"Elke medewerker heeft een taak binnen cybersecurity."

De maand oktober staat sinds 2012 in het teken van cyberveiligheid. Onder het motto ‘Cyberveiligheid is een gedeelde verantwoordelijkheid’ wil de Europese Commissie haar lidstaten verenigen en wijzen op het belang van een veilige cyberomgeving. Ook ESF Vlaanderen draagt zijn steentje bij. Verschillende ESF-oproepen focussen op cybersecurity en motiveren promotoren om te werken rond digitale veiligheid. Ter ere van deze #CyberSecurityMonth lichten we er graag elke week eentje uit. Deze keer is het de beurt aan Howest met het ESF-project ‘Cybersecurity4SME’!

Wat maakt het ESF-project ‘Cybersecurity4SME’ zo uniek?
Kurt Callewaert, Head of Research Applied Computer Science Howest: “Normaal leggen wij in onze opleiding ‘Toegepaste informatica’ de focus op het aanleveren van gespecialiseerde IT-professionals. De cybersecurity van een bedrijf wordt echter niet alleen bepaald door de aanwezige IT-ers, maar door alle werknemers. Met dit ESF-project wilden we dan ook inzetten op het verhogen van de cybersecuritymaturiteit van alle medewerkers van een organisatie, op maat van hun specifieke profiel.”

Wat bedoelt u met die specifieke profielen?
Kurt Callewaert: “We geven geen algemene awareness-sessie, maar delen het bedrijf op in verschillende profielen: HR, financiën, productie, management, sales… Zo hebben we er een twaalftal geïdentificeerd. Voor elk van die profielen bieden we aangepast trainingsmateriaal dat rekening houdt met de specifieke bedrijfsprocessen, data en manier van werken. Want de cybersecurityrisico’s bij HR zijn anders dan bij productie.”

Kan u dat verschil toelichten?
Kurt Callewaert: “Neem nu de IT-vacatures die online worden gezet. Daarin geeft de HR-afdeling vaak heel wat details mee over de IT-omgeving, de technologie en tools die worden gebruikt in het bedrijf. Maar HR beseft niet dat hackers meelezen en aan de hand van die vacature weten met welke software en systemen het bedrijf werkt Dat is dus een cyberrisico dat eigen is aan HR.

Of neem de financiële dienst. In sommige bedrijven worden die medewerkers tijdens de vakantieperiodes overstelpt met e-mails van hun zogezegde leidinggevenden, met de vraag om geheime betalingen uit te voeren in het kader van een overname. Meestal hebben hackers de mails van het management maandenlang geobserveerd om de schrijfstijl correct te kopiëren en weten ze wie zich met financiële transacties in het bedrijf bezighoudt. Als die medewerker van financiën vervolgens de opdracht in de e-mails uitvoert, sluist hij zonder het te weten geld door naar de rekening van een hacker. Daarom moet je dus de cybersecuritymaturiteit van elk profiel binnen het bedrijf verhogen als je de totale veiligheid binnen het bedrijf wilt aanpakken.”

(Kurt Callewaert)

Hoe zien jullie gespecialiseerde leertrajecten eruit?
Kurt Callewaert: “We bieden aangepast studiemateriaal volgens het principe van blended learning. De medewerkers krijgen video’s te zien waaraan workshops en opdrachten worden gekoppeld. Zo verhogen we de maturiteit per afdeling. Alles opgeteld, draagt dat bij tot de totale cybersecuritymaturiteit van het bedrijf.

Dat gaat onder andere ook over goede afspraken maken en procedures uitwerken. Iedereen heeft zijn eigen taak binnen cybersecurity En daar maak je mensen niet bewust van tijdens algemene awareness-sessies zonder duidelijke relevantie voor jouw eigen job. Daar willen we met ons project verandering in brengen.

Waarom is dat maatwerk zo belangrijk?
Kurt Callewaert: “Ik werk al sinds de jaren ’90 met IT-projecten. Waar loopt het altijd mis? Als mensen geen voeling hebben met het project. Als ze niet inzien wat voor invloed bepaalde zaken hebben op hun eigen job en takenpakket. Daar is echt te weinig aandacht voor. Werknemers moeten begrijpen waarom iets voor hen relevant is.”

Het project loopt nog tot april 2022. Hoe zijn de reacties tot nu toe?
Kurt Callewaert: “We testen de leertrajecten momenteel uit in een aantal bedrijven. Momenteel zijn de reacties positief. Uiteraard moeten we nog zaken aanpassen, maar we verwachten mooie resultaten. Eenmaal de trainingen vorm hebben gekregen, zullen ze een unieke oplossing bieden voor bedrijven die hun cybersecuritymaturiteit willen verhogen. 

Meer weten over het project? Projectenkaart ESF