 2 soorten interventies:
- Een werkpakket waarin duidelijk uitgelegd staat hoe de deelnemers de phishing simulatie hadden kunnen herkennen.
- Een Vlog, met dezelfde boodschap. De doelstelling is op een onderhoudende manier en leuke manier de interactie te zoeken. Vlogs worden bij HVC in de regel veel beter bekeken en kennen een hogere interactie dan tekst.
Complimenten voor HVC hoe zij digitale weerbaarheid op de agenda zet. We werken met veel plezier door om de Human Phishing Firewall bij HVC verder te ontwikkelen. Meer succesverhalen lezen?
Delen:
Door
- Stefan Schepers
security professional
security professional
