Zo moet het niet bij security-awarenesstraining

Bij het opzetten en implementeren van een programma voor security-awarenesstraining moet je een paar fouten vermijden. Sommige hieronder genoemde fouten klinken misschien erg voor de hand liggend. Toch is het niet zo eenvoudig als het lijkt om het goed te doen. Er zijn al allerlei trainingen in de aanbieding en materialen in omloop. Gewoon even kopiëren maar? Dat werkt dus niet want de ene organisatie is de andere niet. Ik was laatst bij een training die anders was dan heel veel andere. Géén powerpoint maar gewoon zelf aantekeningen maken en met een goed verteller voor de groep. Stel je eens voor hoe dat voor jou zou zijn. Het was daar niet moeilijk om te blijven luisteren en mee te doen. Door zelf aantekeningen te maken prent je het beter in je geheugen. Overkoepelde boodschap van dit blog is dus: zorg voor een verhaal dat blijft hangen en vermijd onderstaande.

1. De training is inhoudelijk niet goed

   1. Past niet bij de organisatie: Veel organisaties gebruiken standaard materialen, zonder daarbij de eigen, specifieke kenmerken en risico’s in te passen. Gebruik van niet toepasselijke materialen en voorbeelden leidt tot frustratie bij de trainer en bij de deelnemers.
   2. Voor iedereen in de organisatie dezelfde training: zowel qua vorm als qua inhoud moet de training worden aangepast aan de groep. Bestuur, administratie, IT-afdeling of zorgverleners, om aansluiting te vinden bij de werkzaamheden en werkhouding van de deelnemers moet de inhoud specifiek gemaakt worden.
   3. De toepasselijke wet- en regelgeving is niet opgenomen: als er niet tevoren goed is onderzocht welke wet- en regelgeving van toepassing is voor de organisatie, kan dat resulteren in een onvolledige opleiding.
   4. Een overladen programma: vaak wordt geprobeerd zo veel mogelijk informatie in zo kort mogelijke tijd in het hoofd van de deelnemers te krijgen. Uit studies is gebleken dat mensen maar een beperkt aantal brokken informatie per keer kunnen opnemen en onthouden. Bovendien kunnen deelnemers ongemotiveerd raken als ze een onrealistische berg materiaal over zich heen krijgen.
   5. Onvoldoende inlevingsvermogen met de deelnemers: vaak worden trainingen opgezet vanuit het gezichtspunt van de docent. Zorg ervoor dat je aansluit bij het kennisniveau van de deelnemers en dat er voldoende aanknopingspunten zijn met hun dagelijkse werkpraktijk.
   6. Het uitstorten van informatie: vaak wordt ten onrechte gedacht dat iets vertellen gelijk staat aan iets overbrengen. Bij het ontwikkelen van de training moet je er rekening mee houden dat mensen op verschillende manieren leren. Er zijn veel mensen die niet goed leren door alleen te luisteren of alleen te lezen. Om aan te sluiten bij de verschillende leerstijlen moet het materiaal op verschillende manieren worden aangeboden.

2. De training is niet goed gepland

   1. Te snel in elkaar gezet: Veel organisaties gooien even wat materialen bij elkaar zodat ze snel de deadline halen om te voldoen aan een audit. Zo’n programma is zelden effectief.
   2. Geen budget of slecht budgetbeheer: in veel organisaties heerst het misverstand dat er voor awarenesstraining weinig expertise, weinig voorbereiding en weinig middelen nodig zijn. Ze stellen niet goed van tevoren vast welke behoefte er is aan training, wat de impact is en welke middelen daarvoor benodigd zijn.
   3. Slechte trainers: vaak worden trainers ingezet die wel veel van het onderwerp weten, maar weinig van effectieve trainingsmethoden. Zij kunnen zich vaak slecht inleven in de belevingswereld van de deelnemers. Het is dan niet waarschijnlijk dat ze de boodschap helder kunnen overbrengen, ook al hebben ze de beste bedoelingen.
   4. Slechte planning: bij het plannen wordt vaak geen rekening gehouden met andere belangrijke zaken in de organisatie, zoals andere trainingen, deadlines, nieuwe releases of andere voorgenomen veranderingen.

3. Geen motivatie en managementsupport

   1. Ongemotiveerdheid: het komt vaak voor dat deelnemers niet gemotiveerd zijn om iets te leren over informatiebeveiliging. Ze hebben hart voor de zorg en hebben daarom deze baan gekozen. Informatieverwerking hoort daar in hun beleving vaak maar zijdelings bij, om maar niet te spreken van informatiebeveiligingsmaatregelen die het werk soms lijken te belemmeren. Bij het plannen en uitvoeren van een awarenessprogramma moet je je goed bewust zijn van deze gevoelens en daarop inspelen.
   2. Geen ondersteuning: vaak geven leidinggevenden geen zichtbare ondersteuning aan een awarenessprogramma. Dit heeft een negatieve invloed op de medewerkers, die dan ook niet gemotiveerd zijn om deel te nemen of om iets op te steken. Ook het toepassen na de training gebeurt alleen als de leidinggevende daarop stuurt en de inzet waardeert. Openlijke aanmoediging en ondersteuning van het management zijn onontbeerlijk voor een succesvol programma.
   3. Weerstand tegen verandering: het doel van een awarenessprogramma is verandering van gedrag. Om mensen te bewegen tot gedragsverandering is draagvlak nodig en dat stelt specifieke eisen aan de aanpak.

4. Geen doelen en geen evaluatie

   1. Als je niet weet wat de huidige en de gewenste stand van zaken is, kun je nooit vaststellen of je programma succesvol is. Deelname aan trainingen, kennis, gedrag, functiebeschrijvingen, personeelsbeoordelingen, medewerkertevredenheid, kosten, aantallen klachten en beveliigingsincidenten zijn voorbeelden van meetbare resultaten. Kies een paar goede indicatoren, het is niet nodig alles te meten.

  Op de pagina “beveiligingsbewustzijn” kun je meer lezen over onze aanpak. In de komende tijd zal PrivacyLab handreikingen publiceren over hoe je een effectief awarenessprogramma kunt opzetten. Als je hierover eens van gedachten wilt wisselen neem dan contact op.

[learn_press_profile]