"We willen alertheid en waakzaamheid rond cybersecurity verhogen"

De maand oktober staat sinds 2012 in het teken van cyberveiligheid. Onder het motto ‘Cyberveiligheid is een gedeelde verantwoordelijkheid’ wil de Europese Commissie haar lidstaten verenigen en wijzen op het belang van een veilige cyberomgeving. Ook ESF Vlaanderen draagt zijn steentje bij. Verschillende ESF-oproepen focussen op cybersecurity en motiveren promotoren om te werken rond digitale veiligheid. Ter ere van deze #CyberSecurityMonth lichten we er graag elke week eentje uit. Deze keer is het de beurt aan de Academy van het Institute of Internal Auditors Belgium, Grant Thornton en Figurad met hun project 'KMO Cybersecurity Ambitie’!

Jullie ESF-project heet ‘KMO Cybersecurity Ambitie’. Wat houdt het precies in?

Patrick Soenen, Internal Audit Academy: “Samen met verschillende partners hebben we een leertraject ontwikkeld om het bewustzijn rond cybersecurity in KMO’s te vergroten. Het traject is bestaat uit een basisopleiding en specifieke modules op maat van drie geïdentificeerde profielen in een organisatie. Aan die opdeling zijn maturiteitsniveaus gekoppeld die rekening houden met de reeds aanwezige cybersecuritykennis. De basisopleiding kan door iedereen in de organisatie worden gevolgd, de modules houden rekening met de specifieke eigenschappen van de profielen. Zo proberen we bijvoorbeeld cybersecurity te demystificeren voor leidinggevenden, zodat zij sneller geneigd zijn om cyberveiligheid mee te nemen in hun bedrijfsstrategie en meer inzetten op risicobeheer.” 

Sarah De Ridder, Grant Thornton: “De theorie wordt daarnaast aangevuld met praktische scenario’s, om het zo tastbaar en concreet mogelijk te maken. Zo willen we mensen laten nadenken over hun positie in de organisatie en de terugkoppeling naar hun eigen takenpakket.”

  

(Bovenstaande cybertest biedt een voorproefje van het ontwikkelde trainingsmateriaal.)

Hoe is het project tot stand gekomen?
Patrick Soenen: “Het project is ontstaan vanuit de Internal Audit Academy (IAA), een onderdeel van het Institute of Internal Auditors Belgium. CEO Katleen Seeuws had de ESF-oproep over cybersecurity gezien. Aangezien dit onderwerp ook bij auditoren wordt behandeld, hebben we een aantal partners samengebracht en besloten dat we hier iets moois mee konden doen.”

Sarah De Ridder: “Grant Thornton Bedrijfsrevisoren is één van de partners ingestapt in het project, naast Figurad Bedrijfsrevisoren en twee onderaannemers. We hebben expertise in IT, GDPR en cybersecurity. IAA is zowat de trekker, omdat zij vanuit hun ervaring gemakkelijker het ontwikkelen van opleidingen konden faciliteren, maar verder staan we gelijkwaardig in dit verhaal. Elk van ons heeft zijn eigen specifieke achtergrond, wat maakt dat we allen kunnen bijdragen aan dit project.”

Het project steunt dus op een partnerschap. Hoe verloopt die samenwerking?
Patrick Soenen: “We kenden elkaar al van eerdere projecten, dus op menselijk vlak gaat dat heel vlot. De uitdaging zit eerder in het bereiken van de doelgroep. Normaal richten we ons met IAA op professionele auditoren met een zekere voorkennis en jargon. Nu mikken we op KMO’s en kleine bedrijven, waar mensen werken die niet noodzakelijk voldoende afweten van cybersecurity. De uitdaging voor het team zit dus vooral in het toegankelijk maken van de inhoud.”

Sarah De Ridder: “Ik sluit me daarbij aan. Het intrigeert ons om die ruimere KMO-markt te bereiken. We moeten de materie op dusdanige manier brengen dat het niet al te technisch wordt. Onze visie komt eigenlijk neer op wat we de ‘human firewall’ noemen. Die twee begrippen staan centraal. Enerzijds is er het menselijke. We moeten de mens ervan bewustmaken dat elke actie online een gevolg heeft. Daarnaast is er ook het aspect ‘firewall’. Cybersecurity is ook een technisch verhaal. In onze trainingen nemen we een aantal technische termen op die we zo goed mogelijk proberen toe te lichten. Wat is een firewall bijvoorbeeld, en waarom heb je die nodig? Dat leggen we vervolgens zo laagdrempelig mogelijk uit."

Patrick Soenen: "De mens is de zwakste schakel op vlak van cyberveiligheid. Daarom moeten we transversaal iedereen in de organisatie bereiken. Wanneer er een phishing-mail binnenkomt, moet er maar één persoon zijn die op de link klikt om het hele bedrijf te infecteren. Daarin zit de moeilijkheid én het belang van die menselijke firewall. Iedereen binnen de organisatie moet opgeleid worden, dezelfde begrippen kennen en reflexen aanleren."

(De mogelijke cyberacties in een bloemmodel. De ontwikkelde opleidingscursussen verwijzen naar de bloemblaadjes.)

Het project loopt sinds voorjaar 2020. Waar staan jullie momenteel in de ontwikkeling?
Patrick Soenen: "In het voorjaar van 2020 hebben we de opleidingen ontwikkeld. De laatste maanden hebben we een quality assurance uitgevoerd. Een kwaliteitscontroleur heeft de toegankelijkheid van onze opleidingen bestudeerd en een aantal opmerkingen geformuleerd om dingen te vereenvoudigen of gebruiksvriendelijker te maken. Zo vinden we optimale aansluiting bij de doelgroep. De volgende stap is het oprichten van een focusgroep en het uittesten van de opleidingen bij bedrijven."

Sarah De Ridder: “We merken dat het daar soms vastloopt. Veel bedrijven zijn zich wel bewust van het belang en het waarom van cybersecurity, maar in de praktijk blijkt het niet zo eenvoudig om tijd vrij te maken voor zulke opleidingen. Daarom bieden we de mogelijkheid om onze trainingen online te geven of als zelfstudie, zodat mensen kunnen bijleren op hun eigen tempo."

Dat hoor je wel vaker. Er is best al wat bewustzijn rond cybersecurity, maar vaak ontbreken tijd en middelen om er ook effectief op in te zetten. De meerwaarde is ook niet altijd even duidelijk, tot het misloopt.
Sarah De Ridder: "Dat klopt. We horen vaak van bedrijven dat ze nog geen cyberproblemen hebben meegemaakt, dus dat alles wel in orde zal zijn. Nochtans is voorkomen beter dan genezen. Het is veel moeilijker om na een aanval de dingen terug recht te trekken dan te voorkomen dat er een aanval kan worden uitgevoerd. Die alertheid en waakzaamheid willen we echt stimuleren.”

(Het handelingspatroon bij cybersecurity.)

Meer weten over het project? Projectenkaart ESF