Interne communicatie: essentiële munitie in de slag om veilig thuiswerken

Mark van Gemeren | Consultant

May 11, 2020

Maart 2020. Als gevolg van COVID-19 rollen Nederlanders massaal hun bureaustoel met laptop en andere kantoorbenodigdheden naar hun nieuwe werkomgeving van keukentafels, kamerplanten en porseleinkasten. Het resultaat? Thuisnetwerken worden onderdeel van de kantoorbeveiliging en virtuele meetings worden de norm. De NOS vatte het samen als een nachtmerrie voor IT-afdelingen en CISO’s. De impact van thuiswerken is groter dan het verplaatsen van spullen omdat het lang niet altijd op een veilige manier gebeurt. Medewerkers en interne communicatie hebben een essentiële rol.

Tijd voor een een-tweetje tussen Bauke (specialist employee engagement) en Mark (specialist communicatie & technologie).

Wat gebeurde er precies in maart?

Bauke: ‘De verhuizing van mensen en werkplekken gebeurde voor veel bedrijven van de ene op de andere dag. Toegang krijgen tot de digitale werkomgeving kreeg in de haast vaak voorrang op veiligheid en veel thuiswerkers zijn niet voldoende op de hoogte van de risico’s en richtlijnen. Denk daarbij ook aan de groep mensen die normaal gesproken nooit thuiswerken en nu met alle nieuwe cybergevaren om moeten gaan.’

Mark: ‘En dus maken medewerkers gebruik van eigen netwerken en apparaten of al dan niet veilige cloudomgevingen. Sommige medewerkers hebben misschien de neiging om bestanden van de server naar zichzelf te mailen of voor het gemak op een USB-stick te zetten. Of gebruiken handige – maar niet altijd veilige – externe online tools. Of ze kiezen voor een snelle oplossing, zoals het openbare netwerk om de hoek als een VPN-verbinding of wifinetwerk even niet werkt. Dat brengt natuurlijk de nodige ‘onzichtbare’ risico’s met zich mee.’

Onzichtbare risico’s?

Mark: ‘Cybercriminelen zien hun kansen schoon in deze onzekere tijden en criminelen die normaal hun geld op straat verdienen, stappen nu ook over naar de digitale wereld. De digitale zwendel kent een sterke stijging sinds maart en daarmee neemt de inzet van malware en het aantal phishingmails ook toe.’

‘Dus moeten medewerkers op de hoogte zijn’, vult Bauke aan. ‘Bijvoorbeeld hoe ze zich digitaal moeten gedragen, welke tools ze wel en niet kunnen gebruiken of wat ze moeten doen bij het ontvangen van een phishingmail. Goede communicatie hierover is essentieel omdat medewerkers zelf de frontlinie vormen in de slag om veilig thuiswerken. Maar nog steeds is niet iedere medewerker doordrongen van het belang van hun eigen rol in dit grotere geheel.’

Maar dit is toch van alle tijden?

Mark: ‘Klopt. Maar er zijn nu extra gevaren en het is lastiger om infecties in het bedrijfsnetwerk te onderzoeken. Je loopt nu eenmaal minder makkelijk langs een collega om te kijken of een update goed is geïnstalleerd. Het was altijd al lastig om zwakke punten in het netwerk in de gaten te houden of te zien of hackers al ‘binnen’ waren. Maar nu met die thuisnetwerken al helemaal. Bovendien kunnen kwetsbaarheden zitten in snel aangekochte of geïnstalleerde tools of het gebruik ervan.’

Bauke: ‘En er zijn meer risico’s. Volkskrant stelde recent nog dat de honger naar informatie bij medewerkers toeneemt in deze tijden en hackers doen van alles om veelgebruikte tools aan te vallen met malware, valse domeinen en phishingmails. Cybercriminelen maken dus op korte en lange termijn dankbaar gebruik van de situatie.’

Hoe communiceer je dat dan naar medewerkers?

Bauke: ‘In deze crisistijd is het belangrijk om tijdens (en dus niet na) de digitale verhuizing te communiceren naar medewerkers. Bijvoorbeeld over welke tools gebruikt worden, over achterliggende gevaren, over hoe je omgaat met vertrouwelijke informatie en het verschil tussen werk en privé.’

