"Security voelt technisch, totdat je laat zien dat het elke dag in je eigen broekzak gebeurt." In veel organisaties ontstaat bijna automatisch het idee dat security een technisch domein is. Dat het gaat over firewalls, encryptie, wachtwoordbeleid en systemen, en dus vooral over ICT. Medewerkers zien het als iets dat buiten hen ligt. Eerlijk is eerlijk: wij als securityprofessionals hebben dat beeld jarenlang zelf gevoed.
Mensen leren niet van techniek, maar van herkenning
Wanneer security wordt gebracht als technologie, gebeurt er iets heel voorspelbaars: medewerkers haken af. Niet omdat ze niet willen bijdragen, maar omdat ze zich niet herkennen in de voorbeelden. Een scenario over een zero-day exploit zegt mensen weinig. Een uitleg over hashes en tokens al helemaal niets. Het landt niet. Het schuift weg.
Bewustwording werkt pas wanneer je het koppelt aan menselijke ervaringen. Aan situaties die medewerkers herkennen, liefst uit hun eigen leven. Wanneer je uitlegt hoe iemand op WhatsApp werd benaderd door een "familielid", of hoe een collega bijna een pakketje betaalde dat nooit was besteld, zie je onmiddellijk een ander soort aandacht. Mensen knikken. Lachen soms. Vertellen hun eigen verhaal.
Het zijn precies díe momenten waarop awareness begint.
Security wordt van iedereen zodra medewerkers zich erin herkennen
De omslag in organisaties komt niet door meer beleid of technische presentaties, maar door voorbeelden die zo herkenbaar zijn dat medewerkers denken: "Dit had mij ook kunnen gebeuren." Wanneer je security koppelt aan privégedrag, wachtwoorden, telefoons, apps, pakketjes, social engineering in het dagelijks leven, ontstaat er herkenning. En herkenning is de motor van gedragsverandering.
Vanaf dat moment verschuift de verantwoordelijkheid: security wordt niet meer iets wat ICT "regelt", maar iets wat medewerkers zélf herkennen, begrijpen en kunnen beïnvloeden. Op het moment dat mensen zichzelf zien in de voorbeelden, zien ze zichzelf ook in de oplossing.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar security-awarenessprogramma met meetbare resultaten.
Bekijk de trainingspaginaGerelateerde artikelen
- Waarom medewerkers digitaal vaardiger blijken
- Waarom security awareness in het privéleven sneller landt
- Bewustwording werkt niet zonder management
FAQ
Hoe ontkom je aan techno-jargon in awareness?
Test elk module met een niet-IT-collega: "Begrijp je dit zonder googlen?" Als nee, herschrijven. Eenvoud is een keuze, geen toeval.
Welke privé-thema's werken het best?
WhatsApp-fraude, pakketbezorging-scams, "familie in nood"-berichten, social media impersonatie. Iedereen heeft hier ervaring mee.
Mag ICT dan helemaal niet meer over awareness gaan?
Jawel, als sponsor en techniek-eigenaar. Maar de boodschap moet uit HR/communicatie/management komen, niet uit "ICT meldt:" e-mails.
Wat met technische rollen die wél jargon nodig hebben?
Aparte track voor IT-personeel met diepere techniek. Maar dat is geen vervanging van de algemene awareness, dat is een aanvulling.