Waarom security-awarenesstraining niet duur is

Ook als informatiebeveiliging wel een aandachtspunt is, dan komt het toch nog regelmatig voor dat er geen budget is voor de menselijke factor: security-awareness bij de medewerkers. In deze blog een aantal kostenargumenten op een rijtje.

Uitgespaarde kosten: minder security-problemen

Minder security-problemen betekent minder kosten, dat kan iedereen bedenken. Maar dat investeren in awareness loont, blijkt ook uit onderzoek van PwC. In het rapport “Managing cyber risks in an interconnected world” uit 2014 rapporteren zij: “Businesses that have security awareness report significantly lower average financial losses from cybersecurity incidents.” Uit het onderzoek blijkt dat organisaties die geen security-training hebben voor nieuwe medewerkers in het onderzoek vier maal grotere jaarlijkse financiële verliezen als gevolg van security-incidenten melden, dan organisaties die wél training hebben. Security-incidenten die voorkómen kunnen worden door security-awarenesstraining zijn bijvoorbeeld: besmetting met malware (onder meer via phishingmail, besmette usb-sticks of het downloaden van software), diefstal van laptops e.d. door ongehinderde toegang tot gebouwen, verlies van apparatuur of dossiers, uitlekken van vertrouwelijke informatie door afluisteren, ongeautoriseerde toegang tot systemen door zwakke wachtwoorden of uitgelekte wachtwoorden, hacking enzovoorts enzovoorts. Directe schade en reputatieschade kunnen een aanzienlijke kostenpost zijn.

Wat kost de training zelf?

Natuurlijk zijn er kosten verbonden aan het opzetten en uitvoeren van een training. Maar dit hoeft echt geen kapitalen te kosten. Ontwikkeltijd, materialen en trainingsfaciliteiten zijn de belangrijkste componenten. Als je onvoldoende kennis in huis hebt kan de ontwikkeltijd oplopen. Dan kan het raadzaam zijn externe hulp in te roepen, die in alle soorten en maten beschikbaar is. Van incidentele coaching tot volledige uitvoering van een trainingsprogramma.

Maar natuurlijk geldt wel: als je geen kwalitatief goede training kunt kopen, kies dan iets wat wel in je budget past maar toch goed is. Spreiden in de tijd verlaagt de druk op het budget en is nog effectiever ook.

Wat kost de tijdsbesteding van de deelnemers?

De kosten die ook op zouden kunnen lopen is de tijd die medewerkers moeten steken in het volgen van de training. Het is heel goed mogelijk deze te beperken. Een aantal keer per jaar een half of heel uurtje, aangevuld met een ondersteunende campagne, is heel effectief.

Opbrengst: medewerkertevredenheid

Als medewerkers training volgen die aansluit bij hun behoefte en waarvan zij het nut inzien, dan draagt dat bij aan de medewerkertevredenheid. Ze voelen zich gewaardeerd omdat de werkgever investeert in medewerkers en ze hebben de vaardigheden en het zelfvertrouwen om hun werk goed uit te voeren.

Opbrengst: vertrouwen van cliënten

Voor zorginstellingen is het belangrijk dat cliënten vertrouwen hebben, in een goede behandeling, maar ook dat hun gegevens veilig zijn. Cliënten kunnen zelf echt wel zien of er zorgvuldig met gegevens wordt omgegaan. Het is ook mogelijk een certificering voor informatiebeveiliging te halen, bijvoorbeeld de NEN 7510-certiificering. Zo’n kwaliteitskeurmerk van een onafhankelijke certificerende partij draagt bij aan de professionele uitstraling van de organisatie.

Uitgespaarde kosten: geen boete

Wet- en regelgeving verplichten het opleiden van het personeel op het gebied van privacy en informatiebeveiliging. Als je hier niet aan voldoet kunnen er boetes volgen. Vanaf 1 januari 2016 heeft het College bescherming persoonsgegevens verruimde mogelijkheden om boetes op te leggen bij het niet voldoen aan de Wet bescherming persoonsgegevens. Ook in de aankomende nieuwe Europese privacyverordening zijn hoge boetes opgenomen.

Samenvattend kan worden gezegd dat de investeringen in security-awarenesstraining beperkt gehouden kunnen worden door kortdurende, intensieve training. De opbrengsten zijn iets minder concreet te maken. Er zijn immateriële voordelen en uitgespaarde kosten. Maar ik zou vooral willen zeggen: als je security-awarenesstraining duur vindt, kijk dan eens naar wat het kost als je het niet doet!

Hiermee heb je argumenten gekregen waarom security-awarenesstraining niet duur is. Maak er gebruik van en ga de organisatie in! Ik ben benieuwd naar de resultaten. Laat het me weten, rechtstreeks of via het commentaarveld hieronder. Als je aanvullingen of andere tips hebt, deel ze hier zodat meer mensen ervan kunnen profiteren. Of neem contact op met PrivacyLab.

Deel alsjeblieft dit artikel met jouw netwerk via de deelknop op Facebook, Twitter, Tumblr en Google+, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. Delen op LinkedIn moet nog handmatig.