Security awareness training verdien je terug. Hoe werkt de business case?

Phishing e-mails met malafide linkjes erin verborgen zorgen voor bijna 90% van alle datalekken bij organisaties. Het is mede daarom van cruciaal belang om je medewerkers te trainen in het herkennen van phishing e-mails en andere varianten van cybercrime. Hiermee verklein je de risico's dat jouw organisatie het slachtoffer wordt van een cyberaanval. Security Awareness trainingsprogramma's kunnen hier goed bij helpen. Echter zijn daar, net als bij andere trainingen, wel kosten mee gemoeid. Hoe verantwoord je zo'n investering nou op een goede manier naar je directie toe? Dutch IT-channel vat in een heldere business case samen toe hoe je dit het beste kunt aanpakken.

Stap 1. Bepaal de doelstellingen voor je organisatie
Een Security Awareness training converteert in de regel niet direct in meer omzet. Daarom is het belangrijk om te beginnen met het opstellen van duidelijke doelstellingen. Kostenbesparing is hierbij zeker een belangrijk onderdeel maar denk ook aan andere thema's, zoals het voldoen aan de wet- en regelgeving van cybersecurity. Denk ook aan het beschermen van de reputatie van je organisatie: hoe veiliger het gedrag van medewerkers, hoe kleiner de kans op een incident.

Stap 2. Toon de relevantie voor jouw organisatie aan
Hopelijk is het onderhand wel duidelijk dat iedere organisatie getroffen zou kunnen worden door een cyberaanval. Het is dus belangrijk om dat goed aantoonbaar te maken, want zo vergroot je het belang voor de directie én de urgentie om medewerkers te gaan trainen. Maak bijvoorbeeld een overzicht van IT-incidenten waarmee je organisatie mee te maken heeft gehad, inclusief de oorzaak ervan. Daarnaast kun je ook een survey uitvoeren om te kijken naar de huidige kennis die de medewerkers binnen jouw nu al hebben over cybersecurity. Weten ze bijvoorbeeld wel wat phishing is?

Stap 3. Laat zien wat een Security Awareness training feitelijk oplevert
Cybersecurity is geen exacte wetenschap en daarom worden oplossingen nog wel eens gebaseerd op aannames. Echter zijn er zeker benchmark-rapporten die laten zien dat dergelijke trainingen het risico op cyberaanvallen beperken. Neem deze dus op in je business case. Daarnaast kun je een zo nauwkeurig mogelijke berekening maken van de risico's die jouw organisatie loopt. Dit kan bijvoorbeeld door middel van de ROSI methode. 

Stap 4. Deel je plan van aanpak
Laat je directie duidelijk zien hoe jij de implementatie van de Security Awareness trainingen voor je ziet. Leg uit hoe je de trainingen zou implementeren, ook voor de langere termijn. Je kunt hier bijvoorbeeld een roadmap voor gebruiken met een tijdspad die alles uitstippelt. Wanneer wil je beginnen met de interne communicatie over het belang van de training? Wie moeten er allemaal getraind worden? Welke modules ga je gebruiken? Door dit soort vragen te beantwoorden in je business case, vergroot je de kans dat je directie instemt met je voorstel!

Klik hier voor meer informatie over cyberweerbaarheid training & AVG basics

Bron: Dutch IT-channel