We hebben het vaak over het belang van awareness training bij het verbeteren van de cybersecurity in organisaties. Hoewel dat natuurlijk een belangrijke boodschap is, is ze misschien ook wat te simplistisch. Je kan immers op veel verschillende manieren een goede en effectieve awareness training verwezenlijken. In deze blogpost zal ik het hebben over twee grote manieren om je medewerkers te trainen – de traditionele (klassikale) aanpak en de e-learning aanpak – en help ik je mee te beslissen welke combinatie het beste werkt voor jou.
Wat is traditioneel leren en wat is e-learning?
We weten allemaal goed wat traditioneel leren is. We herinneren ons namelijk allemaal hoe we vroeger in de klas zaten, luisterend naar onze leraar die ons enthousiast vertelde over wiskunde of geschiedenis terwijl die voor zijn krijtbord stond. Wanneer je je medewerkers op deze manier traint, zal een instructeur een aantal sessies organiseren waarbij de leerlingen fysiek aanwezig moeten zijn. De leerinhoud wordt mondeling door de instructeur gepresenteerd, soms ondersteund door een PowerPoint of wat filmpjes.
e-learning is dan, ondanks wat velen denken, niet simpelweg dezelfde sessies maar dan in een online omgeving. Het gaat meer om het gebruik van verschillende web-based en technologische hulpmiddelen voor het organiseren van trainingen en het ondersteunen van het leerproces.
Concreet kan het gaan om een combinatie van korte tekstjes, filmpjes, en meer interactieve tools zoals een quiz, een spel of een forum, allemaal gehost op een online platform.
Welke is beter?
Helaas is het niet zo zwart-wit dat de ene aanpak beter is dan de andere. Beide vormen van leren hebben hun voor- en nadelen en kunnen effectief worden gebruikt in de juiste context.
Klassikaal leren
Bij klassikaal leren draaien de meeste voordelen rond het feit dat je medewerkers en de instructeur fysiek moeten samenkomen op een vooraf bepaald tijdstip.
In de eerste plaats betekent dit dat die medewerkers een of twee uur uit hun dag nemen en deze expliciet toewijden aan leren. Hierdoor minimaliseren ze de vele afleidingen die ze zouden kunnen ervaren in de kantooromgeving, mochten ze de training volgen van achter hun bureau.
Ten tweede bevordert het fysieke samenzijn de persoonlijke interactie en discussie met de instructeur en onder de leerlingen onderling. Door samen actief met de leerstof te werken kunnen je medewerkers net zo veel van elkaar leren als van de instructeur. Ook is het mogelijk om rechtstreeks vragen te stellen aan een ‘expert’ en eventuele onzekerheden direct op te helderen.
Nadelen van klassikaal leren
Deze manier van leren komt natuurlijk niet zonder minpunten.
Ten eerste kan het heel moeilijk zijn om deze fysieke sessies in te plannen. Veel mensen hebben drukke agenda’s, dus het vinden van 1 of 2 uur waar alle medewerkers beschikbaar zijn is een behoorlijke uitdaging (en dan houden we nog geen rekening met voorbereidingstijd, reistijd, enz.).
Bovendien kan het aantal leerlingen te groot zijn, of ze kunnen geografisch verspreid zijn, waardoor de instructeur verschillende keren dezelfde sessie moet geven voor verschillende groepen. Dit brengt dan ook een forse stijging van het kostenplaatje met zich mee. Deze externe experts zijn vaak niet goedkoop en als ze dezelfde sessie meerdere keren moeten geven, kan dit een te grote impact op het budget hebben.
Ten slotte, als het gaat om die groepsinteractie, blijkt in werkelijkheid vaak dat de instructeur slechts één lange monoloog houdt zonder veel interactie met de leerlingen. Met andere woorden, de leerkwaliteit is zeer afhankelijk van zowel de stemming en het gedrag van de instructeur als van de bereidheid van de leerlingen om actief deel te nemen. Veel mensen hebben ook moeite om tijdens langere sessies de aandacht erbij te houden.
E-learning
Veel van de nadelen van traditioneel leren kunnen direct worden verholpen door het belangrijkste voordeel van e-learning: flexibiliteit.
De leerlingen hebben toegang tot een heleboel online tools en bronnen en kunnen deze gebruiken waar en wanneer ze willen. De leerstof wordt vaak opgesplitst in kleinere brokken, waardoor de leerlingen in hun eigen tempo vooruitgang kunnen boeken, afhankelijk van de drukte van de eigen agenda.
Door middel van knappe graphics en interactieve tools zoals quizzen, simulaties of spelletjes is het ook makkelijker om leerlingen te motiveren en hun aandacht te behouden. Dit betekent dat je medewerkers op een meer continue basis en gedurende een langere periode met de leerstof bezig zijn, wat het behoud van kennis op lange termijn verbetert en leidt tot een beter begrip van de leerinhoud.