Mark: ‘Klopt, niet alleen de IT-afdeling, maar álle medewerkers werken aan de digitale veiligheid van een organisatie. En het gaat juist om de samenwerking tussen IT en medewerkers. Het is enorm zinvol om de bedrijfsmaatregelen op gebied van IT eenvoudig behapbaar te maken en te vertalen voor medewerkers in een intern communicatieplan. Voor zowel interne communicatie als IT kan het geen kwaad om in gesprek te gaan met medewerkers over waar ze tegenaan lopen.’

Bauke: ‘Het is belangrijk dat medewerkers het belang van cyberveiligheid aanvoelen. Iedere medewerker moet daadwerkelijk openstaan om z’n gedrag aan te passen en daarvoor is vertrouwen nodig.’

Zeven tips van Bauke en Mark

Je medewerkers hebben nu waarschijnlijk net lekker hun draai gevonden in het thuiswerken en het inrichten van hun digitale werkplek. Maar de toename in thuiswerken is waarschijnlijk niet tijdelijk, nu duidelijk wordt dat het veel bedrijven en medewerkers best goed afgaat. Hoe zet je mensen aan tot veilig thuiswerken zonder hen af te schrikken door een opsomming van alle risico’s?

  • Moedig het gebruik van (nieuwe) technologie aan door een cultuur van vertrouwen te creëren. Het meest ideale scenario is dat medewerkers eventuele beveiligingsproblemen, of phishingmails herkennen en dit melden bij hun manager of de IT-afdeling. Daarvoor moet je mensen leren om deze problemen te herkennen en te signaleren. En dat kan alleen in een open en veilige sfeer. Openheid is enorm belangrijk: een cultuur waar medewerkers elkaar helpen in plaats van de schuld geven.
  • Lead by example. Onderdeel van de open cultuur is het geven van het goede voorbeeld. Hierin hebben vanzelfsprekend managers een grote rol. Uit het Alert Online-onderzoek van 2019 blijkt dat slechts de helft van de medewerkers vindt dat de leidinggevende het goede voorbeeld geeft wat betreft online gedrag.
  • Vergroot het zelfvertrouwen. Als medewerkers bang zijn iets fout te doen of de enige digibeet van kantoor te zijn, durven ze niet de juiste actie te ondernemen als ze op een onveilige link hebben geklikt. Zorg dat medewerkers zelfverzekerd zijn in ‘het nieuwe normale werken’ en het toe durven geven als er iets mis is gegaan. Het kan bijvoorbeeld al heel goed werken om te zorgen dat medewerkers weten bij wie ze iets in vertrouwen kunnen checken.
  • Train je medewerkers. Voor velen is thuiswerken nieuw. Medewerkers weten niet altijd even goed waar ze op moeten letten in het nieuwe thuiswerken en bijbehorende systemen. Ga er dus niet vanuit dat iedereen het allemaal begrijpt. Onderdeel hiervan is om het ook te communiceren als er iets mis is gegaan: zo kan iedereen hier weer van leren.
  • Herinner medewerkers frequent aan het belang van cybersecurity. Met een mailtje met uitleg en een algemene cybersecuritytraining ben je er niet. Het moet een mindset worden bij alledaagse handelingen. Want het zit hem vooral in kleine praktische dingen die medewerkers dagelijks tegenkomen: het spotten van een verdacht uitziende mail, het updaten van systemen en beveiligingssoftware en het opletten met het delen van bestanden. Duidelijkheid en herhaling zijn hierin kernwoorden.
  • Maak veilig thuiswerken een leuk onderwerp, niet een saai en ingewikkeld ‘moetje’. Realiseer je dat cybersecurity niet bij iedereen even top-of-mind is. Voor sommige medewerkers is een cybersecuritytraining iets wat onderaan hun to-dolijst eindigt en waar ze zich uiteindelijk zuchtend doorheen klikken. Laat zien dat je cybersecurity serieus neemt door het onderwerp frequent en op een praktisch toepasbare manier op de agenda te zetten. Om kennis te testen kun je bijvoorbeeld een (digitale) pubquiz organiseren over dit onderwerp. Alleen als mensen enthousiast worden, of het belang van digitale veiligheid erkennen, zullen ze zich medeverantwoordelijk voelen voor veilig (thuis)werken.
  • Meet! Maak alle IT-gerelateerde interne communicatiedoelen die je stelt meetbaar. Dan weet je waar medewerkers vooruitgang hebben geboekt, maar ook waar de zwakke punten (blijven) zitten. En zo ontwikkel je medewerkers steeds verder in hun digitale rol bij de slag om veilig thuiswerken.