Bovendien kan de leerstof zo vaak als gewenst worden bekeken en herbekeken, waardoor de leerling zijn of haar geheugen makkelijk kan opfrissen wanneer dat nodig is.
Tot slot is e-learning voor grotere organisaties ook aanzienlijk kosteneffectiever. Eén e-learning platform kan worden gebruikt om de hele (wereldwijde) organisatie te trainen, vaak met een eenvoudige integratie van meerdere talen.
Nadelen van e-learning
E-learning heeft echter ook een aantal nadelen.
Ten eerste is er bij e-learning geen instructeur en dus ook geen centrale autoriteitsfiguur of deskundige om te raadplegen als een leerling vragen heeft. Dit betekent ook dat de e-learning-cursus op de juiste manier moet worden ontworpen zodat de leerlingen deze zelfstandig kunnen doorlopen.
Ten tweede leert de leerling hier alleen, waardoor de training wellicht een sociale dimensie ontbreekt. Er zijn natuurlijk e-learning-platforms met discussieforums, maar voor velen is dit niet hetzelfde als een realtime face-to-face discussie. Ook is het effect van e-learning moeilijk te meten.
Dus... Welke moet ik dan kiezen?
Welke soort training je kiest hangt af van de specifieke context en behoeften in jouw organisatie, en natuurlijk van het onderwerp van de training in kwestie.
Niettegenstaande kunnen we zeggen dat een blended learning-aanpak, d.w.z. een combinatie van klassikaal leren en e-learning, in de meeste situaties een veilige keuze zou zijn.
Door gebruik te maken van e-learning kan het trainingsmateriaal eenvoudig en kostenefficiënt verspreid worden over heel de organisatie. Door periodiek nieuwe content op het platform te plaatsen, zorg je ervoor dat iedereen frequent bezig is met de leerinhouden en dat deze op de langere termijn deel kunnen uitmaken van de mindset van je medewerkers.
E-learning zou dan de trainingsstandaard zijn die af en toe kan worden aangevuld met fysieke trainingssessies. Dit biedt je medewerkers een andere dimensie van de inhoud die ze de afgelopen weken of maanden hebben geleerd.
Iedereen zou dan de kans krijgen om vragen te stellen en onzekerheden op te helderen. Deze sessies kunnen ook meer praktijkgericht zijn – alles wat geleerd is op het platform in de praktijk brengen door middel van bijvoorbeeld enkele interactieve oefeningen of rollenspelsituaties.
Een dergelijke aanpak geeft een zeer grote kans op het behalen van sterke leerprestaties in je hele organisatie. Continue interactie met het trainingsmateriaal door middel van e-learning in combinatie met regelmatige fysieke sessies voor opfrissing en praktische toepassingen.
E-learning als een geweldig instrument voor awareness training
Na een kort overzicht te hebben gegeven van traditioneel leren en e-learning, laten we het nu kort hebben over awareness training. Dat is immers waar het hier bij CyberPilot om gaat.
Bij awareness training is het belangrijkste doel – je raadt het al – het creëren en behouden van awareness (bewustzijn). Met andere woorden, het vereist niet bepaald een super diepgaand begrip van de materie. Je medewerkers moeten zich simpelweg bewust zijn van de verschillende risico’s die er zijn, en hoe ze daar mee om kunnen gaan.
Daarom is het gebruik van e-learning hier een goede aanpak. Frequente, kleine stukjes kennis die over heel de organisatie worden verspreid, zorgen ervoor dat het bewustzijn van je medewerkers continu op peil blijft. Op deze manier zijn ze te allen tijde in staat om met die vervelende cyberdreigingen om te gaan.
Daarnaast is het, zoals je kunt lezen in een aantal van onze blogposts over security awareness, belangrijk dat dit bewustzijn deel gaat uitmaken van je organisatiecultuur. Dit is nog een reden waarom e-learning zo’n goed middel is om een sterk veiligheidsbewustzijn te bereiken. Door je medewerkers voortdurend te stimuleren met nieuwe leerstof over hoe ze phishing-e-mails kunnen herkennen, hoe ze sterke wachtwoorden kunnen instellen, hoe ze veilig met gegevens kunnen omgaan, enz., zorg je ervoor dat ze dit gedrag op de lange termijn ook echt internaliseren.
En tot slot zou het integreren van enkele traditionele leerelementen natuurlijk geen kwaad kunnen. Door bijvoorbeeld de e-learning te combineren met regelmatige praktijksessies, zoals een phishingsimulatie, kunnen je medewerkers hun bewustzijn in de praktijk brengen en kunnen ze zien hoe de bedreigingen er in de praktijk uitzien.
Met deze aanpak boek je bijna gegarandeerd grote vooruitgang in het traject naar een sterke IT-beveiligingscultuur in jouw organisatie.